Angreifer können Kontrolle über BIG-IP-Appliances von F5 erlangen
Mehrere Sicherheitslücken gefährden BIG-IP Next Central Manager. Updates stehen zum Download bereit.
Angreifer können BIG-IP Next Central Manager attackieren und sich Zugriff mit Adminrechten verschaffen. Admins sollten das verfügbare Sicherheitsupdate zeitnah installieren.
Admin-Attacken
Wie IT-Sicherheitsforscher von Eclypsium berichten, gibt es derzeit noch keine Hinweise auf Attacken. Insgesamt haben sie eigenen Angaben zufolge fünf Schwachstellen in Next Central Manager entdeckt. Bislang wurden für die Sicherheitslücken aber nur zwei CVE-Nummern vergeben (CVE-2024-21793 "hoch", CVE-2024-26026 "hoch").
Mit Next Central Manager verwalten Admins BIG-IP-Appliances. Das Managementtool nimmt somit eine zentrale Position ein. Sind Attacken erfolgreich, sollen sich Angreifer auf verwalteten Appliances Accounts mit Adminrechten einrichten können. In so einer Position gelten Geräte in der Regel als vollständig kompromittiert. Problematisch kommt den Sicherheitsforschern zufolge hinzu, dass die Admin-Accounts aus Next Central Manager nicht sichtbar sind, sodass Angreifer im Verborgenen operieren können.
Angriffspunkt ist das Managementinterface, an dem Angreifer aus der Ferne ohne Authentifizierung ansetzen können. Weil OData-Anfragen nicht ausreichend überprüft werden, können Angreifer mit präparierten Anfragen eigene Befehle ausführen und so etwa Zugangsdaten einsehen. Hinter OData verbirgt sich das Open Data Protocol, das eine Reihe von Best Practices für die Erstellung und Nutzung von REST-APIs defniert.
Weitere Schwachstellen
Für die drei verbleibenden Lücken wurden bislang noch keine CVE-Nummern vergeben. Auch hier sind unbefugte Zugriffe auf etwa Admin-Passwörter möglich.
Damit sich Angreifer keinen Zugriff auf das zentrale Managementtool verschaffen können, müssen Admins die gegen die geschilderten Attacken abgesicherte Version 20.2.0 installieren. Ist die Installation des Updates nicht unmittelbar möglich, müssen Admins zum Schutz von Appliances die Zugriffe auf Next Central Manager auf ausschließlich vertrauenswürdige Nutzer einschränken.
Zuletzt gerieten BIG-IP-Appliances Ende 2023 ins Visier von Angreifern.
(des)