F5 Next Central Manager’da, bir tehdit aktörünün cihazların kontrolünü ele geçirmek ve kalıcılık için gizli hileli yönetici hesapları oluşturmak amacıyla kullanılabilecek iki güvenlik açığı keşfedildi.
Güvenlik firması Eclypsium, uzaktan yararlanılabilen kusurların “saldırganlara cihazın tam idari kontrolünü verebildiğini ve daha sonra saldırganların Sonraki Merkezi Yönetici tarafından yönetilen herhangi bir F5 varlığı üzerinde hesap oluşturmasına izin verebileceğini” belirtti. söz konusu yeni bir raporda.
İki konunun açıklaması aşağıdaki gibidir:
- CVE-2024-21793 (CVSS puanı: 7,5) – Kimliği doğrulanmamış bir saldırganın BIG-IP NEXT Central Manager API aracılığıyla kötü amaçlı SQL ifadeleri yürütmesine olanak tanıyan bir OData enjeksiyon güvenlik açığı
- CVE-2024-26026 (CVSS puanı: 7,5) – Kimliği doğrulanmamış bir saldırganın BIG-IP Next Central Manager API aracılığıyla kötü amaçlı SQL ifadeleri yürütmesine izin verebilecek bir SQL enjeksiyon güvenlik açığı
Her iki kusur da Next Central Manager’ın 20.0.1’den 20.1.0’a kadar olan sürümlerini etkiliyor. 20.2.0 versiyonunda eksiklikler giderildi.
Hataların başarılı bir şekilde kullanılması, cihazın tam idari kontrolüyle sonuçlanabilir ve saldırganların, Merkezi Yönetici tarafından yönetilen herhangi bir BIG-IP Next varlığı üzerinde yeni hesaplar oluşturmak için bunu diğer kusurlarla birleştirmesine olanak tanır.
Dahası, bu kötü niyetli hesaplar Merkezi Yöneticinin kendisinden gizlenecektir. Bu, sunucu tarafı istek sahteciliğiyle mümkün kılınır (SSRF) belgelenmemiş bir API’nin çağrılmasını ve hesapların oluşturulmasını mümkün kılan güvenlik açığı.
Tedarik zinciri güvenlik şirketi, “Bu, Merkezi Yöneticide yönetici şifresi sıfırlansa ve sisteme yama uygulansa bile saldırgan erişiminin hala devam edebileceği anlamına geliyor” dedi.
Ayrıca Eclypsium tarafından, yönetici şifrelerine kaba kuvvet saldırıları gerçekleştirebilecek ve yöneticinin önceki şifreyi bilmeden şifrelerini sıfırlamasına izin verebilecek iki zayıf nokta daha keşfedildi. Bir saldırgan, her hesaptan cihaza meşru erişimi engellemek için bu sorunu silah haline getirebilir.
Güvenlik açıklarının aktif olarak istismar edildiğine dair herhangi bir belirti olmasa da, potansiyel tehditleri azaltmak için kullanıcıların örneklerini en son sürüme güncellemeleri önerilir.
Eclypsium, “Ağ oluşturma ve uygulama altyapısı son yıllarda saldırganların ana hedefi haline geldi” dedi. “Bu son derece ayrıcalıklı sistemlerden yararlanmak, düşmanlara bir ortamda erişim kazanmak, yayılmak ve kalıcılığı sürdürmek için ideal bir yol sağlayabilir.”
