关键的 F5 漏洞：黑客可能会接管设备

　　F5 宣布纠正 BIG-IP Next Central Manager 系统中的两个关键漏洞，这些漏洞可能被利用来获取管理访问权限并在托管设备上创建未经授权的隐蔽帐户。

　　BIG-IP Next Central Manager 是一种工具，使管理员能够通过统一的用户界面跨本地和云环境管理 BIG-IP Next 实例。

　　在 BIG-IP Next Central Manager 的 API 中发现的漏洞(SQL注入(CVE-2024-26026，CVSS 评分：7.5)和 OData 注入(CVE-2024-21793，CVSS 评分：7.5))可能允许未经身份验证的远程攻击者在尚未更新的设备上执行恶意 SQL 查询。

　　网络安全公司 Eclypsium 报告了这些漏洞并发布了概念验证 (PoC) 漏洞，该公司指出，黑客攻击后创建的隐藏帐户在 Next Central Manager 中不可见，可用于受害者环境中的恶意活动。

　　Eclypsium还补充说，任何攻击者都可以远程使用Central Manager控制台来获得对系统的完全管理控制。

　　作为一项临时安全措施，F5 建议通过安全网络将 Next Central Manager 的访问权限限制为受信任的用户，直到管理员可以应用安全更新。

　　根据 Eclypsium 的说法，目前没有证据表明这些漏洞在攻击中被利用。虽然没有关于 BIG-IP Next Central Manager 用户数量的精确数据，但 Shodan 报告说，在互联网上跟踪了超过 10,000 个具有开放管理端口的 F5 BIG-IP 设备。