F5 解决了 BIG-IP 和 BIG-IQ 企业产品中的两个漏洞,分别跟踪为 CVE-2024-45844 和 CVE-2024-47139。
拥有经理角色或更高权限的经过验证的攻击者可利用 CVE-2024-45844 漏洞提升权限并入侵 BIG-IP 系统。
“此漏洞可能允许具有经理角色权限或更高权限、可访问配置实用程序或 TMOS Shell (tmsh) 的经过验证的攻击者提升权限并控制 BIG-IP 系统。该公告称:”没有数据平面漏洞;这只是一个控制平面问题。
该公司发布的 17.1.1.4、16.1.5 和 15.1.10.5 版本解决了这一漏洞。
为缓解这一问题,企业应将对 BIG-IP 配置实用程序和 SSH 的访问限制在受信任的网络或设备上,并阻止通过自 IP 地址的访问。
该公告还指出:“由于这种攻击是由经过验证的合法用户实施的,因此没有可行的缓解措施允许用户通过 SSH 访问配置实用程序或命令行。唯一的缓解措施是取消不完全受信任用户的访问权限。在安装固定版本之前,可以使用以下部分作为临时缓解措施。这些缓解措施将通过 SSH 对 BIG-IP 配置实用程序和命令行的访问限制在仅受信任的网络或设备,从而限制了攻击面。”
- 阻止通过管理界面访问配置实用程序和 SSH。
- 阻止通过自身 IP 地址访问配置实用程序和 SSH
该公司解决的第二个问题是一个存储的跨站脚本 (XSS) 漏洞(跟踪编号为 CVE-2024-47139),它会影响 BIG-IQ 漏洞。拥有管理员权限的攻击者可以利用这个漏洞,以当前登录用户的身份运行 JavaScript。
“经过验证的攻击者可通过在 BIG-IQ 用户界面中存储恶意 HTML 或 JavaScript 代码来利用此漏洞。如果攻击成功,攻击者就可以在当前登录用户的上下文中运行 JavaScript。”公告中写道,“如果是拥有高级 Shell (bash) 访问权限的管理用户,攻击者可以利用成功利用此漏洞来入侵 BIG-IP 系统。这是一个控制平面问题,不存在数据平面漏洞。”
BIG-IQ 集中管理版本 8.2.0.1 和 8.3.0 解决了这一漏洞。
为减少漏洞,用户应在使用 BIG-IQ 界面后注销并关闭浏览器,并使用单独的浏览器进行管理。目前还没有已知的漏洞利用方法。
目前还不清楚这些漏洞是否已在野外被利用。
发表评论
您还未登录,请先登录。
登录