F5修复了BIG-IP中的高危权限提升漏洞

F5修复了BIG-IP和BIG-IQ企业产品中的两个漏洞，分别被追踪为CVE-2024-45844和CVE-2024-47139。对于漏洞CVE-2024-45844，一个经过身份验证的攻击者，拥有管理员角色权限或更高权限，可以利用该漏洞提升权限并危害BIG-IP系统。“该漏洞可能允许经过身份验证的攻击者，拥有管理员角色权限或更高权限，通过访问配置实用程序或TMOS Shell（tmsh），提升其权限并危害BIG-IP系统。没有数据平面暴露；这只是控制平面的问题。”通告中写道。公司通过发布版本17.1.1.4、16.1.5和15.1.10.5修复了该漏洞。

为了缓解该问题，组织应限制对BIG-IP配置实用程序和SSH的访问，仅允许受信任的网络或设备访问，并阻止通过自IP地址访问。“由于这个攻击是由合法的经过身份验证的用户进行的，因此没有可行的缓解措施可以同时允许用户访问配置实用程序或通过SSH进行命令行访问。”通告继续写道。唯一的缓解措施是移除不完全信任的用户的访问权限。在安装修复版本之前，可以使用以下部分作为临时缓解措施。这些缓解措施限制了对BIG-IP配置实用程序和通过SSH进行命令行访问的权限，仅允许受信任的网络或设备访问，从而限制攻击面。阻止通过管理界面访问配置实用程序和SSH；阻止通过自IP地址访问配置实用程序和SSH。

第二个问题，追踪为CVE-2024-47139，是一个存储型跨站脚本（XSS）漏洞，影响BIG-IQ漏洞。一个拥有管理员权限的攻击者可以利用该漏洞以当前登录用户的身份运行JavaScript。“经过身份验证的攻击者可能会通过在BIG-IQ用户界面中存储恶意HTML或JavaScript代码来利用该漏洞。如果成功，攻击者可以以当前登录用户的身份运行JavaScript。”通告中写道。

在具有访问高级Shell（bash）权限的管理员用户的情况下，攻击者可以利用成功利用该漏洞来危害BIG-IP系统。这是一个控制平面问题；没有数据平面暴露。

BIG-IQ集中管理版本8.2.0.1和8.3.0修复了该漏洞。

为了缓解该漏洞，用户应在使用BIG-IQ界面后注销并关闭浏览器，并使用独立的浏览器进行管理。目前没有已知的利用方式。

尚不清楚这些漏洞是否在野外被利用。

原文始发于微信公众号（黑猫安全）：F5修复了BIG-IP中的高危权限提升漏洞