Trong số 29 lỗ hổng được vá, có 13 lỗ hổng được đánh giá mức độ nghiêm trọng cao, 15 lỗ hổng mức độ trung bình và 1 lỗ hổng ở mức độ nghiêm trọng thấp.
Theo đó, lỗ hổng nghiêm trọng nhất có mã CVE-2021-23031 (điểm CVSS 8.8), ảnh hưởng đến sản phẩm BIG-IP Advanced Web Application Firewall (WAP) và BIG-IP Application Security Manager (ASM), cụ thể là Giao diện người dùng quản lý lưu lượng - Traffic Management User Interface (TMUI).
“Khi lỗ hổng này bị khai thác thành công, cho phép kẻ tấn công đã xác thực leo thang đặc quyền, có quyền truy cập vào tiện ích Configuration, từ đó có thể thực thi các lệnh hệ thống tùy ý, tạo, xóa tệp hoặc vô hiệu hóa các dịch vụ. Lỗ hổng này có thể dẫn đến sự kiểm soát toàn bộ hệ thống”, F5 chia sẻ.
Đồng thời, công ty cũng lưu ý rằng CVE-2021-23031 có thể được nâng điểm CVSS lên tới 9.9 đối với những khách hàng đang sử dụng chế độ Appliance Mode. Chế độ này bổ sung các hạn chế kỹ thuật và được thiết kế để đáp ứng nhu cầu của khách hàng trong các lĩnh vực nhạy cảm, với việc giới hạn quyền truy cập hệ thống BIG-IP để phù hợp với thiết bị mạng điển hình chứ không phải thiết bị UNIX mà nhiều người sử dụng.
“Vì cuộc tấn công này chỉ có thể thực hiện bởi người dùng được xác thực, không có biện pháp giảm thiểu khả thi nào cũng cho phép người dùng truy cập vào tiện ích Configuration, vì vậy nên hạn chế khai thác bằng cách xóa quyền truy cập đối với những người dùng không hoàn toàn tin cậy”, F5 cho biết thêm.
Những lỗ hổng bảo mật quan trọng khác được F5 vá bao gồm:
• CVE-2021-23025 (điểm CVSS 7.2): Lỗ hổng thực thi mã từ xa được xác thực trong BIG-IP Configuration utility
• CVE-2021-23026 (điểm CVSS 7.5): Lỗ hổng gửi yêu cầu giả mạo (CSRF) trong iControl SOAP
• CVE-2021-23027 và CVE-2021-23037 (điểm CVSS 7.5): Lỗ hổng XSS và DOM Based XSS trong TMUI
• CVE-2021-23028 (điểm CVSS 7.5): Lỗ hổng trong BIG-IP Advanced WAF và ASM
• CVE-2021-23029 (điểm CVSS 7.5): Lỗ hổng trong BIG-IP Advanced WAF và ASM TMUI
• CVE-2021-23030 và CVE-2021-23033 (điểm CVSS 7.5): Lỗ hổng trong BIG-IP Advanced WAF và ASM Websocket
• CVE-2021-23032 (điểm CVSS 7.5): Lỗ hổng BIG-IP DNS
• CVE-2021-23034, CVE-2021-23035 và CVE-2021-23036 (điểm CVSS 7.5): Lỗ hổng trong thành phần Traffic Management Microkernel của BIG-IP
Ngoài ra, F5 cũng đã vá một số lỗi từ lỗ hổng truyền tải thư mục và SQL injection đến lỗ hổng chuyển hướng mở và gửi yêu cầu giả mạo (CSRF), bên cạnh đó là lỗi cơ sở dữ liệu MySQL dẫn đến các cơ sở dữ liệu sử dụng nhiều không gian lưu trữ hơn khi các tính năng bảo vệ brute-force của tường lửa được kích hoạt.
Với những khách hàng không thể cài đặt các bản vá ngay lúc này, có thể sử dụng các biện pháp giảm thiểu tạm thời như hạn chế quyền truy cập vào tiện ích Configuration, chỉ cho phép các thiết bị và mạng đáng tin cậy.
Trong bối cảnh các thiết bị, sản phẩm của F5 đang trở thành những mục tiêu tấn công, công ty khuyến cáo người dùng và các quản trị viên nên cài đặt các bản cập nhật phần mềm hoặc áp dụng các biện pháp giảm thiểu cần thiết cho các sản phẩm bị ảnh hưởng.
Đinh Hồng Đạt
(theo Thehackernews)
15:00 | 31/08/2021
08:00 | 26/08/2021
10:00 | 27/08/2021
10:00 | 07/10/2021
10:00 | 24/11/2022
13:00 | 23/03/2023
Mới đây, Cisco đã phát hành bản vá cho lỗ hổng bảo mật nghiêm trọng tồn tại trong phần mềm IOS XR dành cho các bộ định tuyến doanh nghiệp ASR 9000, ASR 9902 và ASR 9903. Người dùng cần cập nhật bản vá để tránh bị tin tặc lợi dụng tấn công.
10:00 | 06/01/2023
Synology - tập đoàn của Đài Loan chuyên về các thiết bị lưu trữ gắn mạng (NAS) đã phát hành các bản vá để giải quyết một lỗ hổng nghiêm trọng, ảnh hưởng đến máy chủ VPN Plus có thể bị khai thác để chiếm quyền hệ thống.
16:00 | 30/11/2022
Công ty Atlassian (Vương Quốc Anh) đã phát hành bản vá để khắc phục các lỗ hổng nghiêm trọng ảnh hưởng đến sản phẩm Bitbucket Server và Data Center. Đáng lưu ý, hai lỗ hổng CVE-2022-43781 và CVE-2022-43782 đều được xếp hạng nghiêm trọng có điểm CVSS 9/10.
12:00 | 26/09/2022
Các nhà nghiên cứu của Necrum Security Labs (Nhật Bản) đã công bố hai lỗ hổng nghiêm trọng với mã định danh CVE-2022-36158 và CVE-2022-36159 ảnh hưởng đến các thiết bị LAN dòng Contec Flexlan FXA3000 và FXA2000.
Trên trang web của RansomHub, nhóm tin tặc tống tiền này đã công bố một số dữ liệu đã đánh cắp từ công ty con Change Healthcare của United Health. Đây là hành động nhằm mục đích yêu cầu công ty chăm sóc sức khỏe của Hoa Kỳ phải đáp ứng những điều khoản trong thỏa thuận tống tiền của tin tặc.
12:00 | 06/05/2024