Duas vulnerabilidades de segurança foram descobertas no F5 Next Central Manager que podem ser exploradas por um ator de ameaças para assumir o controle dos dispositivos e criar contas de administrador ocultas e maliciosas para persistência.
As falhas, que podem ser exploradas remotamente, "podem dar aos atacantes controle administrativo total do dispositivo e, subsequentemente, permitir que atacantes criem contas em quaisquer ativos F5 gerenciados pelo Next Central Manager", disse a empresa de segurança Eclypsium em um novo relatório.
A descrição dos dois problemas é a seguinte:
CVE-2024-21793
(pontuação CVSS: 7.5) - Uma vulnerabilidade de injeção OData que poderia permitir a um atacante não autenticado executar comandos SQL maliciosos através da API BIG-IP NEXT Central Manager
CVE-2024-26026
(pontuação CVSS: 7.5) - Uma vulnerabilidade de injeção SQL que poderia permitir a um atacante não autenticado executar comandos SQL maliciosos através da API BIG-IP Next Central Manager
Ambas as falhas afetam as versões do Next Central Manager de 20.0.1 a 20.1.0.
Os problemas foram corrigidos na versão 20.2.0.
A exploração bem-sucedida dos bugs pode resultar em controle administrativo total do dispositivo, permitindo aos atacantes combiná-lo com outras falhas para criar novas contas em qualquer ativo BIG-IP Next gerenciado pelo Central Manager.
Além disso, essas contas maliciosas permaneceriam ocultas do próprio Central Manager.
Isso é possível através de uma vulnerabilidade de Server-Side Request Forgery (SSRF) que possibilita invocar uma API não documentada e criar as contas.
"Isso significa que mesmo se a senha do admin for redefinida no Central Manager, e o sistema for corrigido, o acesso do atacante ainda pode permanecer", disse a empresa de segurança da cadeia de suprimentos.
Também descobertas pela Eclypsium são mais duas fraquezas que poderiam simplesmente permitir ataques de força bruta contra as senhas de admin e permitir que um administrador redefina suas senhas sem conhecimento da anterior.
Um atacante poderia armar essa questão para bloquear o acesso legítimo ao dispositivo de todas as contas.
Embora não haja indicações de que as vulnerabilidades tenham sido exploradas ativamente no mundo real, é recomendado que os usuários atualizem suas instâncias para a versão mais recente para mitigar potenciais ameaças.
"A infraestrutura de redes e aplicações tornou-se um alvo chave de atacantes nos últimos anos", disse a Eclypsium.
Explorar esses sistemas altamente privilegiados pode oferecer aos adversários uma maneira ideal de ganhar acesso, se espalhar e manter persistência dentro de um ambiente.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...