F5 đang cảnh báo về việc gia tăng các hoạt động khai thác lỗ hổng bảo mật nghiêm trọng dẫn đến việc thực thi các lệnh (system command) tùy ý trong BIG-IP chưa đầy một tuần sau khi lỗ hổng được tiết lộ công khai.
Có định danh CVE-2023-46747 (điểm CVSS: 9,8), lỗ hổng này cho phép kẻ tấn công không được xác thực có quyền truy cập mạng vào hệ thống BIG-IP thông qua giao diện quản lý để thực thi mã. Mã khai thác (PoC) đã được ProjectDiscovery tiết lộ công khai.
Lỗ hổng ảnh hưởng đến các phiên bản sau của phần mềm:
- 17.1.0 (Đã khắc phục trong 17.1.0.3 + Hotfix-BIGIP-17.1.0.3.0.75.4-ENG)
- 16.1.0 - 16.1.4 (Đã sửa trong 16.1.4.1 + Hotfix-BIGIP-16.1.4.1.0.50.5-ENG)
- 15.1.0 - 15.1.10 (Đã khắc phục trong 15.1.10.2 + Hotfix-BIGIP-15.1.10.2.0.44.2-ENG)
- 14.1.0 - 14.1.5 (Đã khắc phục trong 14.1.5.6 + Hotfix-BIGIP-14.1.5.6.0.10.6-ENG)
- 13.1.0 - 13.1.5 (Đã khắc phục trong 13.1.5.1 + Hotfix-BIGIP-13.1.5.1.0.20.2-ENG)
Công ty đang cảnh báo rằng họ đã "quan sát thấy các tác nhân đe dọa đang sử dụng lỗ hổng này để khai thác CVE-2023-46748", liên quan đến một lỗ hổng authenticated SQL injection (lỗ hổng yêu cầu xác thực để có thể khai thác) trong tiện ích BIG-IP Configuration.
“Lỗ hổng này có thể cho phép kẻ tấn công đã được xác thực có quyền truy cập mạng vào tiện ích Configuration thông qua giao diện quản lý BIG-IP và/hoặc địa chỉ IP của chính nó để thực thi các system command tùy ý”, F5 lưu ý trong tư vấn bảo mật cho CVE-2023-46748 (điểm CVSS: 8.8).
Nói cách khác, kẻ xấu đang kết hợp hai lỗ hổng với nhau để thực thi các lệnh system command tùy ý. Để kiểm tra các dấu hiệu xâm phạm (IoC) liên quan đến lỗ hổng SQL injection, người dùng nên kiểm tra tệp /var/log/tomcat/catalina.out để tìm các chuỗi đáng ngờ như bên dưới -
{...}
java.sql.SQLException: Column not found: 0.
{...)
sh: no job control in this shell
sh-4.2$
sh-4.2$ exit.
Trong một bài đăng trên X (trước đây là Twitter), Shadowserver Foundation cho biết họ đã phát hiện "các nỗ lực khai thác F5 BIG-IP CVE-2023-46747 trong các cảm biến honeypot" của mình kể từ ngày 30 tháng 10 năm 2023, khiến người dùng bắt buộc phải nhanh chóng triển khai các bản vá lỗi.
Sự phát triển này cũng đã khiến Cơ quan An ninh mạng và Cơ sở hạ tầng Mỹ (CISA) bổ sung hai lỗ hổng vào danh mục Các lỗ hổng bị khai thác đã biết (KEV), dựa trên bằng chứng về việc khai thác trong thực tế.
Nguồn: thehackernews.com.
Tín nhiệm mạng | Atlassian đã cảnh báo về một lỗ hổng bảo mật nghiêm trọng trong Máy chủ và Data Center Confluence có thể dẫn đến việc mất dữ liệu đáng kể nếu bị kẻ tấn công khai thác.
Tín nhiệm mạng | Một nhà nghiên cứu bảo mật đã công bố mã khai thác cho các thiết bị Wyze Cam v3, cho phép tạo một reverse shell và chiếm quyền điều khiển các thiết bị dễ bị tấn công.
Tín nhiệm mạng | Theo các nhà nghiên cứu gian lận tiền điện tử, tin tặc đã đánh cắp 4,4 triệu đô tiền điện tử vào ngày 25 tháng 10 bằng cách sử dụng các khóa bí mật và mật khẩu được lưu trong cơ sở dữ liệu LastPass bị đánh cắp.
Tín nhiệm mạng | Một số ứng dụng Android độc hại trên Google Play, đã có hơn 2 triệu lượt cài đặt, đang lén lút phát tán các quảng cáo không mong muốn đến người dùng trên các thiết bị bị nhiễm.
Tín nhiệm mạng | Các nhà nghiên cứu đã phát hiện ra một kỹ thuật tấn công kênh bên mới được gọi là iLeakage, hoạt động trên tất cả các thiết bị Apple gần đây và có thể trích xuất thông tin nhạy cảm từ trình duyệt web Safari.
Tín nhiệm mạng | F5 đã cảnh báo khách hàng về một lỗ hổng bảo mật nghiêm trọng ảnh hưởng đến BIG-IP có thể dẫn đến việc thực thi mã từ xa mà không yêu cầu xác thực.
Chúng tôi sẽ sớm liên hệ với bạn để xác thực các thông tin & hoàn tất quá trình kiểm duyệt để cấp chứng nhận.
Cảm ơn bạn đã thực hiện đánh giá.
