Dwie problematyczne luki
„Wady, które można zdalnie wykorzystać, mogą dać atakującym pełną kontrolę administracyjną nad urządzeniem, a następnie umożliwić atakującym utworzenie kont na dowolnych zasobach F5 zarządzanych przez Next Central Manager” – stwierdziła w nowym raporcie firma zajmująca się bezpieczeństwem Eclypsium.
Mowa tu o dwóch lukach. Pierwsza, CVE-2024-21793 (wynik CVSS: 7,5) to luka w zabezpieczeniach, polegająca na wstrzykiwaniu protokołu OData, która może pozwolić nieuwierzytelnionemu atakującemu na wykonanie złośliwych instrukcji SQL za pośrednictwem interfejsu API BIG-IP NEXT Central Manager. Druga, CVE-2024-26026 (wynik CVSS: 7,5) to luka w zabezpieczeniach, polegająca na wstrzykiwaniu kodu SQL, która może pozwolić nieuwierzytelnionemu atakującemu na wykonanie złośliwych instrukcji SQL za pośrednictwem interfejsu API BIG-IP Next Central Manager. Obie wady dotyczą wersji Next Central Manager od 20.0.1 do 20.1.0. Niedociągnięcia zostały naprawione w wersji 20.2.0.
Pełna kontrola atakujących
Pomyślne wykorzystanie błędów może skutkować pełną kontrolą administracyjną nad urządzeniem, umożliwiając atakującym połączenie go z innymi wadami w celu utworzenia nowych kont na dowolnym zasobie BIG-IP Next zarządzanym przez Central Managera.
Co więcej, te złośliwe konta pozostaną ukryte przed samym Central Managerem. Jest to możliwe dzięki luce w zabezpieczeniach związanej z fałszerstwem żądań po stronie serwera (SSRF), która umożliwia wywołanie nieudokumentowanego interfejsu API i utworzenie kont.
„Oznacza to, że nawet jeśli hasło administratora zostanie zresetowane w Central Managerze, a system zostanie załatany, dostęp atakującego może nadal pozostać” – stwierdziła firma zajmująca się bezpieczeństwem łańcucha dostaw.
Eclypsium odkryło także dwie kolejne słabości, które mogą po prostu przeprowadzić ataki typu brute-force na hasła administratora i pozwolić administratorowi na zresetowanie hasła bez wiedzy o poprzednim. Osoba atakująca może wykorzystać ten problem do zablokowania legalnego dostępu do urządzenia z każdego konta.
Chociaż nic nie wskazuje na to, że luki te były aktywnie wykorzystywane w środowisku naturalnym, zaleca się, aby użytkownicy zaktualizowali swoje instancje do najnowszej wersji w celu ograniczenia potencjalnych zagrożeń. Ci, którzy nie mogą od razu zainstalować aktualnych aktualizacji zabezpieczeń, powinni ograniczyć dostęp Next Central Manager do zaufanych użytkowników za pośrednictwem bezpiecznej sieci, aby ograniczyć ryzyko ataków.
„Infrastruktura sieciowa i aplikacyjna stała się w ostatnich latach głównym celem atakujących ” – stwierdziło Eclypsium. „Wykorzystanie tych wysoce uprzywilejowanych systemów może zapewnić przeciwnikom idealny sposób na uzyskanie dostępu, rozprzestrzenianie się i utrzymanie trwałości w środowisku”.
Wcześniejsze problemy
W listopadzie F5 ostrzegł klientów, że „wykwalifikowani” napastnicy wykorzystują dwie krytyczne luki w zabezpieczeniach BIG-IP (CVE-2023-46747 i CVE-2023-46748) usunięte miesiąc wcześniej, aby włamać się do niezałatanych urządzeń, wykonać złośliwy kod i usunąć oznaki naruszenie.
Dwa lata temu CISA przestrzegła również przed powszechnym wykorzystaniem innej luki F5 BIG-IP (CVE-2022-1388) — umożliwiającej również przejmowanie urządzeń — w sieciach rządowych i sektora prywatnego.
