F5 资产管理器中的 2 个或 5 个漏洞允许完全接管,隐藏账户

F5 Networks BIG-IP Next Central Manager 存在新漏洞

关键要点

  • 发现新漏洞 :F5 Networks 的 BIG-IP Next Central Manager 存在新漏洞,可能导致攻击者对 F5 品牌资产完全控制。
  • 关键漏洞 :包括 CVE-2024-21793 和 CVE-2024-26026 的两个高危漏洞已被修复,但还有额外问题没有分配 CVE。
  • 管理界面的安全性问题 :集中管理平台增加了攻击风险,建议将管理接口放置在隔离网络中。

F5 Networks 最近发现,BIG-IP Next Central Manager 存在一些严重的新漏洞,这可能使攻击者能够完全控制任何 F5品牌资产,并在其中创建隐藏账户。BIG-IP 是 F5 用于应用交付和安全的各种软件和硬件产品的总称,而 BIG-IP Next是其“下一代”软件,旨在“降低运营复杂度、提升性能、增强安全性和可观测性”。中央管理器是组织管理所有 BIG-IP Next 实例和服务的中心。

在一份新报告中, 揭示了影响 Next Central Manager 的五个漏洞。其中两个已被分配 CVE 并由厂商修复,其余三个未分配 CVE,但仍可能使攻击者获得管理员账户的访问权限和操控权限。

影响 F5 中央管理服务的 CVE

第一个漏洞 CVE-2024-21793 涉及中央管理器如何处理开放数据协议(OData)查询。攻击者可以在 OData查询过滤器参数中注入恶意代码,从而泄露敏感数据,比如可以用于提升权限的管理员账户密码哈希值。然而,这一漏洞的利用前提是设备配置中启用了轻量级目录访问协议(LDAP)。

第二个漏洞 CVE-2024-26026 的威力更大。这是一个经典的 ,无论设备的具体配置如何,都可能造成同样敏感数据的泄露。

F5 已确认并为这两个漏洞在 CVSS 3.1 评分体系中分配了 “高” 7.5 分,并已在其软件 中修复,建议客户立即更新。

但是,Eclypsium 还指出了在中央管理器中存在的三个新问题,这可能使攻击者造成更大的破坏。

另外三项BUG (?)

通过上面提到的任一漏洞,攻击者可能会利用一个服务器端请求伪造(SSRF)漏洞,Eclypsium 发现这将允许他们对任意 BIG-IP Next设备调用任何 API 方法。在 BIG-IP Next设备上已可用的方法将允许他们创建新的、不在中央管理器可见的新账户。即使管理员采取包括打补丁或重置密码等各种措施,隐藏的攻击者账户仍将存在于任何目标设备上。

此外,还存在两个与管理员账户相关的问题。首先是管理员密码通过相对较弱的 bcrypt哈希进行保护,现今的暴力破解工具可以破解该保护。第二个问题是已认证的管理员可以在不知道先前密码的情况下重置他们的密码。这就意味着潜在的入侵者可以随心所欲地更改密码,从而导致进一步的后果。

这些入侵后的漏洞目前尚未分配 CVE 或修复。针对 Dark Reading 的询问,F5 表示:“Eclypsium的发现没有直接影响产品安全,需要攻击者首先拥有高度特权的访问权限。F5 不认为这些是漏洞,因此没有发布 CVE。”

报告的首席研究员弗拉德·巴布金持不同观点。他表示:“是的,虽然他们确实需要特权访问,但这使得攻击者可以持久保持访问,时间几乎没有限制。所以我认为这些也是漏洞,尽管 F5 不打算发布 CVE。”

边缘设备的问题

集中的管理平台对于攻击者来说是个福音。因此,巴布金建议,在补丁更新之外,“首先,所有管理接口应该位于隔离的网络中。你绝对不应该随便让任何人访问这些接口。”

同时,组织需要意识到并相应调整这些解决方案所保护的设备在可见性方面的限制。

“网络设备最大的问题是你只能看到设备的有限视图,”巴布金解释。“你得到的视图越少,检测攻击就越困难。但这完全取决于厂商。例如,较旧的 F5设备据我所知,允许你获得一个完整的外壳。你可以像正常使用 Linux设备那样进行分析。但是其他一些设备则不会提供任何类似的功能。因此,唯一你能检查的就是设备配置。如果有人在设备上实现了代码执行,你将很难知道,除非通过间接渠道。”

“这有点类似于我们在 和 中所看到的情况,”Eclypsium威胁研究与情报总监内特·沃尔菲尔德补充道,“其中合法的管理员仅限于这种单一的平面视图。但问题在于,这种单一视图后面实际上是一个 Linux服务器。因此,当厂商中间件被利用,攻击者获得外壳时,他们就拥有了对底层 Linux 系统的完全访问权限。”

因此,沃尔菲尔德警告说:“你可以访问所有这些区域,篡改管理员实际上无法看到的内容。”

Leave a Reply

Required fields are marked *