🔥 UBND xã Kroong, thành Phố Kon Tum đã đăng ký tín nhiệm. 🔥                    🔥 Trường Tiểu học Vinh Quang đã đăng ký tín nhiệm. 🔥                    🔥 Ủy ban nhân dân xã Măng Cành, huyện Kon Plông, tỉnh Kon Tum đã đăng ký tín nhiệm. 🔥                    🔥 CỔNG THÔNG TIN ĐIỆN TỬ XÃ ĐẠ ĐỜN đã đăng ký tín nhiệm. 🔥                    🔥 Uỷ Ban Nhân Dân Thị Trấn Chợ Rã đã đăng ký tín nhiệm. 🔥                   

F5 tiếp tục cảnh báo về các cuộc tấn công khai thác lỗ hổng BIG-IP đang diễn ra

03/11/2023

F5 đang cảnh báo về việc gia tăng các hoạt động khai thác lỗ hổng bảo mật nghiêm trọng dẫn đến việc thực thi các lệnh (system command) tùy ý trong BIG-IP chưa đầy một tuần sau khi lỗ hổng được tiết lộ công khai.

Có định danh CVE-2023-46747 (điểm CVSS: 9,8), lỗ hổng này cho phép kẻ tấn công không được xác thực có quyền truy cập mạng vào hệ thống BIG-IP thông qua giao diện quản lý để thực thi mã. Mã khai thác (PoC) đã được ProjectDiscovery tiết lộ công khai.

Lỗ hổng ảnh hưởng đến các phiên bản sau của phần mềm:

- 17.1.0 (Đã khắc phục trong 17.1.0.3 + Hotfix-BIGIP-17.1.0.3.0.75.4-ENG)

- 16.1.0 - 16.1.4 (Đã sửa trong 16.1.4.1 + Hotfix-BIGIP-16.1.4.1.0.50.5-ENG)

- 15.1.0 - 15.1.10 (Đã khắc phục trong 15.1.10.2 + Hotfix-BIGIP-15.1.10.2.0.44.2-ENG)

- 14.1.0 - 14.1.5 (Đã khắc phục trong 14.1.5.6 + Hotfix-BIGIP-14.1.5.6.0.10.6-ENG)

- 13.1.0 - 13.1.5 (Đã khắc phục trong 13.1.5.1 + Hotfix-BIGIP-13.1.5.1.0.20.2-ENG)

Công ty đang cảnh báo rằng họ đã "quan sát thấy các tác nhân đe dọa đang sử dụng lỗ hổng này để khai thác CVE-2023-46748", liên quan đến một lỗ hổng authenticated SQL injection (lỗ hổng yêu cầu xác thực để có thể khai thác) trong tiện ích BIG-IP Configuration.

“Lỗ hổng này có thể cho phép kẻ tấn công đã được xác thực có quyền truy cập mạng vào tiện ích Configuration thông qua giao diện quản lý BIG-IP và/hoặc địa chỉ IP của chính nó để thực thi các system command tùy ý”, F5 lưu ý trong tư vấn bảo mật cho CVE-2023-46748 (điểm CVSS: 8.8).

Nói cách khác, kẻ xấu đang kết hợp hai lỗ hổng với nhau để thực thi các lệnh system command tùy ý. Để kiểm tra các dấu hiệu xâm phạm (IoC) liên quan đến lỗ hổng SQL injection, người dùng nên kiểm tra tệp /var/log/tomcat/catalina.out để tìm các chuỗi đáng ngờ như bên dưới -

{...}

java.sql.SQLException: Column not found: 0.

{...)

sh: no job control in this shell

sh-4.2$

sh-4.2$ exit.

Trong một bài đăng trên X (trước đây là Twitter), Shadowserver Foundation cho biết họ đã phát hiện "các nỗ lực khai thác F5 BIG-IP CVE-2023-46747 trong các cảm biến honeypot" của mình kể từ ngày 30 tháng 10 năm 2023, khiến người dùng bắt buộc phải nhanh chóng triển khai các bản vá lỗi.

Sự phát triển này cũng đã khiến Cơ quan An ninh mạng và Cơ sở hạ tầng Mỹ (CISA) bổ sung hai lỗ hổng vào danh mục Các lỗ hổng bị khai thác đã biết (KEV), dựa trên bằng chứng về việc khai thác trong thực tế.

Nguồn: thehackernews.com.

scrolltop