ESW:成都鏈安：F5 BIG-IP 遠程代碼執行漏洞預警 CVE-2020-5902_OneSwap

漏洞威脅：高

受影響版本：

BIG-IP 15.x: 15.1.0/15.0.0

BIG-IP 14.x: 14.1.0 ~ 14.1.2

BIG-IP 13.x: 13.1.0 ~ 13.1.3

BIG-IP 12.x: 12.1.0 ~ 12.1.5

成都鏈安：whaleswap.finance項目遭受攻擊，至少損失5,946 個BUSD和5964個USDT:6月21日消息，據成都鏈安“鏈必應-區塊鏈安全態勢感知平臺”安全輿情監控數據顯示，whaleswap.finance項目遭受攻擊，成都鏈安技術團隊分析發現原因可能是因為whaleswap.finance Pair合約的K值校驗存在問題。每當用戶在進行交換時，K值校驗中傳入的參數量級存在問題，造成K值校驗失效。攻擊者先通過閃電貸借一筆BSC-USD，之后歸還閃電貸時K值校驗參數量級為10000^4。而K值校驗時采取的參數校驗量級為10000^2，導致K校驗失效。[2022/6/21 4:41:57]

BIG-IP 11.x: 11.6.1 ~ 11.6.5

OneSwap智能合約代碼通過慢霧、成都鏈安、PeckShield安全審計:據海外媒體消息，OneSwap已9月6日順利通過智能合約代碼安全審計，此次審計工作由三家業內知名的安全公司慢霧科技，派盾PeckShield，成都鏈安完成。在審計過程中，三家獨立的審計團隊采取自身獨特的策略對OneSwap智能合約代碼進行全方位開展代碼審計工作，以最大程度確保及時發現漏洞。

審計團隊分別從攻擊漏洞測試、合約復雜度分析、代碼通用性、鏈上數據安全、代碼邏輯等方面對OneSwap智能合約代碼進行全方位的測試分析。OneSwap智能合約代碼均符合三家安全公司的安全審核標準，審計中發現的問題目前都已解決或正在解決中。

OneSwap是一個基于智能合約的完全去中心化的交易協議，在CFMM模型的基礎之上引入鏈上訂單簿來改善AMM用戶的交易體驗。上幣無需許可，可支持自動化做市、支持掛單挖礦、流動性挖礦和交易挖礦。據官方消息，Oneswap將在2020年9月7日正式上線并開啟公測。[2020/9/7]

漏洞描述：

分析 | 成都鏈安：錢包Safuwallet服務器是否存儲了用戶的私鑰是關鍵:針對“網頁加密貨幣錢包Safuwallet被黑與幣安服務器出現問題是否存在關聯”一事，成都鏈安在接受金色財經采訪時指出：“safuwallet是第三方extension插件錢包，用戶資產被盜，主要原因還是私鑰被盜，發生了這樣的問題，對于錢包服務器而言只要不存儲用戶的私鑰，只做相關交易數據的處理的話，兩者之間就沒有關系，如果服務器存儲了用戶的私鑰，那黑客就有可能通過攻擊服務器獲取到用戶的私鑰。推特消息稱是safuwallet被注入了惡意代碼，黑客可能先將惡意代碼注入到safuwallet中，然后引誘受害者安裝錢包，再獲取到受害者的私鑰后，進行相關代幣的轉移。事實上，對于非官方錢包，安全性確實不太好保障。對于此類錢包，私鑰被盜的時間時有發生。對于這個事件，后續的影響主要是用戶的損失、錢包和交易所的聲譽。”[2019/10/12]

在 F5 BIG-IP 產品的流量管理用戶頁面 (TMUI)/配置實用程序的特定頁面中存在一處遠程代碼執行漏洞。

未授權的遠程攻擊者通過向該頁面發送特制的請求包，可以造成任意Java 代碼執行。進而控制 F5 BIG-IP 的全部功能，包括但不限于: 執行任意系統命令、開啟/禁用服務、創建/刪除服務器端文件等。

修復方案：

官方建議可以通過以下步驟暫時緩解影響（臨時修復方案）

1) 使用以下命令登錄對應系統

tmsh

2) 編輯 httpd 組件的配置文件

edit /sys httpd all-properties

3) 文件內容如下

include ' <LocationMatch ".*\.\.;.*"> Redirect 404 / </LocationMatch> '

4) 按照如下操作保存文件

按下 ESC 并依次輸入 :wq

5) 執行命令刷新配置文件

save /sys config

6) 重啟 httpd 服務

restart sys service httpd 并禁止外部IP對 TMUI 頁面的訪問

成都鏈安在此建議使用該應用的交易所進行安全自查，按照官方安全建議進行修復，避免造成不必要的經濟損失。

Tags：ESWESWAPSWAPOneSwapGenieSwapKnifeSwapJaguarSwa

歐易okex官網