Vina Aspire > F5 Vietnam > F5 cảnh báo khách hàng BIG-IP về 18 lỗ hổng nghiêm trọng

F5 cảnh báo khách hàng BIG-IP về 18 lỗ hổng nghiêm trọng

Nhà cung cấp giải pháp an ninh mạng và phân phối ứng dụng F5 gần đây đã phát hành một khuyến cáo, thông báo cho khách hàng về hơn 50 lỗ hổng an ninh. Đặc biệt, hãng cho biết người dùng bộ điều khiển phân phối ứng dụng BIG-IP đang phải đối mặt với một lỗ hổng nghiêm trọng cao và 17 lỗ hổng quan trọng khác.

Lỗ hổng có mức độ nghiêm trọng cao do F5 phát hiện nội bộ, được gán mã định danh là CVE-2022-1388, cho phép kể tấn công chưa xác thực truy cập mạng vào hệ thống BIG-IP để thực hiện các lệnh tùy ý, tạo/xóa tệp hoặc vô hiệu hóa dịch vụ khi khai thác thành công. Lỗ hổng ảnh hưởng đến thành phần iControl REST và được mô tả là lỗi control plane task (các tác vụ liên quan đến các chức năng chịu trách nhiệm tạo bảng định tuyến, vẽ cấu trúc liên kết mạng, bảng forwarding) không liên quan đến bất kỳ sự cố data plane task (các tác vụ liên quan các chức năng và quy trình chuyển tiếp các packet/frames từ giao diện này sang giao diện khác dựa trên control plane logic) nào. Hiện thông tin về mã khai thác lỗ hổng đã được công bố.

Ba trong số 17 lỗ hổng còn lại đã được đánh giá điểm CVSS từ 8 đến 9. Trong đó, CVE-2022-25946 và CVE-2022-27806 ảnh hưởng đến các hệ thống đang chạy ở chế độ appliance và cho phép kẻ tấn công xác thực với đặc quyền quản trị viên để bỏ qua các hạn chế dành riêng cho chế độ này.

Lỗ hổng còn lại – CVE-2022-28707 – là một lỗ hổng cross-site scripting (XSS). Kẻ tấn công với quyền truy cập vào hệ thống từ đặc quyền “khách” trở lên có thể khai thác CVE-2022-28707 để thực thi mã JavaScript tùy ý.

Các lỗ hổng quan trọng khác có thể bị khai thác để leo thang đặc quyền, tấn công DoS, tấn công XSS, qua mặt cơ chế an ninh và thực hiện các lệnh tùy ý. Nhiều lỗ hổng DoS có thể bị khai thác từ xa mà không cần xác thực.

Ngoài ra, trong khuyến cáo này còn có các lỗ hổng được đánh giá mức độ nghiêm trọng trung bình hoặc mức độ nghiêm trọng thấp và một số lỗ hổng được mô tả là rủi ro an ninh.

Người dùng BIG-IP không nên bỏ qua các bản vá này vì tin tặc đã nhắm vào các lỗ hổng ảnh hưởng đến sản phẩm.

 

Vina Aspire là công ty tư vấn, cung cấp các giải pháp, dịch vụ CNTT, An ninh mạng, bảo mật & an toàn thông tin tại Việt Nam. Đội ngũ của Vina Aspire gồm những chuyên gia, cộng tác viên giỏi, có trình độ, kinh nghiệm và uy tín cùng các nhà đầu tư, đối tác lớn trong và ngoài nước chung tay xây dựng.

Các Doanh nghiệp, tổ chức có nhu cầu liên hệ Công ty Vina Aspire theo thông tin sau:

Email: info@vina-aspire.com | Website: www.vina-aspire.com
Tel: +84 944 004 666 | Fax: +84 28 3535 0668


Vina Aspire – Vững bảo mật, trọn niềm tin


Bài viết liên quan

About Us

Learn More

Vina Aspire is a leading Cyber Security & IT solution and service provider in Vietnam. Vina Aspire is built up by our excellent experts, collaborators with high-qualification and experiences and our international investors and partners. We have intellectual, ambitious people who are putting great effort to provide high quality products and services as well as creating values for customers and society.

may ao thun Kem sữa chua May o thun May o thun đồng phục Định cư Canada Dịch vụ kế ton trọn gi sản xuất đồ bộ
Translate »