Vulnerabilidad crítica en TMUI de F5 permite ejecución remota de comandos

La vulnerabilidad identificada con CVE-2020-5902, permitiría la ejecución remota de comandos y el control total del sistema afectado. Esta vulnerabilidad ha sido catalogada como crítica con un puntaje CVSS de 10 sobre 10.

Según Mikhail Klyuchnikov, quien es el responsable de encontrar y reportar este problema a F5 Networks, el problema se encuentra en la configuración de la utilidad Traffic Management User Interface para el controlador de entrega de aplicaciones (ADC) BIG-IP.

BIG-IP ADC es usado por empresas, data centers y ambientes de computación en la nube.

De acuerdo al reporte de Klyuchnikov la mayoría de las compañías que usan este producto no tiene habilitado el acceso desde Internet a la interfaz de configuración.

¿Cómo puede ser explotada ?

Un atacante no autorizado puede ejecutar comandos de manera remota enviando peticiones HTTP maliciosas y del estilo “directory traversal” al servidor vulnerable.

El atacante podría leer archivos, modificarlos, borrarlos o tomar el control total del sistema.

Desde el CSIRT de LACNIC  se encontraron varios exploits públicos, esto agrava la situación ya que un atacante sin demasiado conocimiento de la tecnología puede realizar el ataque.

Para saber si un sistema fue comprometido por un atacante es posible ejecutar una herramienta de F5 publicada en github. Por más información ver las referencias de esta advertencia de seguridad.

Recomendación

Las organizaciones que tengan activas versiones antiguas de BIG-IP (11.6.x, 12.1.x, 13.1.x, 14.1.x, 15.0.x, 15.1.x) deben actualizar inmediatamente a las nuevas versiones.

Verificar la actualización del sistema

Es posible verificar que el parche quedó correctamente aplicado si luego de actualizar el sistema se realiza los siguientes chequeos:

https://[IP ADDRESS]/tmui/login.jsp/..;/login.jsp

https://[IP ADDRESS]/hsqldb%0a

Si el parche quedó correctamente aplicado entonces se recibe un código de error 404.

Más información

https://support.f5.com/csp/article/K52145254

https://github.com/f5devcentral/cve-2020-5902-ioc-bigip-checker/

https://swarm.ptsecurity.com/rce-in-f5-big-ip/

https://www.exploit-db.com/exploits/48642

https://github.com/yasserjanah/CVE-2020-5902