Eclypsium araştırmacıları, F5’in BIG-IP Sonraki Merkezi Yöneticisini etkileyen iki uzaktan istismar edilebilir enjeksiyon güvenlik açığına (CVE-2024-21793, CVE-2024-26026) ilişkin ayrıntıları ve PoC açıklarını yayınladı.
Güvenlik açıkları hakkında
BIG-IP Next, ağ ve uygulama trafiğini yönetmek ve denetlemek için kullanılan F5’in BIG-IP cihazlarının/modüllerinin “tamamen yeni bir versiyonudur”. Genellikle büyük işletmeler (telekomünikasyon şirketleri, internet ve bulut hizmet sağlayıcıları) tarafından ve aynı zamanda hükümetler tarafından da kullanılırlar.
BIG-IP Next Central Manager, kullanıcıların BIG-IP Next örneklerini ve hizmetlerini merkezi olarak kontrol etmelerine olanak tanır.
CVE-2024-21793 ve CVE-2024-26026 (her ikisi de saldırganların BIG-IP NEXT Central Manager API aracılığıyla kötü amaçlı SQL ifadeleri yürütmesine olanak tanıyan enjeksiyon güvenlik açıkları) araştırmacı Vladyslav Babkin tarafından bulundu.
İki CVE numaralı kusur için paylaşılan PoC Eclypsium, saldırganların yöneticinin şifre karmasını ele geçirmesine olanak tanıyabilir.
Eclypsium araştırmacıları ayrıca CVE numarası alamamasına neden olan üç ek güvenlik açığını da işaretledi. Saldırganların cihazlarda hesap oluşturmasına, (nispeten) yönetici şifresini kolayca almasına ve öncekini bilmeden hesaplardaki şifreyi sıfırlamasına olanak sağlayabilir.
“Merkezi Yöneticinin yönetim konsolu, CVE 2024-21793 veya CVE 2024-26026 aracılığıyla yönetim kullanıcı arayüzüne erişebilen herhangi bir saldırgan tarafından uzaktan kullanılabilir. Bu, yöneticinin tam idari kontrolüne sahip olmasına yol açacaktır” diye açıkladı araştırmacılar.
Saldırganlar daha sonra Merkezi Yönetici tarafından yönetilen herhangi bir BIG-IP Next varlığı üzerinde yeni hesaplar oluşturmak için diğer güvenlik açıklarından yararlanabilirler. Özellikle, bu yeni kötü amaçlı hesaplar Merkezi Yöneticinin kendisinden görülmeyecek.”
Düzeltmeler ve hafifletmeler
F5, iki enjeksiyon güvenlik açığı için düzeltmeler yayınladı ve yöneticileri bunları uygulamaya çağırıyor. Alternatif olarak, F5 ürünlerine yönetim erişimini güvenli bir ağ üzerinden yalnızca güvenilir kullanıcılar ve cihazlarla kısıtlayarak bu sorunları hafifletebilirler.
Eclypsium araştırmacıları, “Yayınlandığı sırada diğer 3 tanesinin düzeltilip düzeltilmediğini doğrulamadık” diye ekledi. Şu anda bu kusurların saldırganlar tarafından kullanıldığına dair bir gösterge yok.