2020年7月1日，F5官方公布流量管理用户界面（TMUI）存在前台远程执行代码（RCE）漏洞（CVE-2020-5902）。攻击者利用该漏洞，可以构造恶意请求，在未授权的情况下获得目标服务器的权限，实现任意远程代码执行。腾讯安全团队注意到已有国外安全研究人员公开了漏洞poc，该漏洞的风险正在迅速上升。腾讯安全专家建议相关企业尽快修复漏洞，腾讯漏洞扫描服务已支持检测。

【漏洞描述】

F5 BIG-IP流量管理用户界面（TMUI）的未公开界面中存在远程代码执行漏洞。该漏洞允许未授权的攻击者或授权用户通过BIG-IP的管理端口和/或自身IP执行任意系统命令，增删文件，停止服务，或执行任意java代码。该漏洞将导致严重的系统危害，服务器可能被攻击者完全控制，BIG-IP设备也存在此漏洞。

F5 BIG-IP是由美国F5 Networks公司发行的一系列应用交付平台，具有负载均衡，流量管理，应用程序管理等多种功能。能够提供构建灵活的应用交付网络架构所需的基础组件，同时推动企业云架构实现，用户能够全方位监控自己的应用交付环境。

【漏洞等级】高危

【漏洞影响版本】

F5 BIG-IP < 15.1.0.4

F5 BIG-IP < 14.1.2.6

F5 BIG-IP < 13.1.3.4

F5 BIG-IP < 12.1.5.2

F5 BIG-IP < 11.6.5.2

【不受影响的版本】

F5 BIG-IP 15.1.0.4

F5 BIG-IP 14.1.2.6

F5 BIG-IP 13.1.3.4

F5 BIG-IP 12.1.5.2

F5 BIG-IP 11.6.5.2

F5 BIG-IP <11.6.1

【腾讯安全解决方案】

腾讯T-Sec漏洞扫描服务已支持检测F5 BIG-IP TMUI 远程代码执行漏洞：

【漏洞修复方案】

1.F5官方已经发布了最新版本修复了该漏洞，受影响的用户应尽快升级进行防护。访问该链接获取最新版相关组件： 

https://downloads.f5.com/esd/productlines.jsp

2.暂不方便升级的用户可采取以下缓解措施

a.通过输入以下命令登录到TMOS Shell（tmsh）：

Tmsh

b.通过输入以下命令来编辑httpd属性：

edit /sys httpd all-properties

c.将文件中<include>部分改为下列内容：

include '<LocationMatch “.*\.\.;.*”> Redirect 404 /</LocationMatch>'

d.保存退出。

Esc

:wq!

e.重启httpd服务。

restart sys service httpd

建议同时禁止外部IP对于TMUI的访问，或只允许管理人员在安全网络环境下访问来缓解漏洞。

【参考链接】

https://support.f5.com/csp/article/K52145254

[招生]科锐逆向工程师培训(2024年11月15日实地，远程教学同时开班, 第51期)