Falhas críticas

F5 soluciona falha grave de elevação de privilégio no BIG-IP

A F5 corrigiu uma falha crítica no BIG-IP e outra no BIG-IQ, que podem comprometer sistemas corporativos. As atualizações já estão disponíveis, e medidas de mitigação foram recomendadas até a aplicação dos patches.

Imagem com a logomarca do F5

A F5, empresa de tecnologia, anunciou a correção de uma vulnerabilidade crítica de elevação de privilégio em seu produto BIG-IP, além de uma falha de gravidade média no BIG-IQ. As falhas, rastreadas como CVE-2024-45844 e CVE-2024-47139, podem comprometer a segurança dos sistemas corporativos.

No caso do BIG-IP, a falha CVE-2024-45844 permite que um invasor autenticado, com permissões de gerente ou superior, eleve seus privilégios e potencialmente controle o sistema. O alerta da empresa destaca que o problema está restrito ao plano de controle, sem impacto direto no plano de dados. A F5 lançou as versões 17.1.1.4, 16.1.5 e 15.1.10.5 para resolver essa vulnerabilidade.

Medidas de mitigação da falha no BIG-IP

Imagem com a logomarca do F5

Organizações que não conseguem aplicar imediatamente as atualizações recomendadas podem mitigar o risco restringindo o acesso ao utilitário de configuração do BIG-IP e ao SSH, limitando-o a redes e dispositivos confiáveis. A empresa adverte que, como a exploração é feita por usuários autenticados, a única solução eficaz até a aplicação do patch é bloquear o acesso de usuários não confiáveis ao sistema.

Galha no BIG-IQ

Além disso, a vulnerabilidade CVE-2024-47139 no BIG-IQ, uma falha de script entre sites (XSS) armazenado, foi identificada. Com privilégios administrativos, um invasor pode injetar código JavaScript malicioso, executando-o como o usuário atual na interface do BIG-IQ. Embora a exploração dessa falha comprometa apenas o plano de controle, a F5 alerta para o potencial de comprometimento de sistemas em casos avançados.

As versões 8.2.0.1 e 8.3.0 do BIG-IQ já corrigem essa falha. Os usuários devem se desconectar e fechar o navegador após o uso da interface do BIG-IQ como medida preventiva.

No momento, não há informações sobre explorações conhecidas dessas vulnerabilidades.