PoC disponible, para vulnerabilidades en F5 Next Central Manager

Investigadores han identificado vulnerabilidades explotables de forma remota en F5 Next Central Manager que podrían otorgar a los atacantes control administrativo total del sistema. Estas vulnerabilidades, si se explotan, permiten a los atacantes crear cuentas no visibles en dispositivos gestionados por Next Central Manager, permitiendo persistencia maliciosa dentro del entorno. Aunque no se han reportado ataques de explotación al momento de esta publicación, es crucial abordar estos problemas de seguridad a la brevedad.

Ilustración 1: BIG-IP Next Central Manger, es el punto central en la ejecución de tareas
Fuente: F5

Vulnerabilidades Identificadas

Las vulnerabilidades encontradas en F5 Next Central Manager podrían ser explotadas por un atacante para obtener control administrativo total del sistema. Estas vulnerabilidades identificadas con los CVE 2024-21793 y CVE 2024-26026, permiten a un atacante acceder de forma remota a la consola de administración y, posteriormente, aprovechar otras debilidades para crear cuentas ocultas en dispositivos BIG-IP Next gestionados por el Administrador Central. Estas cuentas maliciosas no serían visibles desde el propio Administrador Central, permitiendo persistencia maliciosa en el entorno. Aunque se revelaron cinco vulnerabilidades a F5, solo dos tienen asignados identificadores CVE. No se ha confirmado si las otras tres vulnerabilidades han sido solucionadas al momento de la publicación.

• CVE-2024-21793 (Inyección de OData no autenticada): Permite a los atacantes inyectar un parámetro de filtro de OData y obtener información confidencial para elevar privilegios. Esta vulnerabilidad solo aparece si LDAP está habilitado.
• CVE-2024-26026 (Inyección SQL no autenticada): Permite a los atacantes evitar la autenticación y obtener el hash de la contraseña del usuario administrativo.
• API no documentada que permite SSRF (sin CVE): Con una vulnerabilidad SSRF, los atacantes pueden acceder a métodos API en cualquier dispositivo BIG-IP Next, permitiendo la creación de cuentas no visibles desde el Administrador Central.
• Costo de 6 bcrypt inadecuado (sin CVE): Los hashes de las contraseñas de administrador se cifran con el coste de 6, que no se considera adecuado según las recomendaciones modernas, lo que simplifica los ataques de fuerza bruta contra la contraseña. Un atacante bien financiado puede alcanzar fácilmente velocidades de fuerza bruta de millones de contraseñas por segundo.
• Restablecimiento automático de la contraseña sin conocimiento previo (sin CVE): Permite a un administrador autenticado restablecer su propia contraseña sin conocer la anterior, lo que puede bloquear el acceso legítimo de usuario administrador.

Impacto y Recomendaciones

Estas vulnerabilidades permiten a un atacante obtener control administrativo completo sobre Next Central Manager, crear cuentas ocultas en dispositivos gestionados y, en última instancia, mantener persistencia dentro del entorno. Para mitigar estos riesgos, se recomienda a las organizaciones que utilicen F5 Next Central Manager que actualicen a la versión 20.2.0 o superior. También se aconseja implementar controles de acceso más estrictos y limitar la exposición de la interfaz de administración a través de un mecanismo de aplicación de políticas independiente (confianza cero).

Ilustración 2: Intenciones de los atacantes
Fuente: Eclypsium

Apreciación

Las vulnerabilidades en sistemas de gestión de infraestructura de red como F5 Next Central Manager representan un riesgo significativo para las organizaciones. Es esencial mantener el software actualizado y reforzar los controles de acceso para prevenir el acceso no autorizado y la persistencia maliciosa. Las organizaciones deben ser proactivas en la implementación de medidas de seguridad adicionales para protegerse contra estos posibles ataques.

Se recomienda lo siguiente:

• Instalar las actualizaciones del fabricante disponibles en medios oficiales del proveedor, previo análisis del impacto que podría provocar en los servicios críticos para el negocio de su organización. Para ello consulte con su personal técnico o áreas resolutorias correspondientes.
• Visitar el resumen del aviso de seguridad de F5 en nuestro Portal CCI: https://portal.cci-entel.cl/Threat_Intelligence/Boletines/1933/
• Si bien no hay indicios de que las vulnerabilidades hayan sido explotadas activamente, se recomienda que los usuarios actualicen sus instancias a la última versión disponible (20.2.0 o superior). 
• También se aconseja implementar controles de acceso más estrictos y limitar la exposición de la interfaz de administración a través de un mecanismo de aplicación de políticas independiente (Zero Trust).