F5 a corrigé deux vulnérabilités BIG-IP Next Central Manager de haute gravité, qui peuvent être exploitées pour obtenir un contrôle administrateur et créer des comptes malveillants cachés sur tous les actifs gérés.

Next Central Manager permet aux administrateurs de contrôler les instances et services Next BIG-IP sur site ou dans le cloud via une interface utilisateur de gestion unifiée.

Les failles sont une vulnérabilité d’injection SQL (CVE-2024-26026) et une vulnérabilité d’injection OData (CVE-2024-21793) trouvées dans l’API BIG-IP Next Central Manager qui permettraient à des attaquants non authentifiés d’exécuter à distance des instructions SQL malveillantes sur des appareils non corrigés.

Les attaques par injection SQL impliquent l’injection de requêtes SQL malveillantes dans des champs de saisie ou des paramètres dans des requêtes de base de données. Cela exploite les vulnérabilités de la sécurité de l’application et permet l’exécution involontaire de commandes SQL, entraînant un accès non autorisé, des violations de données et des prises de contrôle du système.

La société de sécurité de la chaîne d’approvisionnement Eclypsium, qui a signalé les failles et partagé une démonstration de faisabilité mercredi, a déclaré que les comptes malveillants créés après avoir compromis une instance non corrigée ne sont pas visibles depuis Next Central Manager et peuvent donc être utilisés pour une persistance malveillante dans l’environnement d’une victime.

« La console de gestion du Gestionnaire central peut être exploitée à distance par tout attaquant capable d’accéder à l’interface utilisateur administrative via CVE 2024-21793 ou CVE 2024-26026. Cela se traduirait par un contrôle administratif total du gestionnaire lui-même », explique Eclypsium.

« Les attaquants peuvent ensuite tirer parti des autres vulnérabilités pour créer de nouveaux comptes sur n’importe quel actif BIG-IP Next géré par le Gestionnaire central. Notamment, ces nouveaux comptes malveillants ne seraient pas visibles depuis le gestionnaire central lui-même. »

Voies d’attaque potentielles

Exploit PoC et atténuation temporaire disponibles
Selon les recommandations de F5, les administrateurs qui ne peuvent pas installer immédiatement les mises à jour de sécurité d’aujourd’hui doivent restreindre l’accès Next Central Manager aux utilisateurs de confiance sur un réseau sécurisé pour atténuer les risques d’attaque.

Heureusement, selon Eclypsium, il n’y a aucune preuve que les deux failles de sécurité ont été exploitées dans des attaques.

Alors que les taux d’adoption du gestionnaire central BIG-IP Next de F5 sont actuellement inconnus, Shodan suit actuellement plus de 10 000 périphériques BIG-IP F5 avec des ports de gestion exposés en ligne.

En novembre, F5 a averti ses clients que des attaquants « qualifiés » exploitaient deux vulnérabilités critiques de GRANDE IP (CVE-2023-46747 et CVE-2023-46748) corrigées un mois auparavant pour pirater des appareils non corrigés, exécuter du code malveillant et effacer les signes de la violation.

Il y a deux ans, CISA a également mis en garde contre l’exploitation généralisée d’une autre faille F5 BIG-IP (CVE-2022-1388)—permettant également la prise de contrôle des appareils—sur les réseaux du gouvernement et du secteur privé et a partagé des conseils pour bloquer les attaques en cours.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *