F5のBIG-IP Next Central Managerで脆弱性 デバイス乗っ取りが可能に(CVE-2024-26026、CVE-2024-21793)

F5 は、BIG-IP Next Central Manager の重大度の高い 2 つの脆弱性を修正しました。これらの脆弱性が悪用されると、管理権限を取得し、管理対象資産に非表示の不正アカウントを作成することができます。

脆弱性対象バージョンはBIG-IP Next Central Manager　20.0.1 – 20.1.0で対策は20.2.0へアップデートになります。

脆弱性の内容

BIG-IP Next Central Manager API に該当する脆弱性はSQL インジェクションの脆弱性 ( CVE-2024-26026 ) と OData インジェクションの脆弱性 ( CVE-2024-21793 ) になります。

初回にこのバグを報告したEclypsium によると
この脆弱性を悪用しManagerへアクセスし、Next Central Manager の管理コンソールをリモートから悪用する可能性があります。これにより、Manager 自体が完全に管理制御されることになります。

パッチが適用されていないインスタンスを侵害した後に作成された不正なアカウントは
Next Central Manager からは認識できないため、被害者の内部で悪意のある永続化に使用される可能性があると述べています。

脆弱性対象バージョン

BIG-IP Next Central Manager 20.0.1 – 20.1.0

対策

20.2.0へアップデートするか更新プログラムをすぐにインストールできない管理者は、攻撃リスクを軽減するために、安全なネットワーク経由で信頼できるユーザーに Next Central Manager へのアクセスを制限する必要があります。

なおEclypsium によると、2 つのセキュリティ脆弱性が攻撃に悪用されたという証拠はないとしています。