F5 Big IP’nin, bir tehdit aktörünün cihazın tam idari kontrolünü ele geçirmesine ve herhangi bir F5 varlığı üzerinde hesap oluşturmasına olanak verebilecek iki kritik güvenlik açığı içerdiği keşfedildi.
Aslında, saldırgan tarafından oluşturulan bu hesaplar Next Central Manager’dan bile görünmez olacak ve bu onların birden fazla kötü amaçlı etkinlik için kullanılabilecek ortama kalıcı erişim sağlamasını sağlayacak.
Bu güvenlik açıklarına CVE-2024-21793 ve CVE-2024-26026 atanmıştır. Bu güvenlik açıklarının ciddiyeti 7,5 (Yüksek) olarak verilmiştir.
Ücretsiz Web Semineri Canlı API Saldırı Simülasyonu: Yerinizi Ayırın | API’lerinizi bilgisayar korsanlarından korumaya başlayın
Üstelik F5, tehdit aktörleri tarafından vahşi ortamda istismar edildiğine dair hiçbir belirti bulunmadığını doğruladı. F5, güvenlik önerilerinin yanı sıra bu güvenlik açıkları için yamalar yayınladı.
Yeni F5 Yeni Nesil Yönetici Kusuru
Cyber Security News ile paylaşılan raporlara göre araştırmacılar 5 güvenlik açığı sundu, bunlardan yalnızca ikisi F5 tarafından ele alındı, diğer 3’ü ise halen araştırılıyor.
.webp)
Tehdit aktörleri uzun süredir ağ ve uygulama altyapısından sürekli olarak yararlanıyor çünkü bu son derece ayrıcalıklı sistemler onlara bir ortam içinde erişim sağlama, yayılma ve kalıcılığı sürdürme konusunda çeşitli yollar sunabiliyor.
Next Central Manager, BIG-IP genelinde yaşam döngüsüyle ilgili tüm görevlerin gerçekleştirilmesine yönelik tek, merkezi bir kontrol noktasıdır.
CVE-2024-21793: Kimliği Doğrulanmamış OData Ekleme
Bu güvenlik açığı, Merkezi Yöneticinin OData sorgularını işleme yöntemi nedeniyle mevcuttur.
Bir tehdit aktörünün Merkezi yöneticiye kötü amaçlı OData sorgusu eklemesine ve yönetici şifre karması gibi hassas bilgileri sızdırmasına olanak tanıyarak daha yüksek ayrıcalıklar sağlayabilir.
Ancak bu güvenlik açığının oluşması için LDAP’nin Merkezi Yönetici üzerinde etkinleştirilmesi gerekmektedir.
CVE-2024-26026: Kimliği Doğrulanmamış SQL Ekleme
Bu, Next Central Manager’da herhangi bir cihaz konfigürasyonunda bulunabilen ve potansiyel olarak bir tehdit aktörünün kimlik doğrulamayı atlamasına izin veren bir SQL ekleme güvenlik açığıdır.
Ancak bu güvenlik açığı, güvenlik açığı bulunan cihazlarda yönetici kullanıcı karmasını çıkarmak için de kullanılabilir.
CVE atanmış bu iki güvenlik açığının dışında, atanmamış diğer 3 güvenlik açığı da şu şekildedir:
- Belgelenmemiş API, URL yolunun SSRF’sinin Herhangi Bir Aygıt Yöntemini Çağırmasına olanak tanır – bu SSRF güvenlik açığı herhangi bir API yöntemini çağırabilir ve görünmez yerleşik hesaplar oluşturabilir
- Yetersiz Bcrypt maliyeti 6 – Merkezi yönetici, modern önerilere göre yeterli olmayan yalnızca 6 maliyetle yönetici şifresini hashler. Bu, yaklaşık 50 bin dolar değerindeki iyi finanse edilen bir saldırgan tarafından kaba kuvvetle gerçekleştirilebilir.
Yönetici Parolasını Önceki Parola Bilgisi Olmadan Kendi Kendine Sıfırlama – Oturum açmış bir Yönetici kullanıcı, önceki şifreyi bilmeden bile şifresini sıfırlayabilir. Yukarıda belirtilen diğer güvenlik açıklarıyla birleştirilirse bu durum
.webp)
Eclypsium her güvenlik açığı için bir Kavram Kanıtı yayınladı. Bu güvenlik sorunlarını gidermek için kullanıcıların F5 varlıklarını en son sürümlere yükseltmeleri önerilir.
Is Your Network Under Attack? - Read CISO’s Guide to Avoiding the Next Breach - Download Free Guide