A F5 recentemente corrigiu duas vulnerabilidades críticas no BIG-IP Next Central Manager que poderiam resultar em graves falhas de segurança. Essas falhas possibilitavam a obtenção de controle administrativo não autorizado e a criação de contas ocultas não autorizadas em qualquer ativo gerenciado.
O BIG-IP Next Central Manager é uma ferramenta vital que permite aos administradores gerenciar instâncias e serviços BIG-IP Next, tanto localmente quanto na nuvem, através de uma única interface de gerenciamento.
As vulnerabilidades identificadas são um SQLi (CVE-2024-26026) e uma OData injection (CVE-2024-21793) encontradas na API do BIG-IP Next Central Manager. Isso poderia permitir que hackers não autenticados executem remotamente instruções SQL maliciosas em dispositivos não atualizados.
Os ataques de SQLi envolvem a inserção de consultas maliciosas em campos de entrada ou parâmetros, explorando assim as falhas de segurança do aplicativo e possibilitando a execução de comandos SQL não autorizados, o que pode resultar em acesso indevido, violações de dados e controle do sistema.
A empresa de segurança Eclypsium, que identificou e relatou essas falhas, destacou que as contas criadas de forma fraudulenta após explorar uma instância não corrigida não são detectáveis no Next Central Manager. Isso poderia permitir um acesso persistente no ambiente.
De acordo com as informações fornecidas pela Eclypsium, essas vulnerabilidades podem ser exploradas remotamente por hackers que consigam acessar a interface administrativa do Next Central Manager, resultando em controle total sobre o gerenciador.
Possíveis caminhos de ataque (Eclypsium)
Para mitigar os riscos associados a essas vulnerabilidades, a F5 recomenda que os administradores restrinjam o acesso ao Next Central Manager apenas para usuários confiáveis em uma rede segura, caso não consigam aplicar imediatamente as atualizações de segurança.
Felizmente, não há evidências de que essas vulnerabilidades tenham sido exploradas em ataques até o momento.
Embora não se tenha uma estimativa exata sobre a adoção do BIG-IP Next Central Manager da F5, é importante notar que existem mais de 10.000 dispositivos BIG-IP rastreados pelo Shodan com portas de gerenciamento expostas online.
Em um alerta anterior, a F5 informou aos clientes sobre a exploração de duas vulnerabilidades críticas do BIG-IP (CVE-2023-46747 e CVE-2023-46748), corrigidas um mês antes. Essas explorações poderiam permitir a execução de código malicioso e até mesmo a eliminação de evidências de violação em dispositivos não atualizados.
Há alguns anos, a CISA também emitiu um alerta sobre a exploração generalizada de outra falha no BIG-IP da F5 (CVE-2022-1388), que também permitia o controle total dos dispositivos. Isso ocorreu em redes governamentais e do setor privado, e a CISA compartilhou diretrizes para mitigar esses ataques.
Via - BleepingComputer
Comments