Категория > Новости > Большая дыра в BIG-IP. Как работает новая уязвимость в продуктах компании F5 - «Новости»

Большая дыра в BIG-IP. Как работает новая уязвимость в продуктах компании F5 - «Новости»

12-08-2020, 12:38. Автор: Ольга

В июле 2020 года немало шума наделала уязвимость, найденная в линейке продуктов F5, в частности — в BIG-IP. Это контроллер доставки приложений, который используют и в крупнейших компаниях вроде банков и операторов сотовой связи. Уязвимости присвоили наивысший уровень опасности, поскольку она позволяет без каких-либо привилегий получить полный контроль над целью.

В составе BIG-IP есть разные модули, которые работают под управлением операционной системы TMOS. Один из них — Local Traffic Manager (LTM) — обрабатывает трафик приложений, обеспечивает безопасность сетевой инфраструктуры и локальную балансировку нагрузки. LTM можно гибко настраивать, в том числе при помощи веб-интерфейса TMUI (Traffic Management User Interface). В нем и нашли уязвимость.

Точнее, нашел Михаил Ключников из Positive Technologies. Баг существует из-за некорректной нормализации URI при обработке запросов. Злоумышленник может обойти аутентификацию в Traffic Management User Interface и использовать функции системы, которые предназначены только для администратора. В результате этого атакующий может выполнять произвольные команды на целевой системе от суперпользователя, а это означает полную компрометацию сервера.

Большая дыра в BIG-IP. Как работает новая уязвимость в продуктах компании F5 - «Новости»

INFO

Баг получил номер CVE-2020-5902 и 10 из 10 баллов критичности по CVSS. Уязвимость присутствует в BIG-IP версий с 15.0.0 по 15.1.0.3, с 14.1.0 по 14.1.2.5, 13.1.0–13.1.3.3, 12.1.0–12.1.5.1 и 11.6.1–11.6.5.1.

Тестовый стенд

Так как продукт коммерческий, простого докер-контейнера в этот раз не будет. Самый легкий способ поднять стенд — это скачать тридцатидневную пробную версию BIG-IP VE (Virtual Edition). Для этого нужен аккаунт, который можно создать на сайте F5. После подтверждения можно будет переходить в раздел загрузок.

Нам нужна последняя уязвимая версия, это — 15.1.0.3. BIG-IP распространяется в нескольких вариантах, нас интересует образ виртуальной машины в формате OVA. Перед загрузкой предложат выбрать удобное зеркало.

Страница загрузки виртуальной машины BIG-IP в формате OVA

Также можешь попробовать воспользоваться моей ссылкой для скачивания образа. Не могу сказать, сколько она проживет, но пока отлично работает.

После этого импортируем скачанный образ в свою программу виртуализации. Я буду использовать VMware, но и VirtualBox отлично с этим справится.

После успешного импорта загружаем виртуалку. Через некоторое время видим приглашение для авторизации.

Авторизация в виртуальной машине BIG-IP

По дефолту пароль для суперпользователя — default (С‚РµР±Рµ СЃСЂР°Р·Сѓ РїСЂРµРґР»РѕР¶Р°С‚ РµРіРѕ СЃРјРµРЅРёС‚СЊ). РўРµРїРµСЂСЊ РјРѕР¶РЅРѕ РїРѕСЃРјРѕС‚СЂРµС‚СЊ IP-Р°РґСЂРµСЃ РІРёСЂС‚СѓР°Р»РєРё.

IP-Р°РґСЂРµСЃ РІРёСЂС‚СѓР°Р»СЊРЅРѕР№ РјР°С€РёРЅС‹ BIG-IP

РћС‚РєСЂС‹РІР°РµРј Р±СЂР°СѓР·РµСЂ Рё РїРµСЂРµС…РѕРґРёРј РЅР° СЌС‚РѕС‚ IP. Р’РёРґРёРј С„РѕСЂРјСѓ Р°РІС‚РѕСЂРёР·Р°С†РёРё Traffic Management User Interface.

Р¤РѕСЂРјР° Р°РІС‚РѕСЂРёР·Р°С†РёРё BIG-IP Configuration Utility

РЎС‚РµРЅРґ РіРѕС‚РѕРІ.

Р”РµС‚Р°Р»Рё СѓСЏР·РІРёРјРѕСЃС‚Рё

Р’РµСЂРЅРµРјСЃСЏ РІ РєРѕРЅСЃРѕР»СЊ. РџРѕСЃРјРѕС‚СЂРёРј, С‡С‚Рѕ Р·Р° РІРµР±-СЃРµСЂРІРµСЂ СЃР»СѓС€Р°РµС‚ 443-Р№ РїРѕСЂС‚.

netstat -lnpe | grep 443

Смотрим, какой сервис слушает 443-й порт в BIG-IP

Это обычный демон httpd, РЅРѕ РѕС‡РµРІРёРґРЅРѕ, С‡С‚Рѕ РѕРЅ РёСЃРїРѕР»СЊР·СѓРµС‚СЃСЏ РїСЂРѕСЃС‚Рѕ РєР°Рє С„СЂРѕРЅС‚РµРЅРґ РґР»СЏ РїСЂРѕРєСЃРёСЂРѕРІР°РЅРёСЏ Р·Р°РїСЂРѕСЃРѕРІ РєСѓРґР°-С‚Рѕ РґР°Р»СЊС€Рµ. РџРѕРёС‰РµРј СЃСЂРµРґРё РєРѕРЅС„РёРіСѓСЂР°С†РёРѕРЅРЅС‹С… С„Р°Р№Р»РѕРІ РґРёСЂРµРєС‚РёРІС‹ ProxyPass.

grep -iR ProxyPass /etc/httpd

Поиск директивы проксирования в конфигах httpd

Нашлось много интересного в файле /etc/httpd/conf.d/proxy_ajp.conf.

/etc/httpd/conf.d/proxy_ajp.conf

...
ProxyPassMatch ^/tmui/(.*.jsp.*)$ ajp://localhost:8009/tmui/$1 retry=5
ProxyPassMatch ^/tmui/Control/(.*)$ ajp://localhost:8009/tmui/Control/$1 retry=5
ProxyPassMatch ^/tmui/deal/?(.*)$ ajp://localhost:8009/tmui/deal/$1 retry=5
ProxyPassMatch ^/tmui/graph/(.*)$ ajp://localhost:8009/tmui/graph/$1 retry=5
ProxyPassMatch ^/tmui/service/(.*)$ ajp://localhost:8009/tmui/service/$1 retry=5
ProxyPassMatch ^/hsqldb(.*)$ ajp://localhost:8009/tmui/hsqldb$1 retry=5
...
[/code]

И название, и содержимое файла наводят на мысль, что запросы переправляются к веб-серверу Tomcat по протоколу AJP. О нем я уже писал в статье про уязвимость в Tomcat.

8009-й порт — это AJP-протокол сервера Apache Tomcat

Но сейчас проблема не в этом. Нам нужно посмотреть на то, как передается URI к Tomcat. Здесь стоит обратиться к большому исследованию Оранжа Цая о нормализации путей в различных приложениях, которое он представил на Black Hat USA 2018 и DEF CON 26 (PDF). Там есть раздел о Tomcat, где конструкция /..;/ РёСЃРїРѕР»СЊР·СѓРµС‚СЃСЏ РґР»СЏ РІС‹С…РѕРґР° РёР· РґРёСЂРµРєС‚РѕСЂРёРё, РѕР±С…РѕРґР° РЅРµРєРѕС‚РѕСЂС‹С… РїСЂР°РІРёР» Рё РїРѕР»СѓС‡РµРЅРёСЏ РґРѕСЃС‚СѓРїР° Рє С„Р°Р№Р»Р°Рј СЃ РІР°Р¶РЅРѕР№ РёРЅС„РѕСЂРјР°С†РёРµР№. РС‚Рѕ РІРѕР·РјРѕР¶РЅРѕ РїРѕС‚РѕРјСѓ, С‡С‚Рѕ РІРµР±-СЃРµСЂРІРµСЂ РІРѕСЃРїСЂРёРЅРёРјР°РµС‚ РєРѕРЅСЃС‚СЂСѓРєС†РёСЋ /..;/ как имя папки, а Tomcat интерпретирует его в качестве относительного пути — вверх по дереву в родительскую директорию.

Чтобы проверить, работает ли этот баг в нашем случае, попробуем прочитать какой-нибудь файл, доступ к которому в обычных условиях запрещен. Список таких можно посмотреть, например, в конфиге TMUI — /usr/local/www/tmui/WEB-INF/web.xml.

`/usr/local/www/tmui/WEB-INF/web.xml`

<servlet-mapping>
    <servlet-name>org.apache.jsp.dashboard.viewset_jsp</servlet-name>
    <url-pattern>/dashboard/viewset.jsp</url-pattern>
</servlet-mapping>

Попробуем его просмотреть простым запросом.

curl -k "https://192.168.31.140/tmui/dashboard/viewset.jsp" -is

В ответ получаем редирект на страницу авторизации. А теперь сделаем это при помощи конструкции /..;/.

curl -k "https://192.168.31.140/tmui/login.jsp/..;/dashboard/viewset.jsp" -is

Скрипт viewset.jsp РѕС‚СЂР°Р±Р°С‚С‹РІР°РµС‚ СѓСЃРїРµС€РЅРѕ, Рё СЃРµСЂРІРµСЂ РІРѕР·РІСЂР°С‰Р°РµС‚ СЂРµР·СѓР»СЊС‚Р°С‚.

РћР±С…РѕРґ Р°РІС‚РѕСЂРёР·Р°С†РёРё Рё РїСЂРѕСЃРјРѕС‚СЂ РЅРµРґРѕСЃС‚СѓРїРЅС‹С… СЃС‚СЂР°РЅРёС† РІ F5 BIG-IP

РўРµРїРµСЂСЊ РјС‹ РјРѕР¶РµРј С‡РёС‚Р°С‚СЊ Р»СЋР±С‹Рµ СЃС‚СЂР°РЅРёС†С‹ Рё РІС‹РїРѕР»РЅСЏС‚СЊ СЃРµСЂРІР»РµС‚С‹, РєРѕС‚РѕСЂС‹Рµ РЅРµ РїСЂРѕРІРµСЂСЏСЋС‚ СЃРµСЃСЃРёСЋ РїРѕР»СЊР·РѕРІР°С‚РµР»СЏ РІРЅСѓС‚СЂРё СЃРµР±СЏ.

Р”Р°РІР°Р№ РїРѕСЃРјРѕС‚СЂРёРј, С‡С‚Рѕ РјРѕР¶РЅРѕ РѕС‚РєРѕРїР°С‚СЊ РІ РґРµР±СЂСЏС… TMUI. Р’СЃРµ СЃР°РјРѕРµ РёРЅС‚РµСЂРµСЃРЅРѕРµ Р»РµР¶РёС‚ РІ РґРёСЂРµРєС‚РѕСЂРёРё /usr/local/www/tmui/WEB-INF/. Здесь же находятся и сами сервлеты, в откомпилированном виде. В связи с этим мне понадобится JD-GUI. Чтобы было проще, советую просто заархивировать директорию /usr/local/www/tmui/WEB-INF/ РІ С„РѕСЂРјР°С‚Рµ ZIP Рё РѕС‚РєСЂС‹С‚СЊ РІ JD-GUI.

Р”РµРєРѕРјРїРёР»СЏС†РёСЏ РєР»Р°СЃСЃРѕРІ BIG-IP РІ JD-GUI

Рђ СЃРїРёСЃРѕРє СЌРЅРґРїРѕР№РЅС‚РѕРІ, РєР°Рє РјС‹ СѓР¶Рµ РІС‹СЏСЃРЅРёР»Рё, РјРѕР¶РЅРѕ РЅР°Р№С‚Рё РІ С„Р°Р№Р»Рµ /usr/local/www/tmui/WEB-INF/web.xml. Их очень много, поэтому приведу здесь несколько наиболее интересных, которые были найдены после релиза уязвимости в паблик.

Перейти обратно к новости