🔥 Công Ty TNHH Dịch Vụ Tư Vấn Luật Gia Long đã đăng ký tín nhiệm. 🔥                    🔥 Công Ty TNHH Thương Mại Dịch Vụ Điện Lạnh Q.T.C đã đăng ký tín nhiệm. 🔥                    🔥 Công Ty TNHH Fahatech đã đăng ký tín nhiệm. 🔥                    🔥 Hội các Phòng thử nghiệm Việt Nam - Vinalab đã đăng ký tín nhiệm. 🔥                    🔥 Hoathuanwatch đã đăng ký tín nhiệm. 🔥                   

F5 cảnh báo về lỗ hổng thực thi mã từ xa nghiêm trọng trong BIG-IP

05/05/2022

Thứ Tư vừa qua, nhà cung cấp các giải pháp bảo mật mạng (network) và Cloud F5 đã phát hành các bản vá cho 43 lỗ hổng trong các sản phẩm của mình, bao gồm một lỗ hổng mức nghiêm trọng, 17 lỗ hổng mức cao, 24 lỗ hổng mức trung bình và một lỗ hổng mức thấp.

Nghiêm trọng nhất trong số đó là CVE-2022-1388, lỗ hổng có điểm CVSS: 9,8 trên tổng số 10, bắt nguồn từ việc thiếu kiểm tra xác thực trong BIG-IP iControl REST, cho phép kẻ tấn công truy cập trái phép và kiểm soát hệ thống bị ảnh hưởng.

F5 cho biết "lỗ hổng cho phép kẻ tấn công không cần xác thực có quyền truy cập vào hệ thống BIG-IP thông qua giao diện quản lý và/hoặc địa chỉ IP để thực thi các lệnh system command tùy ý, tạo/xóa các tệp hoặc vô hiệu hóa dịch vụ".

Lỗ hổng này được nhóm bảo mật nội bộ của F5 phát hiện, ảnh hưởng đến các phiên bản BIG-IP: 16.1.0 - 16.1.2,15.1.0 - 15.1.5, 14.1.0 - 14.1.4, 13.1.0 - 13.1.4, 12.1.0 - 12.1.6 và 11.6.1 - 11.6.5.

Bản vá cho lỗ hổng bỏ qua xác thực iControl REST đã được phát hành trong các phiên bản 17.0.0, 16.1.2.2, 15.1.5.1, 14.1.4.6 và 13.1.5.

Các sản phẩm F5 khác như BIG-IQ Centralized Management, F5OS-A, F5OS-C và Traffix SDC không bị ảnh hưởng bởi CVE-2022-1388.

Ngoài ra, F5 cũng cung cấp các giải pháp thay thế tạm thời cho đến khi các bản vá có thể được áp dụng bằng cách:

- Chặn quyền truy cập iControl REST từ địa chỉ IP

- Chặn quyền truy cập iControl REST từ giao diện quản lý

- Sửa đổi cấu hình BIG-IP httpd

Các lỗ hổng đáng chú ý khác cũng được khắc phục trong bản cập nhật lần này bao gồm các lỗ hổng cho phép kẻ tấn công [đã xác thực] bỏ qua các hạn chế trong Appliance mode để thực thi mã JavaScript tùy ý.

Các thiết bị F5 hiện đang được triển khai rộng rãi trong các mạng doanh nghiệp, vì vậy các tổ chức cần nhanh chóng kiểm tra và áp dụng bản vá sớm nhất có thể để ngăn chặn các khai thác tấn công lạm dụng lỗ hổng này.

Bản vá bảo mật này được phát hành cùng khi Cơ quan bảo mật CISA của Mỹ thêm năm lỗ hổng mới vào Danh mục các lỗ hổng bị khai thác đã biết, bao gồm:

- CVE-2021-1789CVE-2019-8506: Hai lỗ hổng nhầm lẫn kiểu (Type Confusion) trong các sản phẩm của Apple

- CVE-2014-4113: Lỗ hổng leo thang đặc quyền trong Microsoft Win32k

- CVE-2014-0322: Lỗ hổng Use-After-Free trong Microsoft Internet Explorer

- CVE-2014-0160: Lỗ hổng tiết lộ thông tin trong OpenSSL

Nguồn: thehackernews.com.

 
scrolltop