最近2年以来,可集中管理大量系统的平台成为攻击者偏好下手的目标,原因是这类平台可控制的系统数量更多,一旦成功入侵,骇客可能因此获得大量初期入侵与持续活动的据点。其中一个去年被骇客大肆针对的品牌F5,他们推出了下一代平台BIG-IP Next,企图提升安全性。
然而,这个新平台的核心元件BIG-IP Next Central Manager,近期被发现评为高风险层级的漏洞,揭露此事的研究人员指出,IT人员若不尽速处理,骇客能设置透过管理主控台所无法检视的「隐形」帐号,用来进行攻击行动。
【攻击与威胁】
2月底资安业者Patchstack公布WordPress网站快取外挂程式LiteSpeed Cache漏洞,编号为CVE-2023-40000,此为跨网站指令码(XSS)漏洞,CVSS风险评分达到8.3至8.8,网站加速产品供应商LiteSpeed Technologies发布5.7.0.1版予以修补,然而近期却传出锁定尚未修补的WordPress网站的攻击行动。
提供WordPress网站资安扫描工具的WPScan提出警告,他们呼吁使用LiteSpeed Cache的网站管理员应尽速进行检查,是否出现名为wpsupp-user的管理员帐号,原因是他们发现4月份锁定该漏洞的攻击行动出现显著增加的情况。
他们根据网页应用程式防火墙(WAF)的事件记录,这波攻击分别在4月2日、27日出现高峰,其中扫描存在漏洞的来源IP位址次数最多的是94.102.51[.]144,总共有1,232,810次请求,其次是31.43.191[.]220,有70,472次请求。
其他攻击与威胁
5月8日F5针对旗下的管理主控台元件BIG-IP Next Central Manager发布20.2.0版,当中修补2项高风险漏洞CVE-2024-21793、CVE-2024-26026,这些漏洞存在于20.0.1至20.1.0版,CVSS风险评分皆为7.5,一旦遭到利用,攻击者就能在未经身分验证的情况下,借由该系统的API执行恶意SQL叙述句(Statements),来触发上述漏洞。
通报漏洞的资安业者Eclypsium指出,攻击者只要远端利用上述其中任何1个漏洞,就可以存取BIG-IP Next Central Manager管理主控台的图形操作介面,从而得到完整的管理权限。
值得留意的是,若是对方再透过其他手段,在BIG-IP Next Central Manager管理的BIG-IP Next系统建立新帐号,这些帐号将无法从Next Central Manager检视,换言之,攻击者可利用这种帐号暗中从事攻击行动,且难以被察觉。