Next Central Manager 可使管理员通过统一的管理用户接口，控制本地或云 BIG-IP Next 实例和服务。这些漏洞是位于 BIG-IP Next Central Manager API 中的一个SQL注入漏洞 (CVE-2024-26026)和OData 注入漏洞 (CVE-2024-21793)，可导致未认证攻击者在未修复设备上远程执行恶意SQL语句。

SQL注入攻击涉及将恶意SQL查询注入数据库查询中的输入字段或参数。这种攻击利用位于应用中的漏洞，并导致预期之外的SQL命令执行，导致越权访问、数据泄露和系统接管。

Eclypsium 公司报送了这些漏洞并在本周三分享了 PoC 利用指出，攻陷未修复实例后创建的恶意账号无法从 Next Central Manager 中卡键，因此可用于受害者环境中保持恶意持久性。该公司表示，“Central Manager 的管理面板可被任何通过利用CVE-2024-21793或CVE-2024-26026访问管理UI的任何攻击者远程利用，从而导致管理器本身遭完全管理控制。之后攻击者可利用其它漏洞在任何 BIG-IP Next 资产上创建新账号，而这些新的恶意账号无法从 Central Manager 本身看到。”

临时缓解措施

F5 公司建议，无法立即安装今天发布的安全更新应当将 Next Central Manager 的访问权限限制到安全网络上的可信用户，缓解攻击风险。

不过 Eclypsium 公司提到，好在并未有证据表明这些漏洞已遭利用。虽然 BIG-IP Next Central Manager 的采用率目前尚不清楚，但当前 Shodan 搜索引擎显示超过1万台 BIG-IP 设备的管理端口遭暴露。

去年11月，F5公司提醒客户称“具有技术能力的“攻击者正在利用一个月前修复的两个严重漏洞CVE-2023-46747和CVE-2023-46748入侵未修复设备，执行恶意代码并擦除攻陷迹象。两年前，CISA还提醒称另外一个严重的BIG-IP漏洞CVE-2022-1388遭大规模利用。该漏洞也可导致政府和私营行业网络中的设备被接管。CISA还分享了拦截这些攻击的指南。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

    觉得不错，就点个 “在看” 或 "赞” 吧~