F5 a corrigé deux vulnérabilités de haute sévérité de BIG-IP Next Central Manager, qui peuvent être exploitées pour obtenir le contrôle de l’administrateur et créer des comptes cachés sur n’importe quel actif géré.
Next Central Manager permet aux administrateurs de contrôler les instances et les services BIG-IP Next sur site ou dans le nuage via une interface utilisateur de gestion unifiée.
Les failles sont une vulnérabilité d’injection SQL et une vulnérabilité d’injection OData trouvées dans l’API BIG-IP Next Central Manager qui permettraient à des attaquants non authentifiés d’exécuter à distance des instructions SQL malveillantes sur des appareils non corrigés.
« La console de gestion du Central Manager peut être exploitée à distance par tout attaquant capable d’accéder à l’interface utilisateur administrative via CVE 2024-21793 ou CVE 2024-26026. Il en résulterait un contrôle administratif complet du gestionnaire lui-même », indique Eclypsium.
« Les attaquants peuvent alors profiter des autres vulnérabilités pour créer de nouveaux comptes sur n’importe quel équipement BIG-IP Next géré par le Central Manager. Notamment, ces nouveaux comptes malveillants ne seraient pas visibles depuis le Central Manager lui-même. »
Selon les recommandations de F5, les administrateurs qui ne peuvent pas installer immédiatement les mises à jour de sécurité d’aujourd’hui devraient restreindre l’accès à Next Central Manager aux utilisateurs de confiance sur un réseau sécurisé afin de réduire les risques d’attaque.