# CVE-2020-5902 - F5 BIG-IP TMUI: RCE Crítico em Load Balancer Corporativo > [!critical] CVE-2020-5902 é uma vulnerabilidade CVSS 10.0 no F5 BIG-IP — permite execução remota de código via path traversal na interface de administração TMUI, sem autenticação, comprometendo equipamentos de rede de alto valor em data centers corporativos. ## Visão Geral CVE-2020-5902 é uma vulnerabilidade de execução remota de código na **Traffic Management User Interface (TMUI)** do **F5 BIG-IP**, um dos load balancers e application delivery controllers mais utilizados em ambientes corporativos e de data center. A falha permite path traversal que possibilita execução de comandos Java como root, sem qualquer autenticação. O F5 BIG-IP é posicionado tipicamente no perímetro de rede, processando tráfego de aplicações críticas, VPNs e balanceamento de carga. O comprometimento deste equipamento oferece ao atacante visibilidade completa sobre o tráfego de rede, credenciais em trânsito e acesso privilegiado a segmentos internos. A vulnerabilidade foi explorada amplamente dias após a divulgação, com scanners automáticos mapeando dispositivos vulneráveis via Shodan. Grupos APT e ransomware como na campanha **Pay2Key** no Oriente Médio e Israel usaram esta CVE para comprometimento inicial. Organizações financeiras e telecomúnicações brasileiras com F5 BIG-IP foram potencialmente expostas. ## Detalhes Técnicos | Campo | Valor | |-------|-------| | Tipo | Path traversal + RCE no TMUI | | Porta | 443 (interface web de administração) | | Autenticação | Não requerida | | Contexto de execução | root | | Endpoint vulnerável | `/tmui/login.jsp/../../tmui/útil/F5Networks*` | ## TTPs Relacionadas - [[t1190-exploit-public-facing-application|T1190]] - Exploração de equipamento de rede exposto - [[t1133-external-remote-services|T1133]] - Acesso via serviços remotos comprometidos - [[t1040-network-sniffing|T1040]] - Interceptação de tráfego no BIG-IP comprometido - [[m1050-exploit-protection|M1050]] - Restringir acesso à interface TMUI ## Contexto LATAM > [!latam] F5 BIG-IP é amplamente utilizado por bancos, operadoras de telecomúnicações e provedores de cloud no Brasil. Em julho de 2020, pesquisadores identificaram centenas de instâncias BIG-IP vulneráveis expostas no Brasil via Shodan, incluindo em endereços de operadoras de grande porte. ## Detecção e Defesa **Mitigações recomendadas:** - Aplicar patch imediatamente (F5 Security Advisory K52145254) - Restringir acesso à interface TMUI somente a redes de gerenciamento confiáveis - Habilitar autenticação de dois fatores para acesso TMUI - Monitorar logs do BIG-IP por path traversal (sequências `../`) nas URLs ## Referências - [F5 Security Advisory K52145254](https://support.f5.com/csp/article/K52145254) - [CISA Alert AA20-206A — F5 BIG-IP](https://www.cisa.gov/news-events/alerts/2020/07/24/malicious-cyber-actor-exploiting-CVE-2020-5902) - [NCC Group — F5 TMUI RCE Analysis](https://research.nccgroup.com/2020/07/12/understanding-the-f5-vulnerability-CVE-2020-5902/)