Lỗ hổng F5 Central Manager cho phép kích hoạt tiếp quản toàn bộ thiết bị


 Hai lỗ hổng bảo mật đã được phát hiện trong F5 Next Central Manager có thể bị khai thác bởi một tác nhân đe dọa để chiếm quyền kiểm soát các thiết bị và tạo tài khoản quản trị viên giả mạo ẩn để tồn tại.

Các lỗ hổng có thể khai thác từ xa "có thể cung cấp cho kẻ tấn công toàn quyền kiểm soát quản trị thiết bị và sau đó cho phép kẻ tấn công tạo tài khoản trên bất kỳ tài sản F5 nào do Next Central Manager quản lý", công ty bảo mật Eclypsium cho biết trong một báo cáo mới.

Mô tả về hai vấn đề như sau -

  • CVE-2024-21793 (điểm CVSS: 7.5) - Lỗ hổng OData injection có thể cho phép kẻ tấn công chưa được xác thực thực thi các câu lệnh SQL độc hại thông qua BIG-IP NEXT CENTRAL MANAGER API
  • CVE-2024-26026 (điểm CVSS: 7.5) - Lỗ hổng SQL injection có thể cho phép kẻ tấn công chưa được xác thực thực thi các câu lệnh SQL độc hại thông qua API BIG-IP Next Central Manager

Cả hai lỗi đều ảnh hưởng đến các phiên bản Next Central Manager từ 20.0.1 đến 20.1.0. Những thiếu sót đã được giải quyết trong phiên bản 20.2.0.

Việc khai thác thành công các lỗi có thể dẫn đến toàn quyền kiểm soát quản trị thiết bị, cho phép kẻ tấn công kết hợp nó với các lỗ hổng khác để tạo tài khoản mới trên bất kỳ tài sản BIG-IP Next nào do Giám đốc Trung tâm quản lý.

Hơn nữa, các tài khoản độc hại này sẽ vẫn được che giấu khỏi chính Người quản lý trung tâm. Điều này được thực hiện bởi lỗ hổng giả mạo yêu cầu phía máy chủ (SSRF) giúp có thể gọi API không có tài liệu và tạo tài khoản.

"Điều này có nghĩa là ngay cả khi mật khẩu quản trị viên được đặt lại trong Trình quản lý trung tâm và hệ thống được vá, quyền truy cập của kẻ tấn công vẫn có thể vẫn còn", công ty bảo mật chuỗi cung ứng cho biết.

Cũng được phát hiện bởi Eclypsium là hai điểm yếu nữa có thể chỉ đơn giản là các cuộc tấn công brute-force chống lại mật khẩu quản trị viên và cho phép quản trị viên đặt lại mật khẩu của họ mà không biết về mật khẩu trước đó. Kẻ tấn công có thể vũ khí hóa vấn đề này để chặn quyền truy cập hợp pháp vào thiết bị từ mọi tài khoản.

Mặc dù không có dấu hiệu nào cho thấy các lỗ hổng đã bị khai thác tích cực trong tự nhiên, nhưng người dùng nên cập nhật phiên bản của họ lên phiên bản mới nhất để giảm thiểu các mối đe dọa tiềm ẩn.

"Cơ sở hạ tầng mạng và ứng dụng đã trở thành mục tiêu chính của những kẻ tấn công trong những năm gần đây", Eclypsium nói. "Khai thác các hệ thống đặc quyền cao này có thể cung cấp cho đối thủ một cách lý tưởng để truy cập, lan truyền và duy trì sự kiên trì trong một môi trường."

Mới hơn Cũ hơn