CVE-2024-21793 및 CVE-2024-26026 탐지: F5 센트럴 매니저의 치명적인 취약점 악용으로 인한 시스템 전체 손상 가능성

방어자들은 F5의 Next Central Manager에서 심각한 사이버 보안 문제를 공개했습니다. 이 문제는 CVE-2024-21793 및 CVE-2024-26026으로 추적되며, 잠재적인 적에게 영향을 받은 설치를 장악할 수 있는 허가를 부여합니다. 성공적으로 악용할 경우 해커는 모든 F5 자산에 계정을 생성하여 지속성을 확립하고 추가 악의적인 활동을 수행할 수 있습니다.

CVE-2024-21793 및 CVE-2024-26026 악용 탐지

F5의 Next Central Manager에서 밝혀진 최신 심각한 결함은 전 세계의 사이버 방어자들에게 큰 위협을 제기합니다. 실제 악용의 잠재적 결과가 심각할 수 있기 때문입니다. Fortune 50 기업 중 49개와 Fortune 500 기업의 85%가 F5의 기업 네트워크 인프라에 의존하고 있는 상황에서, 악의적인 활동을 제때 감지하고 적극적으로 방어하는 것은 필수적입니다. 공동 사이버 방어를 위한 SOC Prime Platform은 CVE-2024-21793 및 CVE-2024-26026에 대한 잠재적 악용 시도를 탐지하기 위한 일련의 큐레이션된 Sigma 규칙을 제공합니다.

모든 규칙은 30개 이상의 SIEM, EDR 및 데이터 레이크 플랫폼과 호환되며, MITRE ATT&CK® v14.1에 매핑됩니다. 위협 조사를 원활하게 하기 위해 탐지는 관련 CTI 링크, ATT&CK 참조 및 기타 유용한 메타데이터로 보강됩니다. 아래의 탐지 탐색 버튼을 클릭하여 전용 규칙 세트로 즉시 단계별로 분석해 보세요.

탐지 탐색

위협 사냥 효율성을 높이고 조직 인프라를 보호하기 위해, 사이버 방어자들은 취약점 악용 탐지를 목표로 한 전체 탐지 스택을 탐구할 수 있습니다. “CVE” 태그를 사용하여 Threat Detection Marketplace를 검색하면, 보안 전문가들은 최신 위협에 대한 탐지를 SLA 24시간 내에 추가한 1,200개 이상의 큐레이션된 Sigma 규칙을 탐색할 수 있습니다. “CVE” tag, security professionals might explore 1,200+ curated Sigma rules, with new detections for trending threats added under a 24-hour SLA. 

CVE-2024-21793 및 CVE-2024-26026 분석

Eclypsium 조사는 F5의 Next Central Manager에서 두 개의 보안 결함을 공개하여, 적들이 장치를 완전히 장악할 수 있게 합니다. 성공적인 악용 후 공격자 제어 하의 계정은 Next Central Manager 인터페이스 내에서 보이지 않게 지속되어, 손상된 시스템 내에서 지속적인 악의적 활동을 용이하게 합니다.

CVE-2024-21793 는 OData 인젝션 취약점이며, BIG-IP Next Central Manager API에서 최근에 확인된 또 다른 결함은 CVE-2024-26026으로 추적되는 SQL 인젝션 문제입니다. CVE-2024-21793을 이용하면 해커는 민감한 데이터를 추출하여 허가를 초과할 수 있습니다. 이 특정 보안 결함은 LDAP가 활성화되었을 때만 나타납니다. CVE-2024-26026의 경우, 결함은 어떤 장치 구성에서도 나타나며, 인증 회피를 위해 직접적으로 악용될 수 있습니다. 두 결함 모두 CVSS 점수 7.5에 도달하며 인증되지 않은 당사자가 유해한 SQL 문을 실행할 수 있게 합니다.

문제 주목은 Next Central Manager 버전 20.0.1부터 20.1.0까지 영향을 미칩니다. CVE-2024-21793 및 CVE-2024-26026 완화 조치로, 벤더는 F5 고객이 문제를 해결하는 최신 소프트웨어 버전 20.2.0으로 업그레이드할 것을 강력히 권장합니다.

F5 BIG-IP와 같은 인기 있는 솔루션이 공격자에게 매우 탐나는 목표이기 때문에, 방어자들은 특히 경계하고 즉각적으로 대응해야 합니다. 조직들은 제로 트러스트 원칙을 따르는 엄격한 접근 통제를 적용하는 것이 매우 권장됩니다. 대응은 전 세계 위협 인텔리전스, 크라우드소싱, 제로 트러스트 및 AI를 기반으로 한 SOC Prime Platform에 의존하여 24시간 내에 모든 사이버 공격이나 새롭게 부상하는 위협을 해결하고, 사이버 보안 자세를 강화하세요.