0x01 漏洞简述
2020年07月08日, 360CERT监测发现 F5 官方更新了 F5 BIG-IP 远程代码执行 的风险通告,该漏洞编号为 CVE-2020-5902,漏洞等级:严重。
未授权的远程攻击者通过向漏洞页面发送特制的请求包,可以造成任意 Java 代码执行。进而控制 F5 BIG-IP 的全部功能,包括但不限于: 执行任意系统命令、开启/禁用服务、创建/删除服务器端文件等,使用官方的httpd配置缓解修复方案仍可造成反序列化代码执行漏洞。该漏洞影响控制面板受影响,不影响数据面板。
对此,360CERT建议广大用户及时将 BIG-IP 按照修复建议升级到指定版本。与此同时,请做好资产自查以及预防工作,以免遭受黑客攻击。
0x02 漏洞详情
首先,这里F5选择了Apache和tomcat服务器使用ajp_proxy模块进行通信,apache处理完请求之后,通过ajp协议转发给Tomcat,默认是8009端口,来看一下关于漏洞的配置文件,
- proxy_ajp.conf
ProxyPassMatch ^/tmui/(.*\.jsp.*)$ ajp://localhost:8009/tmui/$1 retry=5 ... ProxyPassMatch ^/hsqldb(.*)$ ajp://localhost:8009/tmui/hsqldb$1 retry=5
- apache的httpd.conf
#
# HSQLDB
#
<Location /hsqldb>
<RequireAll>
AuthType Basic
AuthName "BIG\-IP"
AuthPAM_Enabled on
AuthPAM_IdleTimeout 1200
require valid-user
Require all granted
</RequireAll>
</Location>
<Location /tmui>
# Enable content compression by type, disable for browsers with known issues
<IfModule mod_deflate.c>
AddOutputFilterByType DEFLATE text/html text/plain application/x-javascript text/css
BrowserMatch ^Mozilla/4 gzip-only-text/html
BrowserMatch ^Mozilla/4\.0[678] no-gzip
BrowserMatch \bMSIE !no-gzip !gzip-only-text/html
</IfModule>
<RequireAll>
AuthType Basic
AuthName "Restricted area"
AuthPAM_Enabled on
AuthPAM_ExpiredPasswordsSupport on
AuthPam_ValidateIP On
AuthPAM_IdleTimeout 1200
AuthPAM_DashboardTimeout Off
require valid-user
Require all granted
</RequireAll>
</Location>
Apache 处理 url
Apache httpd将URL中的;解释为用于路径解析的普通字符,而Tomcat将其解释为查询分隔符,也就如下面所说,相当于?。
Tomcat 解析 url
我们看一下Tomcat是如何解析url的,我们的测试url为index.jsp/..;xxx/urltest/aaaa,web.xml为:
在CoyoteAdapter.service下断点,因为Tomcat里在CoyoteAdapter去处理封装请求。
Adapter连接了Tomcat连接器Connector和容器Container.它的实现类是CoyoteAdapter主要负责的是对请求进行封装,构造Request和Response对象.并将请求转发给Container也就是Servlet容器.
此时,会调用postParseRequest方法对req进行处理,继续跟到parsePathParameters方法,截取了关键部分的代码,主要目的是把;和/之间的部分,包括;给去除。
接着检测;和/中间的部分是否存在=,如果存在,比如为age=1,就会取出age和1,调用addPathParameter,加到请求的param里,所以在这里;就相当于?的作用了。
接着调用normalize处理url,这里的url是parsePathParameters方法处理过后的。
这里面最终会把/../给删除,并且路径会到上层,处理后是这样的。
于是,url的处理经历了两步
- parsePathParameters:
index.jsp/..;xxx/urltest/aaaa -> index.jsp/../urltest/aaaa
- normalize
index.jsp/../urltest/aaaa -> /urltest/aaaa
F5 PAM 认证模块
F5实现了自己的pam进行认证,模块路径为/usr/lib/httpd/modules/,其中,涉及到login.jsp授权的是mod_f5_auth_cookie.so文件。
反汇编之后,大概是这样的。我们能够请求/tmui/login.jsp而不需要进行身份验证。
如果直接访问其他jsp文件,在没有通过身份验证的情况下,是会被重定向到/tmui/login.jsp的
总结
- 在apache的处理中,;是被当作普通字符的,不会解析。
/tmui/login.jsp/..;/tmui/locallb/workspace/fileRead.jsp?fileName=/etc/passwd
- 此时,由于请求的是/tmui/login.jsp,根据pam认证模块里,/tmui/login.jsp不需要认证,接着,该请求会被转发到 tomcat上,最终tomcat请求:
/tmui/tmui/locallb/workspace/fileRead.jsp?fileName=/etc/passwd
在web.xml 是有该配置的
<servlet-mapping>
<servlet-name>org.apache.jsp.tmui.locallb.workspace.fileRead_jsp</servlet-name>
<url-pattern>/tmui/locallb/workspace/fileRead.jsp</url-pattern>
</servlet-mapping>
- 请求/hsqldb;,apache本身会对/hsqldb进行认证,根据httpd.conf的配置,是匹配不到/hsqldb;的
<Location /hsqldb>
<RequireAll>
AuthType Basic
AuthName "BIG\-IP"
AuthPAM_Enabled on
AuthPAM_IdleTimeout 1200
require valid-user
Require all granted
</RequireAll>
</Location>
但正是因为tomcat对于;处理上的差异,导致了身份的绕过,%0a也是一个道理。
任意文件读取
由于fileRead.jsp本身没有身份验证,通过权限绕过之后,就能够直接访问fileRead.jsp,于是,直接从url里获取fileName参数,带入WorkspaceUtils.readFile
最终造成一个文件读取
命令执行
由于tmshCmd.jsp本身没有身份验证,通过权限绕过之后,就能够直接访问tmshCmd.jsp,于是,直接从url里获取command参数,带入WorkspaceUtils.runTmshCommand
hsqldb反序列化
2020年07月08日, 360CERT监测发现 F5 官方更新了 F5 BIG-IP 远程代码执行 的风险通告,更新了httpd的补丁,从
include ' <LocationMatch ".*\.\.;.*"> Redirect 404 / </LocationMatch> '
改为
include ' <LocationMatch ";"> Redirect 404 / </LocationMatch> '
然而这样依然可以被绕过,使用%0a,也是因为tomcat的处理和apache的差异所导致的。
通过;或者%0a直接访问hsqldb来绕过身份验证,从而通过org.hsqldb.util.ScriptTool.main反序列化了以ASCII十六进制字符串造成反序列化漏洞,不过该反序列化攻击需要hsqldb没有设置密码。 我们直接访问hsqldb,会被重定向
curl -k "https://10.70.249.116:443/hsqldb" <!DOCTYPE HTML PUBLIC "-//IETF//DTD HTML 2.0//EN"> <html><head> <title>302 Found</title> </head><body> <h1>Found</h1> <p>The document has moved <a href="/tmui/login.jsp">here</a>.</p> </body></html>
而利用;或者%0a,可以造成权限绕过,具体在上面已经说过了。
curl -k "https://10.70.249.116:443/hsqldb;" <html><head><title>HSQL Database Engine Servlet</title> </head><body><h1>HSQL Database Engine Servlet</h1> The servlet is running.<p> The database is also running.<p> Database name: mem:.<p> Queries processed: 0<p> </body></html>
反序列化的调用栈
deserialize:-1, InOutUtil (org.hsqldb.lib) getObject:-1, JavaObject (org.hsqldb.types) getArguments:-1, Function (org.hsqldb) getValue:-1, Function (org.hsqldb) getValue:-1, Expression (org.hsqldb) executeCallStatement:-1, CompiledStatementExecutor (org.hsqldb) executeImpl:-1, CompiledStatementExecutor (org.hsqldb) execute:-1, CompiledStatementExecutor (org.hsqldb) sqlExecuteCompiledNoPreChecks:-1, Session (org.hsqldb) executePart:-1, DatabaseCommandInterpreter (org.hsqldb) execute:-1, DatabaseCommandInterpreter (org.hsqldb) sqlExecuteDirectNoPreChecks:-1, Session (org.hsqldb) execute:-1, Session (org.hsqldb) fetchResult:-1, jdbcStatement (org.hsqldb.jdbc) execute:-1, jdbcStatement (org.hsqldb.jdbc) execute:98, ScriptTool (org.hsqldb.util)
实例化 Function 对象
首先,根据我们的sql语句,解析器会识别我们调用的是一个方法,于是会实例化一个org.hsqldb.Function,这部分逻辑在readColumnExpression里,
在Function方法中,会判断我们调用的方法是否是静态方法,只能调用静态方法,将要调用的方法进行封装到Function对象中。
接着对方法的返回值进行判断,这里是org.hsqldb.util.ScriptTool.main,返回值是void。
于是调用Types.getParameterTypeNr,是void,暂时将iReturnType值设置为0。
接着往下走,对参数类型进行判断,不为java.sql.Connection,调用Types.getParameterTypeNr方法。
由于main方法的参数类型是String,同时String类型继承Serializable接口。
于是最终将iReturnType赋值为1111。
反序列化16进制数据
之后在readColumnExpression调用Parser.read方法,取出’单引号包裹的值,也就是我们要反序列化的hex值。
然后,取出hex的值,调用convertObject,这里对根据iReturnType是1111,于是调用StringConverter.hexToByte,将hex还原为byte数组并传入JavaObject的构造方法中。
将byte数组赋值给data。
由于返回值是JavaObject,于是最后调用JavaObject.getObject方法。
调用InOutUtil.deserialize处理data值。
最终造成反序列化。 
0x03 时间线
2020-07-01 F5官方发布通告
2020-07-03 360CERT发布通告
2020-07-06 360CERT更新通告
2020-07-10 F5官方更新漏洞的缓解措施
2020-07-11 360CERT二次更新通告
2020-07-14 360CERT发布分析
0x04 参考链接
- 【补丁二次更新】CVE-2020-5902: F5 BIG-IP 远程代码执行漏洞通告更新
- 【补丁绕过】CVE-2020-5902: F5 BIG-IP 远程代码执行漏洞通告更新
- 【利用公开】CVE-2020-5902: F5 BIG-IP 远程代码执行漏洞通告
- K52145254: TMUI RCE vulnerability CVE-2020-5902
- Understanding the root cause of F5 Networks K52145254: TMUI RCE vulnerability CVE-2020-5902
- Proof of Concept for CVE-2020-5902
- CVE-2020-5902 BIG-IP RCE
发表评论
您还未登录,请先登录。
登录