Lỗ hổng trong BIG-IP Next Central Manager cho phép tin tặc kiểm soát thiết bị

11:00 | 29/05/2024 | DOANH NGHIỆP

Công ty toàn cầu chuyên về dịch vụ ứng dụng, mạng và phân phối ứng dụng F5 (Washington) đã vá hai lỗ hổng có độ nghiêm trọng mức cao trong BIG-IP Next Central Manager, có thể bị khai thác để giành quyền kiểm soát của quản trị viên và lén lút tạo tài khoản trên bất kỳ thiết bị nào được quản lý.

Lỗ hổng trong BIG-IP Next Central Manager cho phép tin tặc kiểm soát thiết bị

Next Central Manager cho phép các quản trị viên kiểm soát các phiên bản và dịch vụ BIG-IP Next trên nền tảng on-premises hoặc cloud qua một giao diện người dùng quản lý thống nhất.

Hai lỗ hổng đã được vá bao gồm lỗ hổng SQL injection (CVE-2024-26026) và lỗ hổng OData injection (CVE-2024-21793) được phát hiện trong API BIG-IP Next Central Manager, cho phép kẻ tấn công không cần xác thực thực thi các câu lệnh SQL độc hại trên các thiết bị chưa được vá.

Các cuộc tấn công SQL injection liên quan đến việc chèn các truy vấn SQL độc hại vào các trường hoặc tham số đầu vào trong truy vấn cơ sở dữ liệu. Điều này cho phép thực thi các lệnh SQL ngoài ý muốn, dẫn đến truy cập trái phép, vi phạm dữ liệu và xâm phạm hệ thống.

Công ty bảo mật chuỗi cung ứng Eclypsium đã báo cáo các lỗ hổng và chia sẻ mã khai thác vào ngày 8/5 và cho biết, các tài khoản lừa đảo được tạo sau khi xâm phạm một phiên bản chưa được vá sẽ không hiển thị trên Next Central Manager, do đó nó có thể được sử dụng để duy trì hoạt động độc hại trong hệ thống của nạn nhân.

Công ty Eclypsium (Hoa Kỳ) cho biết: “Bảng điều khiển (console) quản lý của Central Manager có thể bị xâm phạm bởi bất kỳ kẻ tấn công nào có khả năng truy cập vào giao diện người dùng quản trị thông qua CVE 2024-21793 hoặc CVE 2024-26026”.

“Những kẻ tấn công sau đó có thể lợi dụng các lỗ hổng khác để tạo tài khoản mới trên bất kỳ tài sản (asset) BIG-IP Next nào, do Central Manager quản lý. Đáng chú ý, những tài khoản độc hại mới này sẽ không được hiển thị trong Central Manager”.

Luồng tấn công thông qua các lỗ hổng

Theo Eclypsium, hiện chưa có bằng chứng nào cho thấy hai lỗ hổng trên đã bị khai thác trong các cuộc tấn công trong thực tế.

Mặc dù, tỉ lệ triển khai BIG-IP Next Central Manage của F5 hiện chưa được xác định, nhưng thống kê từ Shodan cho thấy có hơn 10.000 thiết bị F5 BIG-IP với các cổng quản lý có thể được truy cập từ Internet.

Để giảm thiểu nguy cơ bị tấn công, người dùng nên cập nhật bản vá ngay khi có thể. F5 khuyến nghị những quản trị viên chưa thể cài đặt các bản cập nhật bảo mật mới ngay nên hạn chế quyền truy cập của Next Central Manager cho những người dùng đáng tin cậy qua mạng an toàn để giảm thiểu các rủi ro tiềm ẩn.

Hai năm trước, CISA cũng cảnh báo về việc khai thác rộng rãi một lỗ hổng F5 BIG-IP khác là CVE-2022-1388, cũng cho phép chiếm đoạt thiết bị trên các mạng của chính phủ và khu vực tư nhân, đồng thời chia sẻ hướng dẫn để ngăn chặn các cuộc tấn công đang diễn ra.

Hà Phương

‹ › ×

Tin liên quan

Phát hiện lỗ hổng nghiêm trọng SQl Injection gây ảnh hưởng đến một triệu trang web WordPress

10:00 | 22/04/2024

Một plugin thương mại dành cho WordPress có tên LayerSlider, đang được sử dụng trong hơn một triệu trang web tồn tại lỗ hổng SQL injection mà không yêu cầu người dùng xác thực.

Cập nhật bản vá lỗ hổng bảo mật tháng 4

14:00 | 04/05/2024

Trong tháng 4/2024, Microsoft, Adobe và SAP lần lượt phát hành bản vá cho các sản phẩm của mình. Người dùng cần khẩn trương cài đặt bản vá để phòng tránh rủi ro mất an toàn thông tin.

Cảnh báo hai lỗ hổng zero-day trên các thiết bị của Cisco nhằm phát tán phần mềm độc hại

08:00 | 04/05/2024

Mới đây, Cisco cảnh báo rằng một nhóm tin tặc được nhà nước bảo trợ đã khai thác hai lỗ hổng zero-day trong tường lửa Adaptive Security Appliance (ASA) và Firepower Threat Defense (FTD) kể từ tháng 11/2023 để cài đặt phần mềm độc hại trên các hệ thống mạng viễn thông và năng lượng bị ảnh hưởng tại nhiều quốc gia.

Tin cùng chuyên mục

Lợi dụng phần mềm diệt mã độc để lây nhiễm mã độc: Hiểm họa và giải pháp

15:00 | 26/01/2025

Cùng với sự phát triển của công nghệ, các hình thức phá hoại cũng đang trở nên tinh vi và phức tạp hơn, trong đó mã độc trở thành một trong những mối đe dọa hàng đầu. Để đối phó với tình trạng này, hiện nay phần mềm diệt mã độc (PMDMĐ) đang trở thành giải pháp tối ưu nhất cho người dùng cá nhân. Tuy nhiên, một vấn đề đáng lo ngại đang nổi lên khi chính những phần mềm này lại trở thành mục tiêu mà tin tặc có thể lợi dụng để lây nhiễm mã độc vào máy tính của người dùng. Bài báo sẽ phân tích tổng quan các chiến thuật mà tin tặc sử dụng để xâm nhập vào hệ thống thông qua PMDMĐ, đồng thời, tác giả cũng đề xuất các biện pháp nhằm giảm thiểu rủi ro từ mối nguy hại này.

Lỗ hổng thực thi mã từ xa trong Chipset MediaTek ảnh hưởng đến hàng triệu người dùng

12:00 | 14/01/2025

Đầu tháng 01/2025, MediaTek đã thông báo một loạt các lỗ hổng bảo mật ảnh hưởng đến các chipset của hãng, bao gồm các sản phẩm từ điện thoại thông minh, máy tính bảng cho đến các thiết bị IoT và TV thông minh.

TP-Link đối mặt với lệnh cấm tại Mỹ

10:00 | 24/12/2024

Nguồn tin của Wall Street Journal cho biết, chính quyền của Tổng thống đắc cử Donald Trump có thể ban hành lệnh cấm bán thiết bị TP-Link tại Mỹ ngay trong năm 2025.

Cisco ra mắt các thiết bị Wi-Fi 7

15:00 | 27/11/2024

Cisco vừa ra mắt các thiết bị Wi-Fi 7 với nhiều tính năng thông minh, an toàn bảo mật và đảm bảo dịch vụ tiên phong, tích hợp vào nhóm giải pháp mạng doanh nghiệp.