BIG:成都鏈安：F5 BIG-IP 遠程代碼執行漏洞預警 CVE-2020-5902

漏洞威脅：高

受影響版本：

BIG-IP 15.x: 15.1.0/15.0.0

BIG-IP 14.x: 14.1.0 ~ 14.1.2

BIG-IP 13.x: 13.1.0 ~ 13.1.3

BIG-IP 12.x: 12.1.0 ~ 12.1.5

成都鏈安：Visor Finance遭受攻擊事件分析:據成都鏈安監測顯示，Visor Finance于北京時間2021年12月21日晚上10點18分遭受攻擊。經成都鏈安技術團隊分析，本次攻擊利用了Visor Finance項目抵押挖礦合約RewardsHypervisor的兩個漏洞：

1.call調用未對目標合約進行限制，攻擊者可以調用任意合約，并接管了抵押挖礦合約的執行流程；<- 主要漏洞，造成本次攻擊的根本原因。2.函數未做防重入攻擊；<- 次要漏洞，導致了抵押憑證數量計算錯誤，不是本次攻擊的主要利用點，不過也可憑此漏洞單獨發起攻擊。針對這兩個問題，成都鏈安在此建議項目方應做好下面兩方面：1.進行外部合約調用時，建議增加白名單，禁止任意的合約調用，特別是能夠控制合約執行流程的關鍵合約調用；2.函數做好防重入，推薦使用openzeppelin的ReentrancyGuard合約。[2021/12/22 7:55:18]

BIG-IP 11.x: 11.6.1 ~ 11.6.5

QitChain已通過成都鏈安安全審計:據官方消息，分布式搜索引擎項目QitChain已通過區塊鏈安全機構成都鏈安的安全審計。

分布式搜索引擎QitChain是一個基于IPFS的區塊鏈搜索工具，旨在成為Web3.0有效數據信息聚合器，在保障用戶安全隱私的同時帶來更高效、更精準的信息查找。

成都鏈安是領先的區塊鏈安全公司，自成立以來，一直致力于區塊鏈安全的生態建設。[2021/10/25 20:55:41]

漏洞描述：

動態 | 成都鏈安獲得前海母基金新一輪融資:金色財經報道，2020年2月，成都鏈安科技有限公司正式宣布，獲得前海母基金新一輪融資，以推動區塊鏈安全事業健康有序發展。此前，成都鏈安已在2019年12月獲得由聯想創投、復星高科領投，成創投、任子行戰略投資的數千萬元融資，以及在2018年3月獲得分布式資本的種子輪投資，在2018年9月獲得界石資本、盤古創富的天使輪投資。據了解，前海母基金是目前國內商業化募集母基金，截至目前已完成募集規模285億元。[2020/2/25]

在 F5 BIG-IP 產品的流量管理用戶頁面 (TMUI)/配置實用程序的特定頁面中存在一處遠程代碼執行漏洞。

未授權的遠程攻擊者通過向該頁面發送特制的請求包，可以造成任意Java 代碼執行。進而控制 F5 BIG-IP 的全部功能，包括但不限于: 執行任意系統命令、開啟/禁用服務、創建/刪除服務器端文件等。

修復方案：

官方建議可以通過以下步驟暫時緩解影響（臨時修復方案）

1) 使用以下命令登錄對應系統

tmsh

2) 編輯 httpd 組件的配置文件

edit /sys httpd all-properties

3) 文件內容如下

include ' <LocationMatch ".*\.\.;.*"> Redirect 404 / </LocationMatch> '

4) 按照如下操作保存文件

按下 ESC 并依次輸入 :wq

5) 執行命令刷新配置文件

save /sys config

6) 重啟 httpd 服務

restart sys service httpd 并禁止外部IP對 TMUI 頁面的訪問

成都鏈安在此建議使用該應用的交易所進行安全自查，按照官方安全建議進行修復，避免造成不必要的經濟損失。

Tags：BIGSORVisorHTTBigone交易所最新消息YESorNOGastroAdvisorhtt幣被騙

比特幣價格實時行情