Se han descubierto dos vulnerabilidades de seguridad en F5 Next Central Manager que podrían ser explotadas por un actor de amenazas para tomar el control de los dispositivos y crear cuentas de administrador ocultas para persistencia.
Las fallas explotables de forma remota «pueden dar a los atacantes control administrativo total del dispositivo, y posteriormente permitirles crear cuentas en cualquier activo de F5 gestionado por el Next Central Manager«, según un nuevo informe de la firma de seguridad Eclypsium.
Una descripción de los dos problemas es la siguiente –
CVE-2024-21793 (puntuación CVSS: 7.5) – Una vulnerabilidad de inyección de OData que podría permitir a un atacante no autenticado ejecutar declaraciones maliciosas de SQL a través de la API del BIG-IP NEXT Central Manager
CVE-2024-26026 (puntuación CVSS: 7.5) – Una vulnerabilidad de inyección de SQL que podría permitir a un atacante no autenticado ejecutar declaraciones maliciosas de SQL a través de la API del BIG-IP Next Central Manager
Ambas fallas afectan a las versiones de Next Central Manager desde 20.0.1 hasta 20.1.0. Las deficiencias han sido abordadas en la versión 20.2.0.
La explotación exitosa de los errores puede resultar en control administrativo total del dispositivo, lo que permite a los atacantes combinarlo con otras fallas para crear nuevas cuentas en cualquier activo BIG-IP Next gestionado por el Central Manager.
Además, estas cuentas maliciosas permanecerían ocultas al Central Manager en sí. Esto es posible gracias a una vulnerabilidad de falsificación de solicitudes del lado del servidor (SSRF) que hace posible invocar una API no documentada y crear las cuentas.
«Esto significa que incluso si la contraseña de administrador se restablece en el Central Manager y el sistema se parchea, el acceso del atacante podría seguir existiendo», dijo la compañía de seguridad de la cadena de suministro.
También descubiertas por Eclypsium son otras dos debilidades que podrían facilitar ataques de fuerza bruta contra las contraseñas de administrador y permitir a un administrador restablecer sus contraseñas sin conocer la anterior. Un atacante podría aprovechar este problema para bloquear el acceso legítimo al dispositivo desde cualquier cuenta.
Si bien no hay indicios de que las vulnerabilidades hayan sido explotadas activamente, se recomienda a los usuarios que actualicen sus instancias a la última versión para mitigar posibles amenazas.
«La infraestructura de redes y aplicaciones se ha convertido en un objetivo clave de los atacantes en los últimos años», dijo Eclypsium. «Explotar estos sistemas altamente privilegiados puede dar a los adversarios una forma ideal de acceder, propagarse y mantener persistencia dentro de un entorno».
Vía The Hacker News
