Producto(s) afectado(s):
- F5 BIG-IP
Descripción:
Un grupo de investigadores ha descubierto cinco vulnerabilidades en un componente que reside en la línea de productos F5 BIG-IP. Cuando se explotan, estas vulnerabilidades conceden a los atacantes el control administrativo total del dispositivo, permitiéndoles crear cuentas en cualquier activo F5 gestionado por el componente Next Central Manager. Estas cuentas creadas no serán visibles desde el componente, permitiendo la persistencia maliciosa dentro del entorno.
Cabe mencionar que no se ha informado de ninguna explotación activa de estas vulnerabilidades en todo el mundo. Sin embargo, F5 sólo ha reconocido dos de ellas, que tienen una puntuación de gravedad de 7,5, identificadas como:
- CVE-2024-21793: OData Injection, una vulnerabilidad que permite a los atacantes inyectar datos maliciosos en las consultas OData.
- CVE-2024-26026: Inyección SQL, que permite la ejecución de sentencias SQL maliciosas.
Además, el equipo que descubrió las vulnerabilidades insiste en que hay otras tres vulnerabilidades no reconocidas que también son importantes, entre ellas:
- El potencial de explotación de la Falsificación de Peticiones del Lado del Servidor (SSRF).
- La posibilidad de restablecer la contraseña de administrador sin autenticación.
- Una debilidad en la configuración del algoritmo hash, que puede no ser lo suficientemente robusto, creando oportunidades para ataques de fuerza bruta.
Impacto:
Un actor malintencionado puede explotar las vulnerabilidades reconocidas por F5 para crear cuentas ocultas, obteniendo persistencia en los productos F5 y la posibilidad de un control total sobre toda la red de dispositivos gestionados por el Next Central Manager.
Solución:
Las vulnerabilidades reconocidas por F5 se han solucionado en la versión 20.2.0 de Next Central Manager. Actualmente se desconoce si las vulnerabilidades no reconocidas se han solucionado en este parche.