Trong số 29 lỗ hổng được vá, có 13 lỗ hổng được đánh giá mức độ nghiêm trọng cao, 15 lỗ hổng mức độ trung bình và 1 lỗ hổng ở mức độ nghiêm trọng thấp.
Theo đó, nhất có mã CVE-2021-23031 (điểm CVSS 8.8), ảnh hưởng đến sản phẩm BIG-IP Advanced Web Application Firewall (WAP) và BIG-IP Application Security Manager (ASM), cụ thể là Giao diện người dùng quản lý lưu lượng - Traffic Management User Interface (TMUI).
“Khi lỗ hổng này bị khai thác thành công, cho phép kẻ tấn công đã xác thực leo thang đặc quyền, có quyền truy cập vào tiện ích Configuration, từ đó có thể thực thi các lệnh hệ thống tùy ý, tạo, xóa tệp hoặc vô hiệu hóa các dịch vụ. Lỗ hổng này có thể dẫn đến sự kiểm soát toàn bộ hệ thống”, F5 chia sẻ.
Đồng thời, công ty cũng lưu ý rằng CVE-2021-23031 có thể được nâng điểm lên tới 9.9 đối với những khách hàng đang sử dụng chế độ Appliance Mode. Chế độ này bổ sung các hạn chế kỹ thuật và được thiết kế để đáp ứng nhu cầu của khách hàng trong các lĩnh vực nhạy cảm, với việc giới hạn quyền truy cập hệ thống BIG-IP để phù hợp với thiết bị mạng điển hình chứ không phải thiết bị UNIX mà nhiều người sử dụng.
“Vì cuộc tấn công này chỉ có thể thực hiện bởi người dùng được xác thực, không có biện pháp giảm thiểu khả thi nào cũng cho phép người dùng truy cập vào tiện ích Configuration, vì vậy nên hạn chế khai thác bằng cách xóa quyền truy cập đối với những người dùng không hoàn toàn tin cậy”, F5 cho biết thêm.
Những quan trọng khác được F5 vá bao gồm:
• CVE-2021-23025 (điểm CVSS 7.2): Lỗ hổng thực thi mã từ xa được xác thực trong BIG-IP Configuration utility
• CVE-2021-23026 (điểm CVSS 7.5): Lỗ hổng gửi yêu cầu giả mạo (CSRF) trong iControl SOAP
• CVE-2021-23027 và CVE-2021-23037 (điểm CVSS 7.5): Lỗ hổng XSS và DOM Based XSS trong TMUI
• CVE-2021-23028 (điểm CVSS 7.5): Lỗ hổng trong BIG-IP Advanced WAF và ASM
• CVE-2021-23029 (điểm CVSS 7.5): Lỗ hổng trong BIG-IP Advanced WAF và ASM TMUI
• CVE-2021-23030 và CVE-2021-23033 (điểm CVSS 7.5): Lỗ hổng trong BIG-IP Advanced WAF và ASM Websocket
• CVE-2021-23032 (điểm CVSS 7.5): Lỗ hổng BIG-IP DNS
• CVE-2021-23034, CVE-2021-23035 và CVE-2021-23036 (điểm CVSS 7.5): Lỗ hổng trong thành phần Traffic Management Microkernel của BIG-IP
Ngoài ra, F5 cũng đã vá một số lỗi từ lỗ hổng truyền tải thư mục và SQL injection đến lỗ hổng chuyển hướng mở và gửi yêu cầu giả mạo (CSRF), bên cạnh đó là lỗi cơ sở dữ liệu MySQL dẫn đến các cơ sở dữ liệu sử dụng nhiều không gian lưu trữ hơn khi các tính năng bảo vệ brute-force của tường lửa được kích hoạt.
Với những khách hàng không thể cài đặt các bản vá ngay lúc này, có thể sử dụng các biện pháp giảm thiểu tạm thời như hạn chế quyền truy cập vào tiện ích Configuration, chỉ cho phép các thiết bị và mạng đáng tin cậy.
Trong bối cảnh các thiết bị, sản phẩm của F5 đang trở thành những mục tiêu tấn công, công ty khuyến cáo người dùng và các quản trị viên nên cài đặt các bản cập nhật phần mềm hoặc áp dụng các biện pháp giảm thiểu cần thiết cho các sản phẩm bị ảnh hưởng.
Đinh Hồng Đạt
(theo Thehackernews)
15:00 | 31/08/2021
08:00 | 26/08/2021
10:00 | 27/08/2021
10:00 | 07/10/2021
10:00 | 24/11/2022
09:00 | 09/08/2024
Theo thông báo được Thủ tướng Pháp Gabriel Attal đưa ra ngày 31/7, Cơ quan An ninh nước này đã phát hiện và ngăn chặn hàng chục vụ tấn công mạng liên quan đến Olympic Paris 2024.
16:00 | 24/07/2024
Vào tháng 3/2024, các nhà nghiên cứu của công ty an ninh mạng Zscaler (Mỹ) đã quan sát thấy hoạt động xâm nhập mới từ nhóm tin tặc được Chính phủ Triều Tiên hậu thuẫn có tên là Kimsuky (hay còn gọi là APT43, Emerald Sleet và Velvet Chollima). Đặc biệt, Zscaler phát hiện một chiến dịch tấn công bởi các tin tặc Kimsuky sử dụng tiện ích mở rộng mới trên Google Chrome có tên gọi Translatext.
17:00 | 12/07/2024
Một hoạt động thực thi pháp luật có tên là MORPHEUS đã đánh sập gần 600 máy chủ được các nhóm tội phạm mạng sử dụng và một phần của cơ sở hạ tầng có liên quan đến Cobalt Strike.
12:00 | 19/06/2024
Một lỗ hổng bảo mật ở mức điểm nghiêm trọng tối đa đã được phát hiện trong bộ định tuyến TP-Link Archer C5400X gaming có thể dẫn đến việc thực thi mã từ xa trên các thiết bị bằng cách gửi các yêu cầu độc hại.
Cục Điều tra Liên bang Mỹ (FBI) mới đây đã đưa ra thông báo về sự cố gián đoạn cơ sở hạ tầng trực tuyến liên quan đến một nhóm tin tặc mã độc tống tiền mới nổi có tên là Dispossessor. Trong một nỗ lực nhằm giảm thiểu rủi ro do nhóm tội phạm này gây ra, FBI đã thu giữ 03 máy chủ tại Mỹ, 03 máy chủ tại Anh, 18 máy chủ tại Đức, 08 tên miền tại Mỹ và 01 tên miền tại Đức.
21:00 | 29/08/2024