Detecção das CVE-2024-21793 e CVE-2024-26026: Exploração de Vulnerabilidades Críticas no F5 Central Manager Pode Levar a Comprometimento Completo do Sistema
Índice:
Defensores divulgaram problemas críticos de cibersegurança no Next Central Manager da F5, que são rastreados como CVE-2024-21793 e CVE-2024-26026, dando sinal verde para adversários potenciais assumirem o controle sobre a instalação impactada. Após uma exploração bem-sucedida, hackers podem criar contas em qualquer ativo F5 para estabelecer persistência e realizar atividades maliciosas adicionais.
Detectando Explorações CVE-2024-21793 & CVE-2024-26026
As falhas críticas mais recentes reveladas no Next Central Manager da F5 representam uma grande ameaça para os defensores cibernéticos globalmente, já que as consequências potenciais da exploração em andamento podem ser devastadoras. Com 49 das 50 empresas da Fortune e 85% das empresas da Fortune 500 confiando na infraestrutura de rede empresarial da F5, é vital identificar atividades maliciosas a tempo e defender-se proativamente. A SOC Prime Platform para defesa cibernética coletiva oferece um conjunto de regras Sigma cuidadosamente selecionadas para detectar possíveis tentativas de exploração para CVE-2024-21793 e CVE-2024-26026.
Todas as regras são compatíveis com mais de 30 plataformas de SIEM, EDR e Data Lake e mapeadas para MITRE ATT&CK® v14.1. Para facilitar a investigação de ameaças, as detecções são enriquecidas com links CTI relevantes, referências ATT&CK e outros metadados úteis. Basta clicar no botão Explorar Detecções abaixo e imediatamente aprofundar-se em um conjunto de regras dedicado.
Para aumentar a eficiência da caça a ameaças e proteger a infraestrutura organizacional, defensores cibernéticos podem mergulhar em toda a pilha de detecção voltada para a detecção de exploração de vulnerabilidades. Ao navegar no Threat Detection Marketplace com a etiqueta “CVE”, profissionais de segurança podem explorar mais de 1.200 regras Sigma selecionadas, com novas detecções para ameaças em tendência adicionadas sob um SLA de 24 horas.
Análise CVE-2024-21793 e CVE-2024-26026
Investigação da Eclypsium revela dois bugs de segurança no Next Central Manager da F5, permitindo que adversários alcancem a tomada completa do dispositivo. Após a exploração bem-sucedida, contas sob controle do atacante permanecem invisivelmente persistentes dentro da interface do Next Central Manager, facilitando atividades maliciosas contínuas dentro do sistema comprometido.
CVE-2024-21793 é uma vulnerabilidade de injeção OData, enquanto outra falha recentemente identificada na API BIG-IP Next Central Manager é um problema de injeção SQL rastreado como CVE-2024-26026. Ao armar o CVE-2024-21793, hackers podem extrair dados sensíveis, escalando assim seus privilégios. Esta falha de segurança particular se manifesta apenas quando o LDAP está habilitado. Quanto ao CVE-2024-26026, a falha aparece em qualquer configuração de dispositivo, facilitando sua exploração diretamente para escapar das medidas de autenticação. Ambas as falhas alcançam a pontuação CVSS de 7.5 e permitem que partes não autenticadas executem declarações SQL prejudiciais.
Os problemas em destaque afetam as versões do Next Central Manager variando de 20.0.1 a 20.1.0. Quanto às medidas de mitigação CVE-2024-21793 e CVE-2024-26026, o fornecedor recomenda fortemente que os clientes da F5 atualizem para a mais recente versão de software 20.2.0, que aborda os problemas.
Como soluções populares como o F5 BIG-IP são alvos altamente cobiçados para atacantes, os defensores devem permanecer excepcionalmente vigilantes e ultra-responsivos. É altamente recomendável que as organizações apliquem controles de acesso rigorosos seguindo os princípios de confiança zero. Confie na SOC Prime Platform para defesa cibernética coletiva baseada em inteligência de ameaças global, crowdsourcing, confiança zero e IA para enfrentar qualquer ataque cibernético ou ameaça emergente em menos de 24 horas e fortalecer sua postura de cibersegurança.
