聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
Next Central Manager 可使管理员通过统一的管理用户接口,控制本地或云 BIG-IP Next 实例和服务。这些漏洞是位于 BIG-IP Next Central Manager API 中的一个SQL注入漏洞 (CVE-2024-26026)和OData 注入漏洞 (CVE-2024-21793),可导致未认证攻击者在未修复设备上远程执行恶意SQL语句。
SQL注入攻击涉及将恶意SQL查询注入数据库查询中的输入字段或参数。这种攻击利用位于应用中的漏洞,并导致预期之外的SQL命令执行,导致越权访问、数据泄露和系统接管。
Eclypsium 公司报送了这些漏洞并在本周三分享了 PoC 利用指出,攻陷未修复实例后创建的恶意账号无法从 Next Central Manager 中卡键,因此可用于受害者环境中保持恶意持久性。该公司表示,“Central Manager 的管理面板可被任何通过利用CVE-2024-21793或CVE-2024-26026访问管理UI的任何攻击者远程利用,从而导致管理器本身遭完全管理控制。之后攻击者可利用其它漏洞在任何 BIG-IP Next 资产上创建新账号,而这些新的恶意账号无法从 Central Manager 本身看到。”
F5 公司建议,无法立即安装今天发布的安全更新应当将 Next Central Manager 的访问权限限制到安全网络上的可信用户,缓解攻击风险。
不过 Eclypsium 公司提到,好在并未有证据表明这些漏洞已遭利用。虽然 BIG-IP Next Central Manager 的采用率目前尚不清楚,但当前 Shodan 搜索引擎显示超过1万台 BIG-IP 设备的管理端口遭暴露。
去年11月,F5公司提醒客户称“具有技术能力的“攻击者正在利用一个月前修复的两个严重漏洞CVE-2023-46747和CVE-2023-46748入侵未修复设备,执行恶意代码并擦除攻陷迹象。两年前,CISA还提醒称另外一个严重的BIG-IP漏洞CVE-2022-1388遭大规模利用。该漏洞也可导致政府和私营行业网络中的设备被接管。CISA还分享了拦截这些攻击的指南。
https://www.bleepingcomputer.com/news/security/new-big-ip-next-central-manager-bugs-allow-device-takeover/
题图:Pexels License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~