Investigadores han identificado vulnerabilidades explotables de forma remota en F5 Next Central Manager que podrían otorgar a los atacantes control administrativo total del sistema. Estas vulnerabilidades, si se explotan, permiten a los atacantes crear cuentas no visibles en dispositivos gestionados por Next Central Manager, permitiendo persistencia maliciosa dentro del entorno. Aunque no se han reportado ataques de explotación al momento de esta publicación, es crucial abordar estos problemas de seguridad a la brevedad.
Ilustración 1: BIG-IP Next Central Manger, es el punto central en la ejecución de tareas
Fuente: F5
Vulnerabilidades Identificadas
Las vulnerabilidades encontradas en F5 Next Central Manager podrían ser explotadas por un atacante para obtener control administrativo total del sistema. Estas vulnerabilidades identificadas con los CVE 2024-21793 y CVE 2024-26026, permiten a un atacante acceder de forma remota a la consola de administración y, posteriormente, aprovechar otras debilidades para crear cuentas ocultas en dispositivos BIG-IP Next gestionados por el Administrador Central. Estas cuentas maliciosas no serían visibles desde el propio Administrador Central, permitiendo persistencia maliciosa en el entorno. Aunque se revelaron cinco vulnerabilidades a F5, solo dos tienen asignados identificadores CVE. No se ha confirmado si las otras tres vulnerabilidades han sido solucionadas al momento de la publicación.
Impacto y Recomendaciones
Estas vulnerabilidades permiten a un atacante obtener control administrativo completo sobre Next Central Manager, crear cuentas ocultas en dispositivos gestionados y, en última instancia, mantener persistencia dentro del entorno. Para mitigar estos riesgos, se recomienda a las organizaciones que utilicen F5 Next Central Manager que actualicen a la versión 20.2.0 o superior. También se aconseja implementar controles de acceso más estrictos y limitar la exposición de la interfaz de administración a través de un mecanismo de aplicación de políticas independiente (confianza cero).
Ilustración 2: Intenciones de los atacantes
Fuente: Eclypsium
Apreciación
Las vulnerabilidades en sistemas de gestión de infraestructura de red como F5 Next Central Manager representan un riesgo significativo para las organizaciones. Es esencial mantener el software actualizado y reforzar los controles de acceso para prevenir el acceso no autorizado y la persistencia maliciosa. Las organizaciones deben ser proactivas en la implementación de medidas de seguridad adicionales para protegerse contra estos posibles ataques.
Se recomienda lo siguiente:
Renuncia de Responsabilidad:
Utilice esta información bajo su propia responsabilidad! El Centro de Ciberinteligencia de Entel no se hace responsable por el uso indebido o pruebas de conceptos no controladas por parte del lector.