F5 Networks’ün BIG-IP Next Central Manager’ında yeni keşfedilen güvenlik açıkları, bir saldırganın F5 markalı varlıklar üzerinde tam kontrol sahibi olmasına ve bunların içinde gizli hesaplar oluşturmasına olanak sağlayabilir.
BIG-IP, F5’in uygulama dağıtımı ve güvenliğine yönelik çeşitli yazılım ve donanım ürünlerinin şemsiyesidir. BÜYÜK IP Sonraki Şirkete göre “operasyonel karmaşıklığı azaltmak, performansı artırmak, güvenliği güçlendirmek ve gözlemlenebilirliği artırmak için” tasarlanan “yeni nesil” yazılımdır. Central Manager, kuruluşların tüm BIG-IP Next bulut sunucularını ve hizmetlerini yönetebilecekleri merkezdir.
İçinde yeni bir raporEclypsium, Sonraki Merkezi Yöneticiyi etkileyen beş hatayı ortaya çıkardı. Bunlardan ikisine CVE atandı ve satıcı tarafından yama uygulandı. Diğer üçüne CVE atanmadı, ancak bunlar saldırganların yönetici hesaplarına erişmesine ve bunları yönetmesine olanak tanıyordu.
F5’in Merkezi Yönetim Hizmetini Etkileyen CVE’ler
İlk hata, CVE-2024-21793, Merkezi Yöneticinin Açık Veri Protokolü (OData) sorgularını nasıl ele aldığıyla ilgilidir. Saldırganlar bir OData sorgu filtresi parametresine enjekte edebilir ve ayrıcalıkları yükseltmek için kullanılabilecek yönetici hesaplarına yönelik şifre karmaları gibi hassas verileri sızdırabilir. Ancak bu yalnızca cihazın yapılandırmasında Basit Dizin Erişim Protokolü (LDAP) etkinse işe yarar.
Bu nedenle ikinci hata olan CVE-2024-26026 daha da güçlüdür. Bu klasik SQL enjeksiyon güvenlik açığı herhangi bir konfigürasyondan bağımsız olarak çalışır ve aynı hassas veri sızıntısına izin verir.
F5, bu güvenlik açıklarının her birine CVSS 3.1 ölçeğinde “yüksek” 7,5 puan verdi ve atadı. Ayrıca yazılımı itibariyle bunları da düzeltti sürüm 20.2.0Müşterilerin hemen güncelleme yapması teşvik edilir.
Ancak Eclypsium, Merkezi Yöneticide saldırganların daha da fazla hasara yol açmasına olanak verebilecek üç soruna daha dikkat çekti.
Üç Hata Daha (?)
Bahsi geçen iki hatadan herhangi biri aracılığıyla Merkezi Yöneticiye erişim sağlayan bir saldırgan, Eclypsium’un herhangi bir BIG-IP üzerinde herhangi bir API yöntemini çağırmasına izin verdiğini tespit ettiği sunucu tarafı istek sahteciliği (SSRF) kusurunu kötüye kullanmayı seçebilir. Sonraki cihaz. BIG-IP Next cihazlarında halihazırda mevcut olan yöntemler, Merkezi Yönetici tarafından görülemeyen yeni hesaplar oluşturmalarına olanak tanıyacaktır. Bu şekilde, bir yönetici yama uygulamak veya kendi şifresini sıfırlamak gibi çeşitli adımlar atsa bile, gizli saldırganın hesabı hedeflenen herhangi bir cihazda varlığını sürdürecektir.
Yönetici hesaplarının kendisiyle ilgili iki sorun da vardır. Birincisi, yönetici şifrelerinin, günümüzün kaba kuvvet araçlarının kırabileceği nispeten zayıf bcrypt karmalarıyla korunmasıdır. İkinci sorun ise kimliği doğrulanmış yöneticilerin önceki şifrelerini bilmeden şifrelerini sıfırlayabilmeleridir. O halde teorik olarak, davetsiz misafir şifreyi kendi isteğine göre değiştirebilir ve bundan sonra herhangi bir başka sonuca neden olabilir.
Bu izinsiz giriş sonrası hataların hiçbirine CVE atanmadı veya yama yapılmadı. Dark Reading’den gelen bir soruşturmaya yanıt olarak F5 şunu açıklıyor: “CVE’ler yayınlamadığımız Eclypsium’un bulguları, ürünün güvenliğini etkilemek için doğrudan kullanılamaz ve bir saldırganın öncelikle yüksek ayrıcalıklı erişime sahip olmasını gerektirir. F5 bunu dikkate almaz. bunlar güvenlik açıkları olduğundan CVE’ler yayınlamadılar.”
Raporun baş araştırmacısı Vlad Babkin farklı bir duruş sergiliyor. “Evet, ayrıcalıklı erişime ihtiyaç duydukları doğru, ancak bu, saldırganların süresiz olarak uzun bir süre boyunca erişimi sürdürmesine olanak tanıyor” diyor. “Yani F5 CVE’ler yayınlamayacak olsa bile bunların aynı zamanda güvenlik açıkları olduğunu söyleyebilirim.”
Edge Cihazlarıyla İlgili Sorun
Merkezi yönetim platformları saldırganlar için bir nimettir. Dolayısıyla Babkin, yama uygulamasının yanı sıra şunu tavsiye ediyor: “Öncelikle, tüm yönetim arayüzleri yalıtılmış bir ağ üzerinde olmalıdır. Bu arayüzlere, Tanrı bilir kimlere asla erişim izni vermemelisiniz.”
Ancak kuruluşların aynı zamanda bu çözümlerin koruduğu bireysel cihazlardaki görünürlük sınırlamalarının farkında olması ve buna göre ayarlama yapması gerekir.
Babkin, “Ağ cihazlarının en büyük sorunu, cihazı yalnızca sınırlı bir şekilde görebilmenizdir” diye açıklıyor. “Tespit edilmesi giderek zorlaşıyor” [attacks], o kadar az görüşe sahip olursunuz. Ancak her şey satıcıya bağlıdır. Örneğin eski F5 cihazları bildiğim kadarıyla size tam bir kabuk sağlıyor. Tam bir bash’ınız var ve onu normal bir Linux kutusu gibi analiz edebilirsiniz. Ancak [some others] sana böyle bir şey sağlama. Yani kontrol edebileceğiniz tek şey cihaz konfigürasyonudur. Birisi cihazda kod çalıştırmayı başarırsa, dolaylı kanallar dışında bunu gerçekten bilmenizde zorluk yaşarsınız.”
“Bu daha önce gördüklerimize benziyor İvanti Ve Palo AltoEclypsium’un tehdit araştırması ve istihbarat direktörü Nate Warfield şunu ekliyor: “Meşru yöneticilerin cihazın bu tür tek camdan görünümüyle sınırlı olduğu bir durum. Sorun şu ki, bu tek camın arkasında aslında bir Linux sunucusu var. Dolayısıyla, satıcı ara yazılımı istismar edildiğinde ve bu saldırganlar bir kabuk aldıklarında, artık dolu bir kabuğa sahip olurlar. Hoş bir kabuk olmayabilir, ancak üzerine inşa edildiği temel Linux sistemine tam erişim sağlıyor.”
Sonuç olarak Warfield şu uyarıda bulunuyor: “Bütün bu alanlara ulaşabilir ve yöneticilerin aslında gidip göremeyeceği şeyleri kurcalayabilirsiniz.”
