Les chercheurs d’Eclypsium ont publié des détails et des exploits PoC pour deux vulnérabilités d’injection exploitables à distance (CVE-2024-21793, CVE-2024-26026) affectant le BIG-IP Next Central Manager de F5.
À propos des vulnérabilités
BIG-IP Next est « une toute nouvelle incarnation » des dispositifs/modules BIG-IP de F5, qui sont utilisés pour gérer et inspecter le trafic réseau et applicatif. Ils sont généralement déployés par de grandes entreprises – opérateurs de télécommunications, fournisseurs de services Internet et cloud – mais également par les gouvernements.
BIG-IP Next Central Manager permet aux utilisateurs de contrôler de manière centralisée leurs instances et services BIG-IP Next.
CVE-2024-21793 et CVE-2024-26026 – deux vulnérabilités d’injection qui peuvent permettre aux attaquants d’exécuter des instructions SQL malveillantes via l’API BIG-IP NEXT Central Manager – ont été découvertes par le chercheur Vladyslav Babkin.
Les PoC partagés par Eclypsium pour les deux failles numérotées CVE peuvent permettre aux attaquants de récupérer le hachage du mot de passe de l’administrateur.
Les chercheurs d’Eclypsium ont également signalé trois vulnérabilités supplémentaires qui n’ont finalement pas reçu de numéro CVE. Ils peuvent permettre aux attaquants de créer des comptes sur les appareils, d’obtenir (relativement) facilement le mot de passe administrateur et de réinitialiser le mot de passe des comptes sans connaître le précédent.
« La console de gestion du Central Manager peut être exploitée à distance par tout attaquant capable d’accéder à l’interface utilisateur d’administration via CVE 2024-21793 ou CVE 2024-26026. Cela se traduirait par un contrôle administratif total du gestionnaire lui-même », expliquent les chercheurs.
« Les attaquants peuvent alors profiter des autres vulnérabilités pour créer de nouveaux comptes sur n’importe quel actif BIG-IP Next géré par le Central Manager. Notamment, ces nouveaux comptes malveillants ne seraient pas visibles depuis le Central Manager lui-même.
Correctifs et atténuations
F5 a publié des correctifs pour les deux vulnérabilités d’injection et exhorte les administrateurs à les mettre en œuvre. Ils peuvent également les atténuer en limitant l’accès de gestion aux produits F5 aux seuls utilisateurs et appareils de confiance sur un réseau sécurisé.
“Nous n’avons pas confirmé si les 3 autres étaient corrigés au moment de la publication”, ont ajouté les chercheurs d’Eclypsium. Rien n’indique actuellement que ces failles soient exploitées par des attaquants.