F5 BIG-IP 修复高危提权漏洞
2024-10-19 02:5:0 Author: mp.weixin.qq.com(查看原文) 阅读量:13 收藏

 聚焦源代码安全,网罗国内外最新资讯!

编译:代码卫士

本周三,F5发布2024年10月季度安全通知,修复了位于BIG-IP和BIG-IQ企业产品中的两个漏洞。

BIG-IP 更新修复了一个高危安全漏洞CVE-2024-45844,影响设备的监控功能,可导致认证攻击者提权并更改配置。F5公司在安全公告中提到,“该漏洞可能导致具有管理者 (Manager) 角色或更高权限的认证攻击者访问配置 (Configuration) 工具或 TMOS Shell (tmsh),提升权限并贡献 BIG-IP系统。目前尚未出现数据暴露情况,只是控制面板问题。”

该漏洞已在 BIG-IP 版本17.1.1.4、16.1.5和15.1.10.5中修复,其它F5应用或服务并不受影响。组织机构可通过仅限可靠网络或设备访问BIG-IP 配置工具和通过SSH访问命令行来缓解该问题。使用自有IP地址访问该工具和SSH会被拦截。

F5公司表示,“由于该攻击是由合法的认证用户执行的,因此不存在允许用户访问配置工具或通过SSH 访问命令行的可行缓解措施。唯一的缓解措施是删除完全不可信用户的访问权限。”

CVE-2024-47139影响 BIG-IQ,是位于该设备用户界面未披露页面中的一个存储型XSS漏洞。具有管理员权限的攻击者如成功利用该漏洞,可以目前已登录用户的身份运行 JavaScript。

F5公司解释称,“认证攻击者可通过在BIG-IQ 用户界面存储恶意HTML或 JavaScript 代码的方式利用该漏洞。如成功利用,攻击者可在当前已登录用户的上下文,运行 JavaScript。如管理员用户能够访问 Advanced Shell (bash),攻击者可利用该漏洞攻陷 BIG-IP系统。”

该漏洞已在 BIG-IQ 中心化管理版本 8.2.0.1和8.3.0中修复。作为缓解措施,建议用户在使用 BIG-IQ 用户界面后登出并关闭web浏览器,并使用其它 web 浏览器管理 BIG-IQ 用户界面。

F5公司并未说明这两个漏洞是否已遭在野利用。可参考该公司发布的季度安全通知公告了解其它信息。

代码卫士试用地址:https://codesafe.qianxin.com
开源卫士试用地址:https://oss.qianxin.com

推荐阅读

CISA:黑客滥用F5 BIG-IP cookie 映射内部服务器

F5修复BIG-IP 和 NGINX Plus 中的多个高危漏洞

F5修复可导致RCE的 BIG-IP 认证绕过漏洞

F5 BIG-IP 高危漏洞可导致拒绝服务和代码执行

原文链接

https://www.securityweek.com/f5-big-ip-updates-patch-high-severity-elevation-of-privilege-vulnerability/

题图:Pixabay License

本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

    觉得不错,就点个 “在看” 或 "” 吧~


文章来源: https://mp.weixin.qq.com/s?__biz=MzI2NTg4OTc5Nw==&mid=2247521146&idx=1&sn=9082baa037a6e59fedb1cd685658ae1c&chksm=ea94a210dde32b06c309bdfeedbfb7bd2cf44ef71cdb29f41dc41e4af7102a5f3336ac6a51b3&scene=58&subscene=0#rd
如有侵权请联系:admin#unsafe.sh