F5 周三发布了 2024 年 10 月季度安全通知,描述了 BIG-IP 和 BIG-IQ 企业产品中解决的两个漏洞。
BIG-IP 发布的更新解决了 CVE-2024-45844 的高严重性安全缺陷。该缺陷会影响设备的监控功能,可能允许经过身份验证的攻击者提升权限并进行配置更改。
F5 在其公告中指出:“此漏洞可能允许经过身份验证的攻击者提升其权限,使其拥有管理员角色或更高权限,并可以访问配置实用程序或 TMOS Shell (tmsh),从而提升其权限并破坏 BIG-IP 系统。数据平面没有暴露;这只是一个控制平面问题。”
该漏洞已在 BIG-IP 版本 17.1.1.4、16.1.5 和 15.1.10.5 中得到解决。其他 F5 应用程序或服务均不受此漏洞影响。
组织可以通过将对 BIG-IP 配置实用程序和命令行的访问限制为仅受信任的网络或设备(通过 SSH),从而缓解此问题。可以使用自有 IP 地址阻止对实用程序和 SSH 的访问。
F5 表示:“由于此次攻击是由合法、经过身份验证的用户发起的,因此没有可行的缓解措施允许用户通过 SSH 访问配置实用程序或命令行。唯一的缓解措施是删除不完全信任的用户的访问权限。”
BIG-IQ 漏洞编号为 CVE-2024-47139,被描述为设备用户界面未公开页面中存储的跨站点脚本 (XSS) 错误。成功利用此漏洞可让具有管理员权限的攻击者以当前登录用户的身份运行 JavaScript。
F6 解释称:“经过身份验证的攻击者可以通过在 BIG-IQ 用户界面中存储恶意 HTML 或 JavaScript 代码来利用此漏洞。如果成功,攻击者可以在当前登录用户的上下文中运行 JavaScript。如果管理员用户有权访问高级 Shell (bash),攻击者可以利用此漏洞成功入侵 BIG-IP 系统。”
BIG-IQ 集中管理版本 8.2.0.1 和 8.3.0 的发布解决了该安全缺陷。为了缓解该漏洞,建议用户在使用 BIG-IQ 用户界面后注销并关闭 Web 浏览器,并使用单独的 Web 浏览器来管理 BIG-IQ 用户界面。
F5 没有提及这两个漏洞是否已被利用。
更多信息请参阅该公司的季度安全通知(https://my.f5.com/manage/s/article/K000141302)。
链接:
https://www.securityweek.com/f5-big-ip-updates-patch-high-severity-elevation-of-privilege-vulnerability/
