聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
BIG-IP 更新修复了一个高危安全漏洞CVE-2024-45844,影响设备的监控功能,可导致认证攻击者提权并更改配置。F5公司在安全公告中提到,“该漏洞可能导致具有管理者 (Manager) 角色或更高权限的认证攻击者访问配置 (Configuration) 工具或 TMOS Shell (tmsh),提升权限并贡献 BIG-IP系统。目前尚未出现数据暴露情况,只是控制面板问题。”
该漏洞已在 BIG-IP 版本17.1.1.4、16.1.5和15.1.10.5中修复,其它F5应用或服务并不受影响。组织机构可通过仅限可靠网络或设备访问BIG-IP 配置工具和通过SSH访问命令行来缓解该问题。使用自有IP地址访问该工具和SSH会被拦截。
F5公司表示,“由于该攻击是由合法的认证用户执行的,因此不存在允许用户访问配置工具或通过SSH 访问命令行的可行缓解措施。唯一的缓解措施是删除完全不可信用户的访问权限。”
CVE-2024-47139影响 BIG-IQ,是位于该设备用户界面未披露页面中的一个存储型XSS漏洞。具有管理员权限的攻击者如成功利用该漏洞,可以目前已登录用户的身份运行 JavaScript。
F5公司解释称,“认证攻击者可通过在BIG-IQ 用户界面存储恶意HTML或 JavaScript 代码的方式利用该漏洞。如成功利用,攻击者可在当前已登录用户的上下文,运行 JavaScript。如管理员用户能够访问 Advanced Shell (bash),攻击者可利用该漏洞攻陷 BIG-IP系统。”
该漏洞已在 BIG-IQ 中心化管理版本 8.2.0.1和8.3.0中修复。作为缓解措施,建议用户在使用 BIG-IQ 用户界面后登出并关闭web浏览器,并使用其它 web 浏览器管理 BIG-IQ 用户界面。
F5公司并未说明这两个漏洞是否已遭在野利用。可参考该公司发布的季度安全通知公告了解其它信息。
CISA:黑客滥用F5 BIG-IP cookie 映射内部服务器
https://www.securityweek.com/f5-big-ip-updates-patch-high-severity-elevation-of-privilege-vulnerability/
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~