Eclypsium บริษัทด้านความปลอดภัยไซเบอร์เผยพบช่องโหว่บนอุปกรณ์ F5 Networks (CVE-2024-21793 และ CVE-2024-26026) ได้ทำการเผยแพร่การอัปเดตด้านความปลอดภัยของผลิตภัณฑ์ F5 BIG-IP Next Central Manager เพื่อแก้ไขช่องโหว่จำนวน 2 รายการ
ผู้โจมตีที่ไม่ผ่านการตรวจสอบสิทธิ์ สามารถใช้ประโยชน์จากช่องโหว่เหล่านี้ในการโจมตี โดยจะสามารถควบคุมอุปกรณ์ได้ และยังอนุญาตให้ผู้โจมตีสร้างบัญชีผู้ใช้บนอุปกรณ์ F5 ใดๆ ที่ถูกจัดการโดย Next Central Manager ได้อีกด้วย บัญชีผู้ใช้ที่ถูกควบคุมโดยผู้โจมตีเหล่านี้จะไม่สามารถมองเห็นได้จาก Next Central Manager เอง ซึ่งจะช่วยให้ผู้โจมตีสามารถคงอยู่ในระบบและสร้างความเสียหายภายในระบบได้อย่างต่อเนื่อง
รายละเอียดของช่องโหว่
– ช่องโหว่ CVE-2024-21793 => BIG-IP Next Central Manager OData Injection Vulnerability เป็นช่องโหว่ OData Injection ใน BIG-IP Next Central Manager API (URI) ผู้โจมตีที่ไม่ผ่านการตรวจสอบสิทธิ์สามารถใช้ประโยชน์จากช่องโหว่นี้เพื่อดําเนินการ (Execute) คําสั่ง SQL ที่เป็นอันตรายผ่าน BIG-IP NEXT Central Manager API (URI) ได้โดยไม่ได้รับอนุญาต ซึ่งช่องโหว่เฉพาะนี้จะปรากฏขึ้นเมื่อเปิดใช้งาน LDAP เท่านั้น ช่องโหว่นี้มีความรุนแรง CVSS:3.1 ที่ 7.5 คะแนน (High)
– ช่องโหว่ CVE-2024-26026 => BIG-IP Next Central Manager SQL Injection Vulnerability เป็นช่องโหว่ SQL Injection ใน BIG-IP Next Central Manager API (URI) ผู้โจมตีที่ไม่ผ่านการตรวจสอบสิทธิ์สามารถใช้ประโยชน์จากช่องโหว่นี้เพื่อดําเนินการ (Execute) คําสั่ง SQL ที่เป็นอันตรายผ่าน BIG-IP NEXT Central Manager API (URI) ได้โดยไม่ได้รับอนุญาต ช่องโหว่นี้มีความรุนแรง CVSS:3.1 ที่ 7.5 คะแนน (High)
ระบบหรือผลิตภัณฑ์ที่ได้รับผลกระทบ
– ผลิตภัณฑ์ F5 BIG-IP Next Central Manager เวอร์ชั่น 20.0.1 ถึงเวอร์ชั่น 20.1.0
คำแนะนำหรือแนวทางแก้ไข
ผู้ดูแลระบบหรือผู้ใช้งานผลิตภัณฑ์ของ F5 BIG-IP Next Central Manager ที่ได้รับผลกระทบจากช่องโหว่เหล่านี้ควรเร่งดำเนินการ อัปเดตซอฟต์แวร์จากบริษัทเจ้าของผลิตภัณฑ์ (F5 Networks) ให้เป็นเวอร์ชั่น 20.2.0 โดยทันที