DAO:成都链安：F5 BIG-IP 远程代码执行漏洞预警 CVE-2020-5902

漏洞威胁：高

受影响版本：

BIG-IP 15.x: 15.1.0/15.0.0

BIG-IP 14.x: 14.1.0 ~ 14.1.2

BIG-IP 13.x: 13.1.0 ~ 13.1.3

BIG-IP 12.x: 12.1.0 ~ 12.1.5

成都链安：hackerDao项目遭受价格操控攻击，获利资金已转至Tornado.cash:金色财经消息，据成都链安“链必应-区块链安全态势感知平台”安全舆情监控数据显示，hackerDao项目遭受价格操控攻击。成都链安安全团队第一时间进行分析，发现攻击者先从先闪电贷借出2500WBNB，拿出部分WBNB兑换出大量hackerDao，然后将这笔hackerDao发送WBNB/hackerDao；并调用该交易对合约的skim函数将多余代币领取至BUSD/hackerDao。由于hackerDao代币在转账时，如果转账接收地址是BUSD/hackerDao时，会同步减少发送者的代币余额以收取手续费，因此,WBNB/hackerDao交易对中的hackeDao数量被异常减少，从而影响该交易对的代币价格，使得攻击者最终利用WBNB/hackerDao兑换出WBNB时，获取额外的收益。目前攻击者实施了两次攻击，总计获利约200BNB，已经转至Tornado.cash 。[2022/5/24 3:38:37]

BIG-IP 11.x: 11.6.1 ~ 11.6.5

成都链安：8ight Finance项目疑似私钥泄露，资金总损失接近100万美元:据成都链安链必应-区块链安全态势感知平台舆情监测显示，8ight Finance项目方疑似私钥泄露导致被攻击，资金已从tornado转移出去，资金总损失：868587 DAI，123621 1USDT，10843 EIGHT，80 ONE.[2021/12/8 12:58:37]

漏洞描述：

比原链牵手成都链安科技，共建区块链安全新生态:近日，比原链基金会与成都链安科技签署战略合作协议。双方将在区块链安全技术领域达成初步合作意向，未来成都链安科技将会为比原链提供底层平台的形式化安全验证，智能合约的开发、审计、安全验证等服务，保证比原链平台和智能合约的安全性、功能正确性。[2018/5/10]

在 F5 BIG-IP 产品的流量管理用户页面 (TMUI)/配置实用程序的特定页面中存在一处远程代码执行漏洞。

未授权的远程攻击者通过向该页面发送特制的请求包，可以造成任意Java 代码执行。进而控制 F5 BIG-IP 的全部功能，包括但不限于: 执行任意系统命令、开启/禁用服务、创建/删除服务器端文件等。

修复方案：

官方建议可以通过以下步骤暂时缓解影响（临时修复方案）

1) 使用以下命令登录对应系统

tmsh

2) 编辑 httpd 组件的配置文件

edit /sys httpd all-properties

3) 文件内容如下

include ' <LocationMatch ".*\.\.;.*"> Redirect 404 / </LocationMatch> '

4) 按照如下操作保存文件

按下 ESC 并依次输入 :wq

5) 执行命令刷新配置文件

save /sys config

6) 重启 httpd 服务

restart sys service httpd 并禁止外部IP对 TMUI 页面的访问

成都链安在此建议使用该应用的交易所进行安全自查，按照官方安全建议进行修复，避免造成不必要的经济损失。

标签：DAOHACACKBNBBzone DAOradioshack币暴quack币项目方最新消息BNBD

以太坊交易所热门资讯