A F5 liberou na quarta-feira, 8, patches para seu BIG-IP Next Central Manager que visam solucionar vulnerabilidades potencialmente perigosas que, segundo especialistas, poderiam permitir que invasores assumissem o controle total de um dispositivo.
A empresa de segurança de firmware e hardware Eclypsium afirma ter encontrado um total de cinco vulnerabilidades no produto BIG-IP Next Central Manager, que é usado pelos clientes da empresa para controlar todas as suas instâncias e serviços BIG-IP Next a partir de uma interface de gerenciamento unificada.
A F5 reconhece apenas dois identificadores CVE e a Eclypsium diz que não está claro se os três problemas restantes também foram resolvidos. Uma das vulnerabilidades corrigidas é o CVE-2024-21793, que F5 classificou como de “alta gravidade” e descreveu como um problema de injeção 0Data que pode permitir que um invasor execute instruções SQL maliciosas por meio da API do Next Central Manager. A segunda falha de segurança corrigida, identificada como CVE-2024-26026, é uma vulnerabilidade de injeção de SQL com impacto semelhante que também pode ser explorada por um invasor não autenticado.
A F5 afirma que nenhum outro produto além do Next Central Manager é afetado por essas vulnerabilidades.
Veja isso
F5 corrige desvio de autenticação no utilitário BIG-IP
Falha no F5 Networks BIG-IP pode permitir ataques DDoS
De acordo com a Eclypsium, que publicou detalhes técnicos e código de prova de conceito (PoC) para todas as cinco vulnerabilidades na quarta-feira, 8, as falhas de injeção de SQL permitem que um invasor remoto obtenha controle administrativo total de um dispositivo, enquanto as outras vulnerabilidades permitem que criem contas em qualquer ativo F5 gerenciado pelo Next Central Manager.
A Eclypsium diz, no entanto, que não encontrou nenhuma evidência de exploração do produto, mas sabe-se que as vulnerabilidades dos produtos BIG-IP foram alvo de operadores de ameaças.
Em seu blog, a Eclypsium fornece mais detalhes sobre as vulnerabilidades BIG-IP Next-Gen. Para acessá-lo, clique aqui.