Er zijn twee beveiligingsproblemen ontdekt in F5 Next Central Manager die kunnen worden uitgebuit door een bedreigingsacteur om de controle over de apparaten over te nemen en verborgen frauduleuze beheerdersaccounts te creëren voor persistentie.
De op afstand te exploiteren fouten “kunnen aanvallers volledige administratieve controle over het apparaat geven, en vervolgens aanvallers in staat stellen accounts aan te maken op alle F5-middelen die worden beheerd door de Next Central Manager”, aldus beveiligingsbedrijf Eclypsium in een nieuw rapport.
Een beschrijving van de twee problemen is als volgt:
- CVE-2024-21793 (CVSS-score: 7,5) – Een kwetsbaarheid voor OData-injectie waardoor een niet-geverifieerde aanvaller kwaadaardige SQL-instructies kan uitvoeren via de BIG-IP NEXT Central Manager API
- CVE-2024-26026 (CVSS-score: 7,5) – Een kwetsbaarheid voor SQL-injectie waardoor een niet-geverifieerde aanvaller kwaadaardige SQL-instructies kan uitvoeren via de BIG-IP Next Central Manager API
Beide fouten zijn van invloed op de versies van Next Central Manager van 20.0.1 tot 20.1.0. De tekortkomingen zijn verholpen in versie 20.2.0.
Succesvol misbruik van de bugs kan resulteren in volledige administratieve controle over het apparaat, waardoor aanvallers het kunnen combineren met andere tekortkomingen om nieuwe accounts aan te maken op elk BIG-IP Next-middel dat wordt beheerd door de Central Manager.
Bovendien zouden deze kwaadaardige accounts verborgen blijven voor de Centrale Manager zelf. Dit wordt mogelijk gemaakt door een server-side request forgery (SSRF) kwetsbaarheid die het mogelijk maakt om een ongedocumenteerde API aan te roepen en de accounts aan te maken.
“Dit betekent dat zelfs als het beheerderswachtwoord opnieuw wordt ingesteld in de Central Manager en het systeem wordt gepatcht, er nog steeds toegang voor aanvallers kan blijven bestaan”, aldus het supply chain-beveiligingsbedrijf.
Ook ontdekt door Eclypsium zijn nog twee zwakke punten die eenvoudigweg brute force-aanvallen op de beheerderswachtwoorden kunnen uitvoeren en een beheerder in staat kunnen stellen zijn wachtwoord opnieuw in te stellen zonder kennis van het vorige. Een aanvaller zou dit probleem kunnen inzetten om legitieme toegang tot het apparaat vanaf elk account te blokkeren.
Hoewel er geen aanwijzingen zijn dat de kwetsbaarheden in het wild actief worden uitgebuit, wordt gebruikers aangeraden hun instances bij te werken naar de nieuwste versie om potentiële bedreigingen te beperken.
“Netwerk- en applicatie-infrastructuur zijn de afgelopen jaren een belangrijk doelwit van aanvallers geworden”, aldus Eclypsium. “Het exploiteren van deze zeer bevoorrechte systemen kan tegenstanders een ideale manier bieden om toegang te krijgen tot een omgeving, zich te verspreiden en hun persistentie te behouden.”