CVE-2020-5902 · Bilgilendirme

F5 BIG-IP Traffic Management User Interface (TMUI) Remote Code Execution Vulnerability

F5 BIG-IP TMUI'deki uzaktan kod yürütme zafiyeti, sisteminizi tehlikeye atabilir. Hızla önlem alın!

Üretici
F5
Ürün
BIG-IP
Seviye
yüksek
Yayın Tarihi
05 Nisan 2026
Okuma
9 dk okuma

CVE-2020-5902: F5 BIG-IP Traffic Management User Interface (TMUI) Remote Code Execution Vulnerability

Zorluk Seviyesi: Orta | Kaynak: CISA KEV

Zafiyet Analizi ve Giriş

F5 BIG-IP, dünya genelinde ağ trafiğini yönetmek ve optimize etmek amacıyla yaygın olarak kullanılan bir çözümdür. Ancak, 2020'nin sonunda keşfedilen CVE-2020-5902 kodlu zafiyet, F5 BIG-IP'nin Traffic Management User Interface (TMUI) kısmında ciddi bir güvenlik açığına sebep olmuştur. Bu zafiyet, uzaktan kod yürütmeye olanak tanıyan bir zafiyet (RCE - Remote Code Execution Vulnerability) olup, belirli sayfalarda mevcut olan bir hatadan kaynaklanmaktadır. Bu tür bir zafiyet, kötü niyetli bir saldırganın sisteme erişim kazanarak zararlı kod çalıştırmasına olanak tanıyabilir.

Zafiyetin tarihine baktığımızda, 2020 yılında siber güvenlik topluluğunda önemli bir endişe yarattığını görmekteyiz. Özellikle, bu tür zafiyetler çoğu zaman yazılım güncellemeleri ile giderilirken, F5 BIG-IP'nin bu spesifik açık için bir çözüm sunması zaman almıştır. Söz konusu zafiyet, yeterince hızlı bir şekilde müdahale edilmeyen sistemlerin hedef olmasına sebep olur. Güvenlik uzmanları, açıkların belirlenmesi ve giderilmesi konusunda özellikle işletmelerin yazılım ve donanım güncellemelerini düzenli olarak yapmaları gerektiğini vurgulamaktadır.

CWE-22 (Improper Limitation of a Pathname to a Restricted Directory) puanında yer alan bu zafiyet, belirli bir dosya sistemi yolunu yanlış bir şekilde sınırlamaktan kaynaklanmaktadır. TMUI'nin belirli bölümlerinde yapılan doğrulama hataları, kötü niyetli kişilerin sistem dosyalarına erişim sağlamasına olanak tanımaktadır. Bu durum, kötüye kullanımların önüne geçmek için oldukça ciddidir çünkü bir saldırgan, erişim kazanarak sunucu üzerinde zararlı komutlar çalıştırabilir.

Uygulanan çözümler ve güncellemelerle birlikte dünya genelindeki birçok sektör bu güvensiz durumu aşmaya çalıştı. Özellikle finans kurumları, sağlık hizmetleri ve kamu sektörü gibi kritik öneme sahip alanlar, bu tür zafiyetleri potansiyel bir tehdit olarak değerlendirmiştir. Siber güvenlik tehditleri, genellikle büyük veri ve hassas bilgilerin bulunduğu sistemleri hedef alır; bu nedenle F5 BIG-IP gibi altyapıları kullanan her bir sektör, bu zafiyetlerin etkilerine karşı dikkatli olmalıdır.

Gerçek dünya senaryolarında, bu tür uzaktan kod yürütme zafiyetleri, büyük veri ihlalleriyle sonuçlanabilir. Örneğin, bir finans kurumunun muhtemel bir zafiyetten etkilenmesi durumunda, müşteri bilgileri ve finansal verilerin çalınma riski büyük bir tehdit oluşturur. Aynı şekilde, sağlık sektörü için, hasta kayıtlarının ve kritik sağlık bilgilerinin güvenliği, etkili izleme ve önlemler gerektirmektedir.

Sonuç olarak, F5 BIG-IP TMUI üzerindeki CVE-2020-5902 zafiyeti, siber güvenlik uzmanlarını ve organizasyonları dikkatli olmaya, düzenli güncellemeler yapmaya ve güvenlik duvarlarını güçlendirmeye yönlendirmiştir. Siber dünyada, her yeni zafiyet, dikkat ve önlem gerektiren potansiyel bir tehdittir. White Hat Hacker perspektifinden bakıldığında, bu tür zafiyetlerin analizi, siber güvenliğin geliştirilmesi için kritik bir rol oynamaktadır.

Teknik Sömürü (Exploitation) ve PoC

F5 BIG-IP Traffic Management User Interface (TMUI) üzerinde bulunan CVE-2020-5902 zafiyeti, siber güvenlik dünyasında son derece kritik bir tehdit oluşturuyor. Bu zafiyet, saldırganların sistem üzerinde uzak kod yürütme (Remote Code Execution - RCE) gerçekleştirmesine olanak tanıyor. F5 BIG-IP sistemleri, genellikle büyük ölçekli veri merkezlerinde ve kurumlarda ağ trafiğini yönetmek için kullanıldığından, bu tür bir zafiyet ciddi sonuçlar doğurabilir.

Bu zafiyetin sömürülmesi için genellikle şu adımlar izlenmektedir:

  1. Hedef Bilgilerinin Toplanması: Başarılı bir saldırının ilk aşaması, hedef sistemin detaylarının toplanmasıdır. Hedef F5 BIG-IP system üzerinde çalışan TMUI versiyonunu öğrenmek için Nmap gibi araçlarla port taraması yapabilirsiniz. Örneğin:
   nmap -sV -p 443 <hedef_ip>

Bu komut belirli bir IP adresinde açık olan 443 portuna (HTTPS) erişim sağlar ve hangi servisin çalıştığını görüntüler.

  1. Zafiyetin Tespit Edilmesi: Nmap taraması sonrası, sistemin versiyon bilgilerini elde ettikten sonra CVE-2020-5902 zafiyetinin mevcut olup olmadığını kontrol etmek gereklidir. Bunun için, ilgili TMUI sayfalarına yönlendiren POST istekleri yaparak uygulamanın yanıtlarını gözlemlemek önemlidir.

  2. Sömürü İçin HTTP İstekleri Oluşturma: Zafiyet, belirli bir sayfada geçersiz girilen verilerin sistemde RCE'ye sebep olmasına yol açar. Saldırgan, örneğin, bir POST isteği oluşturabilir.

    Aşağıda örnek bir HTTP POST isteği verilmiştir:

   POST /tmui/login/auth/login HTTP/1.1
   Host: <hedef_ip>
   Content-Type: application/json
   Content-Length: [length]

   {
       "username": "admin",
       "password": "${run}/{id}"
   }

Burada kullanılan ${run}/{id} ifadesi ile komut çalıştırma denemesi yapılmaktadır. Bu tür bir payload, aksi yönde bir kontrol olmadığında uzaktan kod yürütme imkanı sağlayabilir.

  1. İlk Saldırıyı Gerçekleştirme: Eğer yukarıdaki post isteğinden başarılı bir yanıt alınırsa, potansiyel olarak sistemi ele geçirmek için gerekli olan payload oluşturulabilir. Bir Python script ile bunu otomatik hale getirebilirsiniz:
   import requests

   url = "https://<hedef_ip>/tmui/login/auth/login"
   headers = {
       "Content-Type": "application/json",
   }
   payload = {
       "username": "admin",
       "password": "${run}/id"
   }

   response = requests.post(url, json=payload, headers=headers, verify=False)
   print(response.text)
  1. Sonuçların Analiz Edilmesi: Eğer sistem zafiyetten etkilenmişse, geri dönen yanıtlar üzerinden sistem durumu ve üzerinde çalıştırılan komutlar analiz edilebilir. Bir komut çalıştırmak istiyorsanız, payload'a komut eklemesi yaparak örnek bir kullanım gerçekleştirebilirsiniz.

Bu süreçlerin sonucunda, CVE-2020-5902 zafiyetinin kötüye kullanımı sonucunda sisteme tam erişim sağlanma riski oluşur. "White Hat Hacker" perspektifiyle bu zafiyeti değerlendirirken, her zaman etik ve yasal sınırlar içerisinde kalmamız gerektiğini unutmamak önemlidir. Ayrıca, bu tür zafiyetlerin keşfini ve düzeltmelerini sağlamada sorumlu bir yaklaşım benimsemek, siber güvenliğin yükseltilmesine yardımcı olacaktır. Her siber güvenlik uzmanının böyle bir zafiyetin varlığını test etmesi, düzeltmesi ve raporlaması, daha güvenli sistemlerin oluşturulması için kritik öneme sahiptir.

Forensics (Adli Bilişim) ve Log Analizi

F5 BIG-IP, veri merkezi ve bulut ortamlarında trafik yönetimi sağlamak için yaygın olarak kullanılan bir uygulama sunucusudur. Ancak, 2020 yılında keşfedilen CVE-2020-5902, saldırganların uzaktan kod çalıştırmasına (Remote Code Execution - RCE) olanak tanıyan kritik bir açık bulunduğunu göstermektedir. Bu tür açıklar, siber suçlular tarafından sıklıkla saldırı amaçlı kullanılmakta ve büyük veri kayıplarına veya hizmet kesintilerine neden olabilmektedir. Bu bölümde, siber güvenlik uzmanlarının bu tür bir saldırının varlığını belirlemek için izlemeleri gereken log analizi ve forensics (adli bilişim) süreçlerine odaklanacağız.

Öncelikle, bu tür bir RCE saldırısının izlerini tespit etmek üzere kurulmuş bir SIEM (Security Information and Event Management - Güvenlik Bilgi ve Olay Yönetimi) çözümünün uygulanması oldukça önemlidir. Log dosyaların, özellikle erişim logları (access log) ve hata logları (error log), potansiyel bir saldırının ilk belirtilerini ortaya koyabilir. F5 BIG-IP için log analizinde dikkat edilmesi gereken başlıca imza ve olaylar şunlardır:

  1. Şüpheli HTTP İstekleri: RCE saldırıları genellikle kötü niyetli HTTP istekleriyle başlar. Erişim loglarında:
   GET /tmui/login.jsp HTTP/1.1

ya da

   POST /tmui/expander/ HTTP/1.1

gibi garip yolların aranması, saldırı olasılığına işaret edebilir. Özellikle, yetkisiz sayfalara erişim girişimleri dikkatlice analiz edilmelidir.

  1. Hata Logları: Hata logları, uygulama hatalarını ve olası exploit denemelerini gösterebilir. Log dosyalarında, örneğin “error: invalid request” gibi hatalar görmek, bir saldırının gerçekleştiğinin sinyali olabilir. Bu bağlamda, uygulamanın temel özelliklerinden sapmayı sorgulamak önemlidir.

  2. Düzenli Olmayan Payload’lar: Şüpheli kod parçaları veya payload’lar sunucuya gönderiliyorsa, bu durum bir exploit denemesine işaret edebilir. Özellikle, URL'lerde ve parametrelerde görülen garip karakter dizileri veya JavaScript yüklemeleri, dikkat edilmesi gereken ipuçlarıdır.

  3. Olayların Tekrarı: Benzer IP adreslerinden gelen sürekli erişim denemeleri veya belirli aralıklarla gelen hatalı istekler, bir brute-force ya da exploit çalışması anlamına gelebilir. Örneğin, son 24 saatte aynı IP adresinden yüzlerce başarısız oturum açma isteği geliyorsa, bu durum takibe alınmalıdır.

  4. Yetkisiz erişimler: Log dosyalarında yetkilendirmeye tabi sayfalara yönelik yapılan istekler (örneğin /mgmt/tm/ ) incelenmelidir. Bu tür istekler genellikle istenmeyen veya kötü niyetli bir inceleme söz konusu olduğu anlamına gelebilir.

Log dosyalarındaki anomalilerin belirlenmesinin yanı sıra, uygulanacak diğer önemli bir adım da sistemin güncellemelerle korunmasıdır. Tüm güncellemelerin ve yamaların düzenli olarak uygulanması, bilinen zafiyetlerin giderilmesi açısından hayati öneme sahiptir. Böylece, siber saldırılara karşı savunma mekanizması güçlendirilmiş olur.

Sonuç olarak, F5 BIG-IP üzerinde CVE-2020-5902 zafiyetine karşı korunmak için, siber güvenlik uzmanları düzenli log analizi ve SIEM çözümleri kullanarak sistemlerinde yapılan tüm hareketleri izlemeli, şüpheli durumları anlık olarak tespit etmeli ve hızlı aksiyon almalıdır. Özellikle RCE saldırılarında log analizinin önemi büyük olup, yaşanan herhangi bir olumsuz durum sonrası sistemin geri kazanımı için mutlaka bir forensics süreci başlatılmalıdır.

Savunma ve Sıkılaştırma (Hardening)

F5 BIG-IP Traffic Management User Interface (TMUI) araç setlerinin sunduğu kullanım kolaylığı aynı zamanda ciddi güvenlik açıkları da barındırabilir. Özellikle CVE-2020-5902 koduyla bilinen uzaktan kod çalıştırma (RCE - Remote Code Execution) açığı, saldırganlara sistemde istedikleri komutları çalıştırma olanağı sunmaktadır. Bu tür bir zafiyet, siber tehdit aktörleri tarafından istismar edildiğinde, büyük veri ihlalleri, sistem ele geçirme ve daha pek çok tehdit türünü tetikleyebilir. Bu nedenle, F5 BIG-IP cihazlarının güvenliğini sağlamak için çeşitli savunma ve sıkılaştırma (hardening) teknikleri uygulanmalıdır.

Öncelikle, zafiyetin kapatılması ve sistemin güvenli hale getirilmesi için F5 tarafından yayınlanan yamalar ve güncellemeler mutlaka uygulanmalıdır. Üretici, bu tür açıkları sık sık patch (yamanın uygulanması) üzerinden kapatmaktadır. Güncellemelerin düzenli olarak yapılması, sistemin güvenlik duruşunu önemli ölçüde artıracaktır. Bunun yanında, sistemin temel bileşenlerinin versiyon kontrolü de yürütülmelidir; güncel olmayan bileşenler genellikle bilinen zafiyetlere açıktır.

Söz konusu RCE açığı için, uygulama katmanında Web Application Firewall (WAF) kullanmak da etkili bir çözüm olabilir. WAF, gelen ve giden trafiği analiz ederek zararlı talepleri engelleyebilir. Özellikle F5 BIG-IP için uygun WAF kuralları oluşturulması, belirli türdeki HTTP isteklerini hedef alarak savunmayı güçlendirebilir. Örneğin, aşağıdaki WAF kuralı, belirli HTTP metodlarını ve sorgu parametrelerini engelleyerek potansiyel RCE saldırılarını önleyebilir:

SecRule REQUEST_METHOD "^(GET|POST)$" \
"phase:1, \
 id:123456, \
 t:none, \
 msg:'Potential RCE attempt detected', \
 drop, \
 severity:2"

Ayrıca, F5 BIG-IP üzerinde mevcut olan diğer güvenlik önlemleri ile birlikte çok faktörlü kimlik doğrulama (MFA - Multi-Factor Authentication) uygulamak, yetkisiz erişimlerin önüne geçme konusunda etkilidir. Belirli uygulama sayfalarına erişim kısıtlamaları getirerek, yalnızca yetkili kullanıcıların kritik alanlara ulaşmasını sağlamak, ciddi güvenlik risklerini minimize etmede önemli bir adımdır.

Ayrıca, sistemin sıkılaştırılması için önerilen diğer temel adımlar şunlardır:

  1. Gereksiz Hizmetleri Kapatma: F5 BIG-IP üzerinde çalışmayan veya ihtiyaç duyulmayan hizmetlerin kapatılması, saldırı yüzeyini küçültmektedir.

  2. Erişim Kontrollerinin Güçlendirilmesi: Yönetim arayüzü için yalnızca belirli IP adreslerine erişim izni verilmesi, tehlikeli durumlarda riski azaltacaktır.

  3. Log Yönetimi: Sistem üzerinde gerçekleşen tüm işlemlerin loglanması, anomali tespiti ve olay sonrası analiz için kritik öneme sahiptir. Log'ların düzenli olarak incelenmesi, potansiyel tehditlerin erkenden tespit edilmesine yardımcı olur.

  4. Düzenli Güvenlik Testleri: Penetrasyon testleri ve zafiyet taramaları, sistemdeki güvenlik açıklarını tespit etmek ve kapatmak için düzenli olarak yapılmalıdır.

  5. Eğitim ve Farkındalık: Sistem yöneticileri ve kullanıcılar, güvenlik konularında düzenli eğitim almalı ve bilgilendirilmelidir. İnsan faktörü, siber güvenlikte önemli bir bileşendir.

Sonuç olarak, F5 BIG-IP üzerinde CVE-2020-5902 açığını kapatmak ve sistemin güvenliğini sağlamak için yukarıdaki önerilerin hayata geçirilmesi gerekmektedir. Güvenlik, sürekli olarak güncellenmesi ve geliştirilmesi gereken bir süreçtir. Bu nedenle, sistemlerinizi koruma altına almak için gerekli adımları atmayı ihmal etmeyin.