CVE-2020-5902

F5 BIG-IP

ВЫСОКАЯ ВЕРОЯТНОСТЬ
Дата обнаружения

2021-11-03

Официальное описание

F5 BIG-IP Traffic Management User Interface (TMUI) contains a remote code execution vulnerability in undisclosed pages.

🛡️
Технический анализ и план устранения

Суть уязвимости

Уязвимость (CVE-2020-5902) в веб-интерфейсе управления трафиком (TMUI) BIG-IP позволяет удаленному злоумышленнику выполнять произвольный код на системе без аутентификации. Эксплуатация возможна через специально сформированные HTTP-запросы к уязвимым компонентам (/tmui/login.jsp и /tmui/util/), что может привести к полному контролю над устройством.

Как исправить

Установите фиксированную версию ПО для вашей ветки BIG-IP. Обновление является единственным надежным решением.

  1. Определите текущую версию: bash tmsh show sys version

  2. Обновитесь до одной из следующих версий:

    • Branches 15.x: 15.1.0.4
    • Branches 14.x: 14.1.2.6
    • Branches 13.x: 13.1.3.4
    • Branches 12.x: 12.1.5.2
    • Branches 11.x: 11.6.5.2

  3. Скачайте и установите исправление:

    • Загрузите файл исправления (.iso) с портала поддержки F5.
    • Загрузите образ на устройство BIG-IP.
    • Установите обновление через командную строку: bash tmsh install sys software image <имя_файла_образа>.iso volume <имя_тома>
    • Перезагрузите устройство для активации новой версии.

Временное решение

Если немедленное обновление невозможно, ограничьте доступ к TMUI.

  1. Ограничьте доступ по IP (рекомендуется):

    • Измените конфигурацию виртуального сервера TMUI, разрешив доступ только с доверенных IP-адресов (например, сети управления). ```bash tmsh modify ltm virtual <имя_виртуального_сервера_TMUI> source-address-translation { type snat, pool <пул_snat> } source 0.0.0.0/0

    Замените <имя_виртуального_сервера_TMUI> на актуальное имя, а в политике доступа (ACL) укажите доверенные подсети.

    ``` * Или используйте политику управления доступом (ACL) в сетевом оборудовании перед BIG-IP.

  2. Отключите публичный доступ к TMUI:

    • Если удаленное управление не требуется, полностью отключите доступ к портам веб-интерфейса (по умолчанию TCP/443) из внешних сетей (Internet) на межсетевом экране.

  3. Настройте правила в WAF:

    • Если используется WAF (например, F5 Advanced WAF), создайте и активируйте правило для блокировки запросов, содержащих шаблоны эксплуатации данной уязвимости (пути /tmui/login.jsp и /tmui/util/ с опасными параметрами).

Важно: Временные меры снижают риск, но не устраняют уязвимость. Запланируйте установку официального патча как можно скорее.

Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей