技术公司 F5 修补了 BIG-IP 中的一个高严重性权限提升漏洞和 BIG-IQ 中的一个中等严重性漏洞

阅读量39284

发布时间 : 2024-10-21 10:52:07

x
译文声明

本文是翻译文章,文章原作者 Pierluigi Paganini,文章来源:securityaffairs

原文地址:https://securityaffairs.com/170022/security/f5-patches-big-ip-elevation-of-privilege-bug.html

译文仅供参考,具体内容表达以及含义原文为准。

F5 解决了 BIG-IP 和 BIG-IQ 企业产品中的两个漏洞,分别跟踪为 CVE-2024-45844 和 CVE-2024-47139。

拥有经理角色或更高权限的经过验证的攻击者可利用 CVE-2024-45844 漏洞提升权限并入侵 BIG-IP 系统。

“此漏洞可能允许具有经理角色权限或更高权限、可访问配置实用程序或 TMOS Shell (tmsh) 的经过验证的攻击者提升权限并控制 BIG-IP 系统。该公告称:”没有数据平面漏洞;这只是一个控制平面问题。

该公司发布的 17.1.1.4、16.1.5 和 15.1.10.5 版本解决了这一漏洞。

为缓解这一问题,企业应将对 BIG-IP 配置实用程序和 SSH 的访问限制在受信任的网络或设备上,并阻止通过自 IP 地址的访问。

该公告还指出:“由于这种攻击是由经过验证的合法用户实施的,因此没有可行的缓解措施允许用户通过 SSH 访问配置实用程序或命令行。唯一的缓解措施是取消不完全受信任用户的访问权限。在安装固定版本之前,可以使用以下部分作为临时缓解措施。这些缓解措施将通过 SSH 对 BIG-IP 配置实用程序和命令行的访问限制在仅受信任的网络或设备,从而限制了攻击面。”

  • 阻止通过管理界面访问配置实用程序和 SSH。
  • 阻止通过自身 IP 地址访问配置实用程序和 SSH

该公司解决的第二个问题是一个存储的跨站脚本 (XSS) 漏洞(跟踪编号为 CVE-2024-47139),它会影响 BIG-IQ 漏洞。拥有管理员权限的攻击者可以利用这个漏洞,以当前登录用户的身份运行 JavaScript。

“经过验证的攻击者可通过在 BIG-IQ 用户界面中存储恶意 HTML 或 JavaScript 代码来利用此漏洞。如果攻击成功,攻击者就可以在当前登录用户的上下文中运行 JavaScript。”公告中写道,“如果是拥有高级 Shell (bash) 访问权限的管理用户,攻击者可以利用成功利用此漏洞来入侵 BIG-IP 系统。这是一个控制平面问题,不存在数据平面漏洞。”

BIG-IQ 集中管理版本 8.2.0.1 和 8.3.0 解决了这一漏洞。

为减少漏洞,用户应在使用 BIG-IQ 界面后注销并关闭浏览器,并使用单独的浏览器进行管理。目前还没有已知的漏洞利用方法。

目前还不清楚这些漏洞是否已在野外被利用。

本文翻译自securityaffairs 原文链接。如若转载请注明出处。
分享到:微信
+10赞
收藏
安全客
分享到:微信

发表评论

内容需知
合作单位
  • 安全客
  • 安全客
Copyright © 北京奇虎科技有限公司 三六零数字安全科技集团有限公司 安全客 All Rights Reserved 京ICP备08010314号-66