🔥 Trường Tiểu học Vinh Quang đã đăng ký tín nhiệm. 🔥                    🔥 Ủy ban nhân dân xã Măng Cành, huyện Kon Plông, tỉnh Kon Tum đã đăng ký tín nhiệm. 🔥                    🔥 CỔNG THÔNG TIN ĐIỆN TỬ XÃ ĐẠ ĐỜN đã đăng ký tín nhiệm. 🔥                    🔥 Uỷ Ban Nhân Dân Thị Trấn Chợ Rã đã đăng ký tín nhiệm. 🔥                    🔥 Văn phòng Ủy ban nhân dân tỉnh Kon Tum đã đăng ký tín nhiệm. 🔥                   

F5 phát hành các bản vá bảo mật nghiêm trọng cho các thiết bị BIG-IP và BIG-IQ

27/08/2021

Nhà cung cấp thiết bị mạng và bảo mật doanh nghiệp F5 đã phát hành bản vá cho 29 lỗ hổng bảo mật ảnh hưởng đến các thiết bị BIG-IP và BIG-IQ. Các lỗ hổng cho phép kẻ tấn công thực hiện một loạt các hành động độc hại, bao gồm việc truy cập các tệp tùy ý, leo thang đặc quyền và thực thi mã JavaScript.

Trong số 29 lỗ hổng được vá, 13 lỗ hổng có mức độ nghiêm trọng cao, 15 lỗ hổng được xếp hạng trung bình và một lỗ hổng được đánh giá mức thấp.

Đứng đầu trong số đó là CVE-2021-23031 (điểm CVSS: 8,8): lỗ hổng cho phép người dùng đã xác thực leo thang đặc quyền, ảnh hưởng đến BIG-IP Advanced Web Application Firewall và BIG-IP Application Security Manager.

F5 cho biết: "Khi lỗ hổng này bị khai thác, kẻ tấn công đã xác thực có quyền cài đặt cấu hình có thể thực hiện các lệnh tùy ý, tạo hoặc xóa tệp và/hoặc vô hiệu hóa các dịch vụ dẫn đến kiểm soát hoàn toàn hệ thống".

Lỗ hổng bảo mật này được xếp hạng nghiêm trọng với điểm số 9,9 trên 10 đối với các thiết bị đang chạy ở chế độ Appliance.

Công ty cho biết "Không có biện pháp khắc phục khả thi nào đối với lỗ hổng”. Việc duy nhất có thể làm để giảm nguy cơ bị tấn công là xóa quyền truy cập đối với những người dùng không tin cậy".

Các lỗ hổng bảo mật nghiêm trọng khác được liệt kê bên dưới:

-  CVE-2021-23025 (Điểm CVSS: 7.2) - lỗ hổng cho phép kẻ tấn công đã xác thực thực thi lệnh từ xa trong tiện ích Cấu hình BIG-IP

-  CVE-2021-23026 (điểm CVSS: 7,5) - Lỗ hổng giả mạo yêu cầu (CSRF) trong iControl SOAP

-  CVE-2021-23027 và CVE-2021-23037 (điểm CVSS: 7,5) – Lỗ hổng DOM-based và reflected XSS trong tiện ích Cấu hình BIG-IP

-  CVE-2021-23028 (điểm CVSS: 7,5) – Lỗ hổng gây từ chối dịch vụ trong BIG-IP Advanced WAF và ASM

-  CVE-2021-23029 (Điểm CVSS: 7,5) - Lỗ hổng giả mạo yêu cầu phía máy chủ (SSRF) trong BIG-IP Advanced WAF và ASM TMUI

- CVE-2021-23030 và CVE-2021-23033 (điểm CVSS: 7,5) - Lỗ hổng gây từ chối dịch vụ trong BIG-IP Advanced WAF và ASM Websocket 

-  CVE-2021-23032 (Điểm CVSS: 7,5) - Lỗ hổng gây từ chối dịch vụ trong BIG-IP DNS

-  CVE-2021-23034, CVE-2021-23035 và CVE-2021-23036 (Điểm CVSS: 7,5) - Lỗ hổng gây từ chối dịch vụ trong Traffic Management Microkernel

Ngoài ra, F5 cũng đã vá một số lỗ hổng khác như directory traversal, SQL injection, open redirect, CSRF, và một lỗ hổng trong cơ sở dữ liệu MySQL.

Để tránh các nguy cơ bị tấn công, người dùng và quản trị viên nên thường xuyên kiểm tra, cập nhật phần mềm và áp dụng các biện pháp giảm nhẹ cần thiết ngay khi có thể.

Nguồn: thehackernews.com.

scrolltop