De nouveaux bogues de BIG-IP Next Central Manager permettent de prendre le contrôle de l’appareil

F5 a corrigé deux vulnérabilités de haute sévérité de BIG-IP Next Central Manager, qui peuvent être exploitées pour obtenir le contrôle de l’administrateur et créer des comptes cachés sur n’importe quel actif géré.

Next Central Manager permet aux administrateurs de contrôler les instances et les services BIG-IP Next sur site ou dans le nuage via une interface utilisateur de gestion unifiée.

Les failles sont une vulnérabilité d’injection SQL et une vulnérabilité d’injection OData trouvées dans l’API BIG-IP Next Central Manager qui permettraient à des attaquants non authentifiés d’exécuter à distance des instructions SQL malveillantes sur des appareils non corrigés.

« La console de gestion du Central Manager peut être exploitée à distance par tout attaquant capable d’accéder à l’interface utilisateur administrative via CVE 2024-21793 ou CVE 2024-26026. Il en résulterait un contrôle administratif complet du gestionnaire lui-même », indique Eclypsium.

« Les attaquants peuvent alors profiter des autres vulnérabilités pour créer de nouveaux comptes sur n’importe quel équipement BIG-IP Next géré par le Central Manager. Notamment, ces nouveaux comptes malveillants ne seraient pas visibles depuis le Central Manager lui-même. »

Selon les recommandations de F5, les administrateurs qui ne peuvent pas installer immédiatement les mises à jour de sécurité d’aujourd’hui devraient restreindre l’accès à Next Central Manager aux utilisateurs de confiance sur un réseau sécurisé afin de réduire les risques d’attaque.

Partager cet article sur les médias sociaux :

Abonnez-vous à Notre Infolettre !

Restez au fait des risques de cybersécurité, de l’évolution des menaces et de l’actualité du secteur.

Ce champ n’est utilisé qu’à des fins de validation et devrait rester inchangé.

Dernières Nouvelles

Services en Vedette

Actualités Concernant la Cybersécurité

Qu’il s’agisse de cyberattaques majeures, de vulnérabilités critiques récemment découvertes ou de bonnes pratiques recommandées, lisez d’abord ici :

BOOK A MEETING

Enter your Email Address

Ce champ n’est utilisé qu’à des fins de validation et devrait rester inchangé.

* No free email provider (e.g: gmail.com, hotmail.com, etc.)

PLANIFIER UNE RENCONTRE

Saisissez Votre Adresse Courriel

Ce champ n’est utilisé qu’à des fins de validation et devrait rester inchangé.

* Pas de fournisseur de courrier électronique gratuit (par exemple : gmail.com, hotmail.com, etc.)

This site is registered on wpml.org as a development site. Switch to a production site key to remove this banner.