Aviso sobre amenazas de ciberseguridad: Vulnerabilidad de F5 BIG-IP Next Central Manager.

Aviso sobre amenazas de ciberseguridad: Vulnerabilidad de F5 BIG-IP Next Central Manager.

Se descubrieron dos vulnerabilidades de alta gravedad en la API F5 BIG-IP Next Central Manager, permite a los atacantes obtener el control administrativo total y “backdoors” ocultas y persistentes en los dispositivos administrados.

¿Cuál es la amenaza?

CVE-2024-26026 es una vulnerabilidad de inyección SQL que existe en la API BIG-IP Next Central Manager afectando a versiones 20.0.1 a 20.1.0 lo que permite a los atacantes ejecutar de forma remota declaraciones SQL maliciosas en dispositivos sin parches. Los atacantes remotos pueden ejecutar código arbitrario, obteniendo acceso administrativo completo y creando cuentas administrativas ocultas en cualquier dispositivo BIG-IP Next Central Manager.

CVE-2024-21793 es una vulnerabilidad de inyección de OData no autenticada. Esta falla también existe en la API de BIG-IP Central Manager. Los atacantes pueden inyectar consultas OData maliciosas en el Manager Central, lo que podría ocasionar la filtración de información confidencial, como hashes de contraseñas de administrador. Con estas credenciales, podrían escalar privilegios y obtener control administrativo total sobre los dispositivos afectados.

¿Qué aspectos hay que considerar al respecto?

El 9 de mayo del 2024, los investigadores Eclypsium crearon un “xploit” de prueba de concepto (PoC) que demuestra como los atacantes aprovechan una inyección de SQL u OData para comprometer un activo BIG-IP Next Central Manager. El atacante puede restablecer las contraseñas de los usuarios sin conocer la contraseña anterior.

Los atacantes pueden utilizar una vulnerabilidad de falsificación de solicitudes del lado del servidor (SSFR) para invocar una API no documentada y crear cuentas que están ocultas del propio Central Manager. Esto ayuda al atacante a mantener la persistencia en el sistema incluso si el parche se aplique mas tarde.

¿Cuál es el riesgo?

Las agencias gubernamentales, las empresas de telecomunicaciones, los proveedores de servicios de internet y los proveedores de servicios en la nube utilizan dispositivos BIG-IP para gestionar e inspeccionar el trafico y las redes de aplicaciones.

La API de BIG-IP Next Central Manager permite el control central sobre las instancias y servicios de BIG-IP Next. Hasta el momento no existe una evidencia de que las dos vulnerabilidades de seguridad hayan sido aprovechadas en ataques a dispositivos BIG-IP. Sin embargo, según Shodan, hay más de 10,000 dispositivos BIG-IP con puertos de administración expuestos en línea. Estas vulnerabilidades permiten a los atacantes comprometer completamente las implementaciones de F5 Next Central Manager y los dispositivos BIG-IP administrados. Los atacantes pueden aprovechar este acceso para robar datos, interrumpir operaciones o lanzar mas ataques dentro de la red. Las cuentas administradas dentro del sistema crean persistencia lo cual dificulta su detección y su eliminación.

¿Cuáles son las recomendaciones?

Algunas de las recomendaciones para mitigar el impacto de estas vulnerabilidades son:

  • Actualizar a las versiones mas recientes 20.2.0 o posterior.
  • Limitar el acceso a Next Central Manager a usuarios confiables a través de una red segura, en caso de no poder aplicar una actualización.
  • Supervise cualquier actividad inusual en el Manager Central o en los dispositivos BIG-IP (creación de cuentas no autorizadas y cambios en las configuraciones del sistema).
  • Realice una revisión de seguridad integral para identificar y eliminar cualquier cuenta administrativa oculta creada por atacantes en dado caso de ser necesario.

Acércate a nosotros para brindarte más información de nuestro programa de canales:

 

 

JR

 

Regresar al blog