F5 发布了安全公告以应对发现于 F5 BIG-IP 系统中 Traffic Management User Interface (TMUI) 的多个漏洞。攻击者可以攻击漏洞,从而执行远端执行程式码,以及在已登入的用户或管理员中执行系统指令或JavaScript代码。
有报告指漏洞CVE-2020-5902容许远端及未通过认证的攻击者通过特制的请求在受影响的系统中执行任意指令。用户应立即为受影响的系统安装修补程式,以减低受到网络攻击的风险。
成功利用这些漏洞可以在受影响的系统导致执行任意指令、执行任意程式码、数据篡改、服务受阻断及完全控制受影响的系统。
适用于受影响系统的软件更新已可获取。受影响系统的系统管理员应遵从产品供应商的建议,立即采取行动以降低风险。建议咨询产品供应商以取得修补程式及有关支援。
系统管理员应遵循良好作业模式,仅允许管理人员通过安全网络访问产品,并限制对受信任用户的外壳访问。
https://support.f5.com/csp/article/K07051153
https://support.f5.com/csp/article/K31301245
https://support.f5.com/csp/article/K43638305
https://support.f5.com/csp/article/K52145254
https://www.ptsecurity.com/ww-en/about/news/f5-fixes-critical-vulnerability-discovered-by-positive-technologies-in-big-ip-application-delivery-controller/
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-5902 (to CVE-2020-5905)