F5 BIG-IP 修复高危提权漏洞

本周三，F5发布2024年10月季度安全通知，修复了位于BIG-IP和BIG-IQ企业产品中的两个漏洞。

BIG-IP 更新修复了一个高危安全漏洞CVE-2024-45844，影响设备的监控功能，可导致认证攻击者提权并更改配置。F5公司在安全公告中提到，“该漏洞可能导致具有管理者 (Manager) 角色或更高权限的认证攻击者访问配置 (Configuration) 工具或 TMOS Shell (tmsh)，提升权限并贡献 BIG-IP系统。目前尚未出现数据暴露情况，只是控制面板问题。”

该漏洞已在 BIG-IP 版本17.1.1.4、16.1.5和15.1.10.5中修复，其它F5应用或服务并不受影响。组织机构可通过仅限可靠网络或设备访问BIG-IP 配置工具和通过SSH访问命令行来缓解该问题。使用自有IP地址访问该工具和SSH会被拦截。

F5公司表示，“由于该攻击是由合法的认证用户执行的，因此不存在允许用户访问配置工具或通过SSH 访问命令行的可行缓解措施。唯一的缓解措施是删除完全不可信用户的访问权限。”

CVE-2024-47139影响 BIG-IQ，是位于该设备用户界面未披露页面中的一个存储型XSS漏洞。具有管理员权限的攻击者如成功利用该漏洞，可以目前已登录用户的身份运行 JavaScript。

F5公司解释称，“认证攻击者可通过在BIG-IQ 用户界面存储恶意HTML或 JavaScript 代码的方式利用该漏洞。如成功利用，攻击者可在当前已登录用户的上下文，运行 JavaScript。如管理员用户能够访问 Advanced Shell (bash)，攻击者可利用该漏洞攻陷 BIG-IP系统。”

该漏洞已在 BIG-IQ 中心化管理版本 8.2.0.1和8.3.0中修复。作为缓解措施，建议用户在使用 BIG-IQ 用户界面后登出并关闭web浏览器，并使用其它 web 浏览器管理 BIG-IQ 用户界面。

F5公司并未说明这两个漏洞是否已遭在野利用。可参考该公司发布的季度安全通知公告了解其它信息。