Se han descubierto dos vulnerabilidades de seguridad en F5 Next Central Manager que podrían ser explotadas por un actor de amenazas para tomar el control de los dispositivos y crear cuentas de administrador ocultas y fraudulentas para la persistencia.
Las fallas explotables de forma remota «pueden brindar a los atacantes un control administrativo total del dispositivo y, posteriormente, permitirles crear cuentas en cualquier activo F5 administrado por Next Central Manager», dijo la firma de seguridad Eclypsium. dicho en un nuevo informe.
Una descripción de los dos problemas es la siguiente:
- CVE-2024-21793 (Puntuación CVSS: 7,5): una vulnerabilidad de inyección de OData que podría permitir a un atacante no autenticado ejecutar sentencias SQL maliciosas a través de la API de BIG-IP NEXT Central Manager.
- CVE-2024-26026 (Puntuación CVSS: 7,5): una vulnerabilidad de inyección SQL que podría permitir a un atacante no autenticado ejecutar sentencias SQL maliciosas a través de la API BIG-IP Next Central Manager.
Ambas fallas afectan las versiones de Next Central Manager desde 20.0.1 a 20.1.0. Las deficiencias se han solucionado en la versión 20.2.0.
La explotación exitosa de los errores puede resultar en un control administrativo total del dispositivo, lo que permite a los atacantes combinarlo con otras fallas para crear nuevas cuentas en cualquier activo de BIG-IP Next administrado por el Administrador Central.
Es más, estas cuentas maliciosas permanecerían ocultas al propio Gestor Central. Esto es posible gracias a una falsificación de solicitudes del lado del servidor (SSRF) vulnerabilidad que permite invocar una API no documentada y crear las cuentas.
«Esto significa que incluso si se restablece la contraseña de administrador en el Administrador Central y se parchea el sistema, el acceso del atacante aún podría permanecer», dijo la compañía de seguridad de la cadena de suministro.
Eclypsium también descubrió dos debilidades más que podrían simplemente lanzar ataques de fuerza bruta contra las contraseñas de administrador y permitir que un administrador restablezca sus contraseñas sin conocer la anterior. Un atacante podría utilizar este problema como arma para bloquear el acceso legítimo al dispositivo desde cada cuenta.
Si bien no hay indicios de que las vulnerabilidades hayan sido explotadas activamente en la naturaleza, se recomienda que los usuarios actualicen sus instancias a la última versión para mitigar posibles amenazas.
«La infraestructura de redes y aplicaciones se ha convertido en un objetivo clave de los atacantes «En los últimos años», dijo Eclypsium. «La explotación de estos sistemas altamente privilegiados puede brindar a los adversarios una forma ideal de obtener acceso, difundir y mantener la persistencia dentro de un entorno».