F5(F5 Networks)作为全球领先的应用交付网络（ADN）领域的厂商,6月被曝出BIG-IP(负载均衡)中两个严重漏洞,代号分别为CVE-2020-5902和CVE-2020-5903,使8000多台设备处于高度风险之中,政府,银行,云提供商,全球500强公司纷纷中招。

BIG-IP ADC RCE漏洞（CVE-2020-5902）

该漏洞是BIG-IP管理界面中称为“远程代码执行”漏洞，称为TMUI（流量管理用户界面)。未经身份验证的攻击者可以通过将恶意制作的HTTP请求发送到托管用于BIG-IP配置的流量管理用户界面（TMUI）实用程序的易受攻击的服务器来远程利用此漏洞。

成功利用此漏洞可能使攻击者获得对该设备的完全管理员控制，最终使他们无需任何授权就可以在受感染的设备上执行他们想要的任何任务。攻击者可以创建或删除文件，禁用服务，拦截信息，执行任意系统命令和Java代码，破坏整个系统，并采取进一步的目标，如内部网络，在这种情况下，RCE是由多个组件中的安全漏洞导致的，例如允许目录遍历的组件。

该漏洞影响公司的BIG-IP产品。这些是可以用作Web流量整形系统，负载平衡器，防火墙，访问网关，速率限制器或SSL中间件的多功能网络设备。BIP-IP是当今使用的最受欢迎的网络产品之一。它们被用于全球的政府网络，互联网服务提供商的网络，云计算数据中心内部以及整个企业网络中。BIG-IP设备中的RCE漏洞使政府，云提供商，ISP，银行和许多财富500强公司容易受到入侵。

截至2020年6月，已经确定有8,000多种设备直接在线暴露于互联网，其中40％居住在美国，16％在中国，3％在台湾，2.5％在加拿大和印度尼西亚，并且少于该安全公司说，在俄罗斯只有1％。大多数使用受影响产品的公司都无法访问Internet的易受攻击的配置界面。

BIG-IP ADC XSS漏洞（CVE-2020-5903）

该XSS(跨站脚本攻击)漏洞可能使远程攻击者以登录的管理员用户身份运行恶意JavaScript代码。如果用户具有管理员特权并有权访问Advanced Shell（bash），则成功利用该漏洞可能导致通过RCE完全破坏BIG-IP。

受影响的版本和补丁更新

敦促受影响的公司（运行11.6.x，12.1.x，13.1.x，14.1.x，15.0.x或15.1.x版本的公司）更新为相应的BIG-IP修补版本：11.6.5.2， 12.1.5.2、13.1.3.4、14.1.2.6和15.1.0.4。

建议使用AWS，Azure，GCP和阿里巴巴等公共云市场的用户切换到BIG-IP虚拟版（VE）版本11.6.5.2、12.1.5.2、13.1.3.4、14.1.2.6、15.0.1.4或15.1.0.4（如果有）。

无法立即更新的组织可以通过在httpd中添加LocationMatch配置元素并阻止通过自我IP访问其BIG-IP系统的TMUI 来缓解RCE漏洞。