Positive Technologies公司的安全研究人员Nikita Abramov在F5 BIG-IP产品中发现了一个安全漏洞，攻击者可利用该漏洞发动拒绝服务攻击。

该漏洞编号为CVE-2020-27716，影响F5 BIG-IP Access Policy Manager（APM）。APM是一个安全的、灵活的、高性能的访问管理代理解决方案，可对用户、设备、应用程序和API进行统一的全局访问控制。

该漏洞存在于Traffic Management Microkernel（TMM）组件，该组件用于处理BIG-IP设备上的所有负载均衡流量。

根据F5发布的安全公告，当BIG-IP APM虚拟服务器处理性质不明的流量时，TMM停止响应并重新启动。在TMM重启时，流量处理被中断。如果受影响的BIG-IP系统被配置为设备组的组成部分，则系统会触发失效转移至对等设备。

攻击者只要通过向托管BIG-IP配置实用程序的服务器发送特殊构造的HTTP请求便可触发该漏洞，暂时阻止对控制器的访问，直到设备自动重启。

Positive Technologies的研究人员Nikita Abramov解释称，像这样的漏洞在代码中很常见。它们可能是由于不同的原因而产生的，例如开发人员无意中忽略了它们，或者是由于没有进行足够的额外检查。该研究人员在二进制分析过程中发现了该漏洞。像这样的漏洞可以通过使用非标准请求，分析逻辑，逻辑不一致性来检测。

该漏洞影响14.x和15.x版本，厂商已经发布安全更新，修复了该漏洞。

2020年6月，F5 Networks的研究人员修复了另一个漏洞（CVE-2020-5902），该漏洞存在于BIG-IP产品的Traffic Management User Interface（TMUI）未公开的页面中。

攻击者可利用该漏洞获取对TMUI组件的访问权限，进而执行任意系统命令、禁用服务、执行任意Java代码、创建或删除文件、并可能接管BIG-IP设备。

CVE-2020-5902的CVSS基准评分为10，这意味着该漏洞的利用门槛非常低。攻击者通过向托管BIG-IP配置TMUI实用程序的服务器发送特殊构造的HTTP请求即可利用该漏洞。

该漏洞得到公开披露后，互联网上立即出现了多个PoC exp，且其中一些非常容易使用。

在F5 Networks BIG-IP产品中的该漏洞被披露数天后，威胁行为者就开始在攻击中利用该漏洞。威胁行为者利用CVE-2020-5902漏洞获取密码，创建web shell，使用各种恶意软件感染系统。

作者：Pierluigi Paganini
来源：Security Affairs