Big ip edge client что это
F5 BIG-IP - семейство продуктов, платформа, в состав которой входят специально созданные аппаратные средства, программные модули, решения для виртуализации, работающие под управлением операционной системы TMOS.
В зависимости от устройства, один или несколько модулей продукта BIG-IP могут добавляться в устройство семейства BIG-IP для обеспечения нескольких сетевых функций в рамках единой, унифицированной платформы.
В состав платформы входят аппаратные модули:
- Local Traffic Manager (LTM): оборудование локальной балансировки нагрузки;
- Global Traffic Manager (GTM): сервер глобальной балансировки с использованием DNS;
- Link Controller: балансировщик входящей и исходящей нагрузки провайдера Интернет;
- Application Security Manager (ASM): брандмауэр сетевых приложений;
- WebAccelerator: решение симметричного или асимметричного кэширования для HTTP и HTTPS трафика;
- Edge Gateway: граничный SSL-маршрутизатор сетей VPN;
- WAN Optimisation Module: решение симметричной WAN-оптимизации ЦОД;
- Access Policy Manager (APM): обеспечивает аутентификацию и контроль доступа для приложений HTTP и HTTPS;
- Secure Web Gateway (SWG): продукт для фильтрации ссылок, блокирования вредоносных сайтов, безопасного просмотра страниц корпоративными пользователями
- Advanced Firewall Manager (AFM): решение для зашиты от атак DDoS, брандмауэр для ЦОД;
- IP Intelligence (IPI): средство блокирования IP-адресов по "черному списку", противостояния фишинговым атака и ботнетам
- WebSafe: технология защиты от мошеннических угроз с использованием средств шифрования, обнаружения вредоносных программ и анализа поведения пользователя.
Изучаем эндпоинт HSQLDB
Я провел немного времени в документации HSQLDB и остановился на операторе CALL – с его помощью можно исполнять хранимые процедуры, включая любые статические методы Java в HSQLDB classpath.
Давайте получим classpath из HSQLDB:
Запрос: CALL «java.lang.System.getProperty»('java.class.path')
Ответ: «/usr/share/tomcat/bin/bootstrap.jar:/usr/share/tomcat/bin/tomcat-juli.jar:/usr/local/www/tmui/WEB-INF/classes»
Это точно такой же classpath, как и у сервера Apache Tomcat.
Теперь нам нужно найти любой статический метод, который позволит осуществить удаленное исполнение кода. После недолгого поиска в файле tmui.jar в классе com.f5.view.web.pagedefinition.shuffler.Scripting обнаружился метод setRequestContext:
Пытаемся вызвать этот метод с произвольными данными:
Запрос: CALL «com.f5.view.web.pagedefinition.shuffler.Scripting.setRequestContext»('aa','bb')
Ответ: «NameError: aa__bb»,
Мы видим что мы попали в контекст исполнения Python кода, и передали неверные данные.
Пробуем импортировать модуль «os» и вызвать функцию system:
Гуглим ошибку и узнаем, что это типичное поведение для языка Jython.
Пробуем выполнить команду другим способом:
От этого запроса мы получили null, что говорит нам об успешном выполнении команды. Теперь, соберем финальный PoC-код, который отправит dns-запрос, если сервер уязвим:
И получим RCE в нашем F5 Big-IP, используя команды для reverse shell:
Получение доступа к F5 Big-IP через обнаруженную цепочку уязвимостей
2020: Устранение уязвимости в контроллере доставки приложений BIG-IP
Эксперт Positive Technologies Михаил Ключников выявил критически опасную уязвимость в конфигурационном интерфейсе контроллера доставки приложений BIG-IP. Использовав эту ошибку, злоумышленник мог получить возможность выполнения команд от лица неавторизованного пользователя и полностью скомпрометировать систему, например перехватить трафик веб-ресурсов, которым управляет контроллер. Атака может быть реализована удаленно. Об этом 2 июля 2020 года сообщили в Positive Technologies.
В ходе мониторинга актуальных угроз (threat intelligence) эксперты Positive Technologies выяснили, что на конец июня 2020 года в мире насчитывалось свыше 8 тысяч уязвимых устройств, доступных из интернета, из них 40% — в США, 16% — в Китае, 3% — на Тайване, по 2,5% — в Канаде и Индонезии. В России было обнаружено менее 1% уязвимых устройств.
В Positive Technologies отметили, что для устранения уязвимости необходимо обновить систему до последней версии: уязвимые версии BIG-IP (11.6.x, 12.1.x, 13.1.x, 14.1.x, 15.0.x, 15.1.x) следует заменить на версии, в которых уязвимость устранена (BIG-IP 11.6.5.2, 12.1.5.2, 13.1.3.4, 14.1.2.6, 15.1.0.4). Для пользователей публичных облачных маркетплейсов (AWS, Azure, GCP и Alibaba) необходимо использовать версии BIG-IP Virtual Edition (VE) 11.6.5.2, 12.1.5.2, 13.1.3.4, 14.1.2.6 или 15.1.0.4) при условии их наличия на этих рынках. Остальные рекомендации приведены в уведомлении F5 BIG-IP.
Кроме того, компания F5 устранила и вторую уязвимость в конфигурационном интерфейсе BIG-IP, обнаруженную Михаилом Ключниковым. Уязвимость CVE-2020-5903 с оценкой 7.5 относится к классу XSS. Злоумышленник может использовать эту ошибку для исполнения вредоносного JavaScript-кода от имени пользователя, вошедшего в систему. В случае пользователя с привилегиями администратора, имеющего доступ к Advanced Shell (bash), эксплуатация этой уязвимости может привести к полной компрометации системы BIG-IP посредством удаленного выполнения кода. Подробности и рекомендации по устранению представлены в уведомлении компании F5.
Также для блокировки атак, в которых эксплуатируются такие уязвимости, как CVE-2020-5902 и CVE-2020-5903, компании могут использовать межсетевые экраны уровня приложений.
Продолжение доступно только участникам
Членство в сообществе в течение указанного срока откроет тебе доступ ко ВСЕМ материалам «Хакера», позволит скачивать выпуски в PDF, отключит рекламу на сайте и увеличит личную накопительную скидку! Подробнее
Вариант 2. Открой один материал
Специалист по информационной безопасности в ONsec. Research, ethical hacking and Photoshop.
BIG-IP от компании F5 – это популярный контроллер доставки приложений, который применяют крупнейшие компании мира. В ходе анализа защищенности этого продукта, нам удалось найти опасную уязвимость CVE-2020-5902. Эта ошибка безопасности позволяет злоумышленнику получить возможность выполнения команд от лица неавторизованного пользователя и полностью скомпрометировать систему, например перехватить трафик веб-ресурсов, которым управляет контроллер.
По нашим данным, в июне 2020 года из интернета можно было получить доступ к 8 тысячам устройств, содержащих уязвимость CVE-2020-5902. Ее подробный разбор – в нашей новой статье.
Как защититься
Для устранения уязвимости необходимо обновить систему до последней версии: уязвимые версии BIG-IP (11.6.x, 12.1.x, 13.1.x, 14.1.x, 15.0.x, 15.1.x) следует заменить на версии, в которых уязвимость устранена (BIG-IP 11.6.5.2, 12.1.5.2, 13.1.3.4, 14.1.2.6, 15.1.0.4). Для пользователей публичных облачных маркетплейсов (AWS, Azure, GCP и Alibaba) необходимо использовать версии BIG-IP Virtual Edition (VE) 11.6.5.2, 12.1.5.2, 13.1.3.4, 14.1.2.6 или 15.1.0.4) при условии их наличия на этих рынках. Остальные рекомендации приведены в уведомлении F5 BIG-IP.
The Component Installer service enables you to install and upgrade client-side Access Policy Manager (APM) components on Windows-based clients for all kinds of user accounts, regardless of the rights under which the user is working. This component is especially useful for installing and upgrading client-side components when the user has insufficient rights to install or upgrade the components directly.
After you install the Component Installer, it automatically installs and upgrades client-side APM components. It can also update itself. The Component Installer requires that installation or upgrade packages be signed using the F5 Networks certificate or another trusted certificate. By default, F5 Networks signs all components using the F5 Networks certificate.
You can pre-install client components for your users who do not have administrative privileges on Windows-based systems.
On Windows-based clients, install the Component Installer with elevated privileges so that it can install, upgrade, and run APM components that require elevated privileges.
For information about configuring the MSI installer to run with elevated privileges, see the documentation for your operating system.
Users of BIG-IP Edge Client for Windows can connect securely and automatically to your network while roaming using the automatic reconnect, password caching, and location awareness features of Edge Client. You can also enforce Always Connected mode, and configure the list of trusted sites to which to allow access. You can customize the client package and you must download it and make it available to users as hosted content on the BIG-IP system or through another delivery mechanism. Users must install the package, or Component Installer, if available on the client, can install it for them.
A Machine Cert Auth check requires administrative privilege. The Windows client package associated with a connectivity profile can be configured to include a Machine Certificate Checker Service component. The service can check the machine certificate on a client endpoint even when the user does not have admin privilege. The option to include this component in the package is disabled by default.
The BIG-IP Edge Client provides a location-awareness feature. Using location awareness, the client connects automatically only when it is not on a specified network. The administrator specifies the networks that are considered in-network, by adding DNS suffixes to the connectivity profile. With a location-aware client enabled, a user with a corporate laptop can go from a corporate office, with a secured wireless or wired network connection, to an offsite location with a public wireless network connection, and maintain a seamless connection to allowed corporate resources. Network location-awareness can be triggered to run because of various reasons, such as IP changes and network interfaces starting up or shutting down. In reconnect mode, Edge Client might briefly establish a VPN tunnel before the network location-awareness feature can disconnect it. The Edge Client matches DNS suffixes reported by the system API to detect network location.
During a network switch, such as changing Wifi connections, Edge Client with network location-awareness must detect whether the new connection is local or remote. During this detection timeframe, there is a brief amount of time that Edge Client does not block certain external websites and can be reachable during the network switch.
BIG-IP Edge Client provides an automatic reconnection feature. This feature attempts to automatically reconnect the client system to corporate network resources whenever the client connection drops or ends prematurely.
BIG-IP ® Edge Client ® provides Always Connected mode. This feature allows you to specify that the client is always connected to the VPN, and allows you to configure the behavior when the client is not connected. You can specify whether the client is connected automatically after Windows logon, and configure exclusion addresses.
Update the connectivity profile in your Network Access configuration to configure security settings, servers, and location-awareness for BIG-IP Edge Client for Windows.
2022: Исправление уязвимости, позволяющей неаутентифицированному злоумышленнику выполнять произвольные системные команды
F5 предупредила о критической уязвимости BIG-IP.
Уязвимость связана с отсутствием проверки аутентификации, что потенциально позволяет злоумышленнику получить контроль над уязвимыми системами. Об этом стало известно 5 мая 2022 года.
Компания выпустила исправления для 43 ошибок в своих продуктах. Из 43 уязвимостей у одной рейтинг опасности критический, у 17 – высокий, у 24 – средний и ещё одна имеет низкий рейтинг опасности.
Главной среди уязвимостей – CVE-2022-1388 с оценкой CVSS 9,8 из 10.
По словам F5, уязвимость была обнаружена внутри компании и затрагивает продукты BIG-IP следующих версий:
- 16.1.0 - 16.1.2
- 15.1.0 - 15.1.5
- 14.1.0 - 14.1.4
- 13.1.0 - 13.1.4
- 12.1.0 - 12.1.6
- 11.6.1 - 11.6.5
Обход аутентификации iControl REST был исправлен в версиях 17.0.0, 16.1.2.2, 15.1.5.1, 14.1.4.6 и 13.1.5. Другие продукты F5 – BIG-IQ Centralized Management, F5OS-A, F5OS-C и Traffix SDC, не уязвимы к CVE-2022-1388.
До применения исправлений F5 предложила пользователям временные меры безопасности:
Поскольку устройства F5 используются в корпоративных сетях, организациям необходимо как можно скорее применить исправления, защитив системы от первоначального доступа хакеров.
Ранее сообщалось про успешные атаки на BIG-IP и BIG-IQ через исправленную уязвимость, которая позволяла удаленно выполнить код и затрагивала большинство версий программного обеспечения F5 BIG-IP и BIG-IQ [1] .
2015: Вышла версия BIG-IP 12.0
1 сентября 2015 года F5 Networks объявила о выпуске 12 основной версии программного обеспечения, которое расширяет гибридную платформу сервисов F5 и значительно улучшает динамичность, безопасность и скорость работы облачных приложений.
F5 поддерживает клиентов, развертывающих облачные и гибридные ИТ-архитектуры, с помощью решений BIG-IP Virtual Edition, которые стали доступны в Azure Marketplace. Все программные модули BIG-IP будут доступны на Azure в рамках модели лицензирования Good, Better, Best компании F5 в виде конфигурации BYOL (Bring Your Own License) с опциями 25 M, 200 M и 1 G.
Клиенты F5 и Microsoft получат дополнительные возможности для решения оптимизации технологий доставки приложений и облачных технологий в рамках одной унифицированной платформы. Кроме того, F5 предлагает дифференциацию скорости работы в Azure, включая поддержку VPN и маршрутизации (туннель IPsec) в облачных средах Microsoft.
В состав системы защиты приложений ПО BIG-IP версии 12.0 компании F5 включила множество изменений. Основные особенности:
Менеджер политик приложений F5 BIG-IP Access Policy Manager (APM) – это высокопроизводительное решение от F5, которое позволяет обеспечить безопасный доступ и работу с приложениями, независимо от того, где находятся пользователи (в пределах корпоративной сети, или за ее пределами). Также с помощью APM есть возможность упростить подход к определению политик безопасности (без ущерба для последней), т. е. политики доступа привязываются к учетным данным пользователя, а не к его местоположению.
Основные преимущества:
- Унифицированный доступ к корпоративным ресурсам вне зависимости от местоположения пользователя
- Упрощение инфраструктуры
- Безопасность в рамках пользовательского контекста, что упрощает работу с политиками безопасности
- Детальные отчеты о работе с ресурсами
- Снижение капитальных расходов.
Безопасный удаленный доступ к приложениям и корпоративной сети
BIG-IP APM позволяет обеспечить безопасный доступ к корпоративным приложениям для пользователей вне зависимости от их месторасположения (в пределах или за пределами корпоративной сети). Удаленным пользователям предоставляется безопасное использование ресурсов через шифрованные тоннели (VPN) с помощью клиентского ПО – BIG-IP Edge Client. При этом Edge Client автоматически устанавливает тоннель при обращении пользователя к корпоративным приложениям. Если же пользователь находится внутри сети, VPN соединение не устанавливается. Поскольку этот процесс происходит автоматически, он упрощает работу пользователя с корпоративными приложениями.
Edge Client доступен для следующих платформ: Microsoft Windows, Apple Mac, Linux а также с мобильных платформ – iOS, Android, Windows Mobile.
Также для мобильных платформ доступен BIG-IP Edge Portal, который устанавливает L7 тоннель напрямую к приложению, а не к сети компании.
Single sign-on (SSO)
SSO в BIG-IP APM позволяет пользователям, один раз введя свои учетные данные, получать доступ к необходимым ресурсам, что упростит их работу с приложениями.
Синхронизация сервисов Microsoft Exchange
BIG-IP APM поддерживает синхронизацию почты, календарей и контактов с Microsoft Exchange, как на стационарных рабочих станциях, так и на мобильных устройствах. Этот факт позволит избежать необходимости внедрения дополнительно решения по обеспечению безопасности данных сервисов (напр., Microsoft TMG).
Консолидированная инфраструктура ААА
BIG-IP APM поддерживает интеграцию с такими директориями, как Microsoft Active Directory, RADIUS, LDAP.
Упрощение предоставления доступа к инфраструктуре виртуальных рабочих столов (VDI).
BIG-IP APM является частью решения по доставке и обеспечению безопасности инфраструктуры VDI. Напр., в случае Citrix XenApp/XenDesktop есть возможность заменить Citrix authentication management, Secure Ticket Authority (STA), NetScaler и XenApp Services site. В случае VMWare – сервера VMWare View Security. При этом остается функционал удаленной доступности VDI. Это позволит сократить стоимость общего владения решения без ущерба для функциональности и безопасности.
Детальная отчетность
BIG-IP APM дает возможность просмотра кастомизированных отчетов об обращениях пользователей к тем или иным приложениям для дальнейшего анализа. Напр., отчеты об отказах в доступе, о пользователях, о ресурсах, к которым получали доступ и т. д.
Доступен в виде:
* BIG-IP Virtual Edition может работать на базе гипервизоров VMware ESXi, Microsoft Hyper-V, Citrix XenServer, Linux KVM, а также на базе облачного сервиса Amazon Web Services
Блочная система управления функциональностью решений F5 позволяет комбинировать предлагаемые решения в обширных рамках. Так менеджер политик доступа BIG-IP Access Policy Manager доступен в качестве отдельного решения, в составе специализированых бандлов, или же в произвольном комбинировании с модулями предлагаемыми компанией.
В июле 2020 года немало шума наделала уязвимость, найденная в линейке продуктов F5, в частности — в BIG-IP. Это контроллер доставки приложений, который используют и в крупнейших компаниях вроде банков и операторов сотовой связи. Уязвимости присвоили наивысший уровень опасности, поскольку она позволяет без каких-либо привилегий получить полный контроль над целью.
В составе BIG-IP есть разные модули, которые работают под управлением операционной системы TMOS. Один из них — Local Traffic Manager (LTM) — обрабатывает трафик приложений, обеспечивает безопасность сетевой инфраструктуры и локальную балансировку нагрузки. LTM можно гибко настраивать, в том числе при помощи веб-интерфейса TMUI (Traffic Management User Interface). В нем и нашли уязвимость.
Точнее, нашел Михаил Ключников из Positive Technologies. Баг существует из-за некорректной нормализации URI при обработке запросов. Злоумышленник может обойти аутентификацию в Traffic Management User Interface и использовать функции системы, которые предназначены только для администратора. В результате этого атакующий может выполнять произвольные команды на целевой системе от суперпользователя, а это означает полную компрометацию сервера.
Баг получил номер CVE-2020-5902 и 10 из 10 баллов критичности по CVSS. Уязвимость присутствует в BIG-IP версий с 15.0.0 по 15.1.0.3, с 14.1.0 по 14.1.2.5, 13.1.0–13.1.3.3, 12.1.0–12.1.5.1 и 11.6.1–11.6.5.1.
Находим уязвимые эндпоинты Tomcat
Давайте изучим конфигурацию сервера Apache Tomcat, и попробуем найти в ней уязвимые эндпоинты.
Ранее мы использовали путь /tiles/tmui/em_filter.jsp, но теперь давайте попробуем найти что-нибудь более полезное:
Фрагмент файла /usr/local/www/tmui/WEB-INF/web.xml
Мое внимание привлек путь “/hsqldb/”, который обрабатывается классом org.hsqldb.Servlet. Акроним HSQLDB означает Hyper SQL Database и его путь /hsqldb/ отвечает за предоставление доступа к самой базе данных.
Проверим, можно ли использовать нашу технику для доступа к этому пути:
Проверка доступности HSQLDB
Воспользуемся 'золотой техникой' под названием «поиск в Google» и найдем дефолтные логины и пароли для HSQLDB:
Google показывает вам дефолтный логин и пароль прямо на странице поиска
Теперь напишем Proof-Of-Concept на Java, чтобы протестировать наше предположение, что драйвер HSQLDB может заработать с такими дефолтными данными для логина:
PoC код для подключения к HSQLDB и запроса списка пользователей HSQLDB
Результат выполнения приведенного PoC кода
Код исполнился и вывел первого пользователя из таблицы, а это значит, что теперь мы можем исполнять произвольные SQL-запросы без какой бы то ни было аутентификации в интерфейсах F5 Big-IP.
2016: BIG-IP 12.1
12 июля 2016 года F5 Networks объявила о выпуске релиза версии BIG-IP 12.1. ПО обеспечивает возможности для программирования в традиционном, облачном и гибридном окружении.
Технология iRules LX компании F5 дает возможность управлять и выборочно разворачивать функциональные возможности сервисов через Node.js, и поддерживает доступ к более 250 тыс. программных пакетов сообщества Node.js. Эти функциональные возможности необходимы при доставке расширенной функциональности для веб-приложений, которым требуется оптимизированная пропускная способность, высокая масштабируемость и сервисы управления потоками трафика. Встраиваемое расширение для интегрированной среды разработки (IDE) Eclipse, которая поддерживается другими разработчиками технологии корпоративного уровня (CA, Google, IBM, Oracle, Red Hat и SAP), обеспечивает оперативную доставку повторно используемого кода, что расширяет функциональность.
В программных продуктах версии 12.1 реализован ряд усовершенствований в области информационной безопасности:
- BIG-IP 12.1 усиливает защиту ведущих в отрасли веб-приложений с помощью решения BIG-IP Application Security Manager (ASM), которое включает уникальные и адаптируемые методики обнаружения ботов с детальным анализом и расширенным отслеживанием идентификаторов устройств.
- BIG-IP ASM ускоряет занесение в черный список вредоносных IP аппаратного обеспечения для угроз седьмого уровня, обеспечивая надежную защиту до того, как будут получены обновленные версии списков.
- Программные решения F5 обеспечивают контроль над соединениями HTML5 WebSocket для комплексной защиты политики, когда другие межсетевые экраны для веб-приложений не справляются.
- в составе BIG-IP Advanced Firewall Manager действуют расширенные функциональные возможности, которые в автоматическом режиме ограничивают поток атак уровней 3–7 и контролируют инициированные пользователями действия в канале SSH посредством разворачивания адаптированных политик.
Ищем ошибки конфигурации веб-сервера
Давайте установим F5 Big-IP к себе на виртуальную машину, и получим доступ к его командной оболочке:
Интерфейс командной строки F5 Big-IP
Первое, что стоит сделать для начала ресерча, это посмотреть все открытые порты, и какие приложения их используют. Так мы выявим все возможные точки входа в систему. Для этого используем команду netstat:
Поиск открытых портов на устройстве
Данный файл конфигурирует Apache таким образом, чтобы он осуществлял передачу запросов к Apache Tomcat на локальный порт 8009/tcp через протокол AJP, но только в случае, если эти запросы совпадают с одним из заданных регулярных выражений.
Обнаружение приложения, которое слушает порт 8009/tcp
Слайд презентации Orange Tsai
Чтобы понять, будет ли работать этот способ, нужно получить путь к одному из скрытых эндпоинтов Tomcat в конфигурационном файле:
Фрагмент конфигурационного файла /usr/local/www/tmui/WEB-INF/web.xml
Путь /tiles/tmui/em_filter.jsp не должен совпадать с регулярными выражениями в файле proxy_ajp.conf, так что тестируем:
Тестируем технику Orange Tsai
Обычный запрос возвращает код 404, а запрос, использующий технику Orange Tsai – код 200. Таким образом, теперь мы можем обращаться к любым страницам на внутреннем сервере Apache Tomcat исследуемого устройства.
Детали уязвимости
Вернемся в консоль. Посмотрим, что за веб-сервер слушает 443-й порт.
Смотрим, какой сервис слушает 443-й порт в BIG-IP
И название, и содержимое файла наводят на мысль, что запросы переправляются к веб-серверу Tomcat по протоколу AJP. О нем я уже писал в статье про уязвимость в Tomcat.
8009-й порт — это AJP-протокол сервера Apache Tomcat
Но сейчас проблема не в этом. Нам нужно посмотреть на то, как передается URI к Tomcat. Здесь стоит обратиться к большому исследованию Оранжа Цая о нормализации путей в различных приложениях, которое он представил на Black Hat USA 2018 и DEF CON 26 (PDF). Там есть раздел о Tomcat, где конструкция /..;/ используется для выхода из директории, обхода некоторых правил и получения доступа к файлам с важной информацией. Это возможно потому, что веб-сервер воспринимает конструкцию /..;/ как имя папки, а Tomcat интерпретирует его в качестве относительного пути — вверх по дереву в родительскую директорию.
Чтобы проверить, работает ли этот баг в нашем случае, попробуем прочитать какой-нибудь файл, доступ к которому в обычных условиях запрещен. Список таких можно посмотреть, например, в конфиге TMUI — /usr/local/www/tmui/WEB-INF/web.xml .
/usr/local/www/tmui/WEB-INF/web.xml
Попробуем его просмотреть простым запросом.
В ответ получаем редирект на страницу авторизации. А теперь сделаем это при помощи конструкции /..;/ .
Скрипт viewset.jsp отрабатывает успешно, и сервер возвращает результат.
Обход авторизации и просмотр недоступных страниц в F5 BIG-IP
Теперь мы можем читать любые страницы и выполнять сервлеты, которые не проверяют сессию пользователя внутри себя.
Давай посмотрим, что можно откопать в дебрях TMUI. Все самое интересное лежит в директории /usr/local/www/tmui/WEB-INF/ . Здесь же находятся и сами сервлеты, в откомпилированном виде. В связи с этим мне понадобится JD-GUI. Чтобы было проще, советую просто заархивировать директорию /usr/local/www/tmui/WEB-INF/ в формате ZIP и открыть в JD-GUI.
Декомпиляция классов BIG-IP в JD-GUI
А список эндпойнтов, как мы уже выяснили, можно найти в файле /usr/local/www/tmui/WEB-INF/web.xml . Их очень много, поэтому приведу здесь несколько наиболее интересных, которые были найдены после релиза уязвимости в паблик.
Резюме
Мы получили RCE от неавторизованного пользователя за три простых шага:
В чем проблема
BIG-IP от компании F5 – это популярный контроллер доставки приложений, который применяют крупнейшие компании мира. Уязвимость CVE-2020-5902 получила оценку 10 баллов по шкале CVSS – это наивысший уровень опасности.
Уязвимость дает возможность удаленному злоумышленнику, в том числе не прошедшему проверку подлинности, но имеющему доступ к конфигурационной утилите BIG-IP, выполнить произвольный код в программном обеспечении (remote code execution, RCE). В результате атакующий сможет создавать или удалять файлы, отключать службы, перехватывать информацию, выполнять произвольные системные команды и произвольный Java-код, полностью скомпрометировать систему и развить атаку, например на внутренний сегмент сети.
К RCE приводит совокупность недостатков безопасности нескольких компонентов системы (например, выход за пределы каталога). Особой опасности подвергаются компании, у которых веб-интерфейс F5 BIG-IP можно обнаружить в специальных поисковых системах, таких как Shodan, но надо отметить, что необходимый интерфейс доступен из глобальной сети далеко не у всех компаний-пользователей
В ходе мониторинга актуальных угроз (threat intelligence) мы выяснили, что на конец июня 2020 года в мире насчитывалось свыше 8 тысяч уязвимых устройств, доступных из интернета, из них 40% — в США, 16% — в Китае, 3% — на Тайване, по 2,5% — в Канаде и Индонезии. В России было обнаружено менее 1% уязвимых устройств.
Теперь перейдем к рассказу о том, как нам удалось найти CVE-2020-5902.
Тестовый стенд
Так как продукт коммерческий, простого докер-контейнера в этот раз не будет. Самый легкий способ поднять стенд — это скачать тридцатидневную пробную версию BIG-IP VE (Virtual Edition). Для этого нужен аккаунт, который можно создать на сайте F5. После подтверждения можно будет переходить в раздел загрузок.
Нам нужна последняя уязвимая версия, это — 15.1.0.3. BIG-IP распространяется в нескольких вариантах, нас интересует образ виртуальной машины в формате OVA. Перед загрузкой предложат выбрать удобное зеркало.
Также можешь попробовать воспользоваться моей ссылкой для скачивания образа. Не могу сказать, сколько она проживет, но пока отлично работает.
После этого импортируем скачанный образ в свою программу виртуализации. Я буду использовать VMware, но и VirtualBox отлично с этим справится.
После успешного импорта загружаем виртуалку. Через некоторое время видим приглашение для авторизации.
Авторизация в виртуальной машине BIG-IP
По дефолту пароль для суперпользователя — default (тебе сразу предложат его сменить). Теперь можно посмотреть IP-адрес виртуалки.
IP-адрес виртуальной машины BIG-IP
Открываем браузер и переходим на этот IP. Видим форму авторизации Traffic Management User Interface.
Форма авторизации BIG-IP Configuration Utility
Читайте также: