Trong số 29 lỗ hổng được vá, có 13 lỗ hổng được đánh giá mức độ nghiêm trọng cao, 15 lỗ hổng mức độ trung bình và 1 lỗ hổng ở mức độ nghiêm trọng thấp.
Theo đó, lỗ hổng nghiêm trọng nhất có mã CVE-2021-23031 (điểm CVSS 8.8), ảnh hưởng đến sản phẩm BIG-IP Advanced Web Application Firewall (WAP) và BIG-IP Application Security Manager (ASM), cụ thể là Giao diện người dùng quản lý lưu lượng - Traffic Management User Interface (TMUI).
“Khi lỗ hổng này bị khai thác thành công, cho phép kẻ tấn công đã xác thực leo thang đặc quyền, có quyền truy cập vào tiện ích Configuration, từ đó có thể thực thi các lệnh hệ thống tùy ý, tạo, xóa tệp hoặc vô hiệu hóa các dịch vụ. Lỗ hổng này có thể dẫn đến sự kiểm soát toàn bộ hệ thống”, F5 chia sẻ.
Đồng thời, công ty cũng lưu ý rằng CVE-2021-23031 có thể được nâng điểm CVSS lên tới 9.9 đối với những khách hàng đang sử dụng chế độ Appliance Mode. Chế độ này bổ sung các hạn chế kỹ thuật và được thiết kế để đáp ứng nhu cầu của khách hàng trong các lĩnh vực nhạy cảm, với việc giới hạn quyền truy cập hệ thống BIG-IP để phù hợp với thiết bị mạng điển hình chứ không phải thiết bị UNIX mà nhiều người sử dụng.
“Vì cuộc tấn công này chỉ có thể thực hiện bởi người dùng được xác thực, không có biện pháp giảm thiểu khả thi nào cũng cho phép người dùng truy cập vào tiện ích Configuration, vì vậy nên hạn chế khai thác bằng cách xóa quyền truy cập đối với những người dùng không hoàn toàn tin cậy”, F5 cho biết thêm.
Những lỗ hổng bảo mật quan trọng khác được F5 vá bao gồm:
• CVE-2021-23025 (điểm CVSS 7.2): Lỗ hổng thực thi mã từ xa được xác thực trong BIG-IP Configuration utility
• CVE-2021-23026 (điểm CVSS 7.5): Lỗ hổng gửi yêu cầu giả mạo (CSRF) trong iControl SOAP
• CVE-2021-23027 và CVE-2021-23037 (điểm CVSS 7.5): Lỗ hổng XSS và DOM Based XSS trong TMUI
• CVE-2021-23028 (điểm CVSS 7.5): Lỗ hổng trong BIG-IP Advanced WAF và ASM
• CVE-2021-23029 (điểm CVSS 7.5): Lỗ hổng trong BIG-IP Advanced WAF và ASM TMUI
• CVE-2021-23030 và CVE-2021-23033 (điểm CVSS 7.5): Lỗ hổng trong BIG-IP Advanced WAF và ASM Websocket
• CVE-2021-23032 (điểm CVSS 7.5): Lỗ hổng BIG-IP DNS
• CVE-2021-23034, CVE-2021-23035 và CVE-2021-23036 (điểm CVSS 7.5): Lỗ hổng trong thành phần Traffic Management Microkernel của BIG-IP
Ngoài ra, F5 cũng đã vá một số lỗi từ lỗ hổng truyền tải thư mục và SQL injection đến lỗ hổng chuyển hướng mở và gửi yêu cầu giả mạo (CSRF), bên cạnh đó là lỗi cơ sở dữ liệu MySQL dẫn đến các cơ sở dữ liệu sử dụng nhiều không gian lưu trữ hơn khi các tính năng bảo vệ brute-force của tường lửa được kích hoạt.
Với những khách hàng không thể cài đặt các bản vá ngay lúc này, có thể sử dụng các biện pháp giảm thiểu tạm thời như hạn chế quyền truy cập vào tiện ích Configuration, chỉ cho phép các thiết bị và mạng đáng tin cậy.
Trong bối cảnh các thiết bị, sản phẩm của F5 đang trở thành những mục tiêu tấn công, công ty khuyến cáo người dùng và các quản trị viên nên cài đặt các bản cập nhật phần mềm hoặc áp dụng các biện pháp giảm thiểu cần thiết cho các sản phẩm bị ảnh hưởng.
Đinh Hồng Đạt
(theo Thehackernews)
15:00 | 31/08/2021
08:00 | 26/08/2021
10:00 | 27/08/2021
10:00 | 07/10/2021
10:00 | 24/11/2022
11:00 | 29/02/2024
Các nhà nghiên cứu của hãng bảo mật Palo Alto Networks (Mỹ) đã phát hiện một biến thể mới của Trojan ngân hàng Mispadu đang tiến hành các hoạt động khai thác lỗ hổng Windows SmartScreen đã được vá để nhắm mục tiêu đến các nạn nhân ở Mexico. Bài viết sẽ phân tích và thảo luận xoay quanh biến thể mới của Mispadu và tấn công khai thác lỗ hổng Windows SmartScreen dựa trên báo cáo của Palo Alto Networks.
14:00 | 23/02/2024
Trong thời đại kỹ thuật số phát triển như hiện nay, tấn công phishing đã trở thành một mối đe dọa rất khó phòng tránh đối với người dùng mạng. Theo báo cáo của Tổ chức toàn cầu về chống lừa đảo trên mạng (Anti-Phishing Working Group), trong quý IV/2022, đã có hơn 304.000 trang web phishing được phát hiện, lừa đảo hơn 300 triệu người dùng trên toàn cầu. Đáng chú ý, số lượng trang web phishing đã tăng lên 6,9% so với quý trước, đạt mức cao nhất trong vòng 5 năm. Các cuộc tấn công phishing nhắm vào các tổ chức tài chính, ngân hàng và thanh toán trực tuyến chiếm 42,4% tổng số các cuộc tấn công. Số lượng các tên miền giả mạo đã tăng lên 11,5% so với quý III/2022, đạt mức cao nhất trong vòng 3 năm. Trong bối cảnh như vậy, việc nâng cao nhận thức và có các biện pháp đối phó với tấn công phishing là rất quan trọng.
17:00 | 21/12/2023
Mới đây, nhóm Nghiên cứu và Phân tích Toàn cầu của Kaspersky phát hiện một chiến dịch gián điệp mạng đang nhắm mục tiêu đánh cắp dữ liệu lưu trữ trên các thiết bị USB an toàn sử dụng trong các cơ quan, tổ chức chính phủ các nước Châu Á - Thái Bình dương (APAC).
09:00 | 17/11/2023
Dữ liệu nội bộ của Boeing, một trong những nhà thầu quốc phòng và vũ trụ lớn nhất thế giới, đã bị nhóm tin tặc Lockbit phát tán trực tuyến.
Các chuyên gia bảo mật cảnh báo rằng thế giới đang phải đối mặt với sự phát triển của những công nghệ mới, mối đe dọa đang ngày càng gia tăng cả về phạm vi, lẫn cường độ của các cuộc tấn công.
08:00 | 17/04/2024