Detección de CVE-2024-21793 y CVE-2024-26026: La explotación de vulnerabilidades críticas en F5 Central Manager puede llevar a la compromisión total del sistema
Tabla de contenidos:
Los defensores han revelado problemas críticos de ciberseguridad en el Next Central Manager de F5, los cuales están identificados como CVE-2024-21793 y CVE-2024-26026, dando luz verde a los adversarios potenciales para tomar control de la instalación afectada. Tras una explotación exitosa, los piratas informáticos pueden crear cuentas en cualquier activo de F5 para establecer persistencia y realizar actividades maliciosas adicionales.
Detectando Explotaciones CVE-2024-21793 & CVE-2024-26026
Las últimas fallas críticas reveladas en el Next Central Manager de F5 representan una gran amenaza para los defensores cibernéticos a nivel global, ya que las posibles consecuencias de la explotación activa pueden ser devastadoras. Con 49 de las 50 empresas Fortune y el 85% de las empresas Fortune 500 dependiendo de la infraestructura de redes empresariales de F5, es vital detectar actividad maliciosa a tiempo y defender de forma proactiva. La Plataforma SOC Prime para la defensa cibernética colectiva ofrece un conjunto de reglas Sigma seleccionadas para detectar intentos de explotación para CVE-2024-21793 y CVE-2024-26026.
Todas las reglas son compatibles con más de 30 plataformas SIEM, EDR y Data Lake y están mapeadas a MITRE ATT&CK® v14.1. Para facilitar la investigación de amenazas, las detecciones están enriquecidas con enlaces CTI relevantes, referencias ATT&CK y otros metadatos útiles. Simplemente presiona el Explore Detections botón de abajo y accede inmediatamente a un conjunto de reglas dedicadas.
Para aumentar la eficiencia en la caza de amenazas y asegurar la infraestructura organizacional, los defensores cibernéticos pueden profundizar en toda la pila de detección orientada a la detección de explotación de vulnerabilidades. Al navegar por el Threat Detection Marketplace con la etiqueta “CVE”, los profesionales de seguridad pueden explorar más de 1,200 reglas Sigma seleccionadas, con nuevas detecciones para amenazas en tendencia añadidas bajo un SLA de 24 horas.
Análisis de CVE-2024-21793 y CVE-2024-26026
La investigación de Eclypsium revela dos fallos de seguridad en el Next Central Manager de F5, permitiendo a los adversarios tomar el control completo del dispositivo. Tras una explotación exitosa, las cuentas bajo control del atacante persisten de manera invisible dentro de la interfaz del Next Central Manager, facilitando actividades maliciosas continuas dentro del sistema comprometido.
CVE-2024-21793 es una vulnerabilidad de inyección OData, mientras que otro fallo identificado recientemente en la API del BIG-IP Next Central Manager es un problema de inyección SQL identificado como CVE-2024-26026. Al armar CVE-2024-21793, los piratas informáticos pueden extraer datos sensibles, escalando así sus privilegios. Esta vulnerabilidad particular solo se manifiesta cuando LDAP está habilitado. En cuanto a CVE-2024-26026, el fallo aparece en cualquier configuración del dispositivo, facilitando su explotación directa para evadir medidas de autenticación. Ambas fallas alcanzan una puntuación CVSS de 7.5 y permiten a partes no autenticadas realizar declaraciones SQL dañinas.
Los problemas destacados afectan a las versiones del Next Central Manager que van de la 20.0.1 a la 20.1.0. En cuanto a las medidas de mitigación para CVE-2024-21793 y CVE-2024-26026, el proveedor recomienda encarecidamente que los clientes de F5 se actualicen a la última versión del software 20.2.0, que aborda los problemas.
Dado que soluciones populares como F5 BIG-IP son objetivos muy codiciados por los atacantes, los defensores deben mantenerse excepcionalmente vigilantes y ultra-responsivos. Se recomienda encarecidamente que las organizaciones apliquen controles de acceso estrictos siguiendo los principios de confianza cero. Confía en la Plataforma SOC Prime para la defensa cibernética colectiva basada en inteligencia de amenazas global, crowdsourcing, confianza cero e IA para abordar cualquier ciberataque o amenaza emergente en menos de 24 horas y fortalecer tu postura de ciberseguridad.
