–
Vào ngày 4/5/2022, nhà cung cấp các giải pháp bảo mật mạng (network) và Cloud F5 đã phát hành các bản vá cho 43 lỗ hổng trong các sản phẩm của mình, bao gồm một lỗ hổng mức nghiêm trọng, 17 lỗ hổng mức cao, 24 lỗ hổng mức trung bình và một lỗ hổng mức thấp.
Nghiêm trọng nhất trong số đó là CVE-2022-1388, lỗ hổng có điểm CVSS: 9,8 trên tổng số 10, bắt nguồn từ việc thiếu kiểm tra xác thực trong BIG-IP iControl REST, cho phép kẻ tấn công truy cập trái phép và kiểm soát hệ thống bị ảnh hưởng.
F5 cho biết “lỗ hổng cho phép kẻ tấn công không cần xác thực có quyền truy cập vào hệ thống BIG-IP thông qua giao diện quản lý và/hoặc địa chỉ IP để thực thi các lệnh system command tùy ý, tạo/xóa các tệp hoặc vô hiệu hóa dịch vụ”.
Lỗ hổng này được nhóm bảo mật nội bộ của F5 phát hiện, ảnh hưởng đến các phiên bản BIG-IP: 16.1.0 – 16.1.2,15.1.0 – 15.1.5, 14.1.0 – 14.1.4, 13.1.0 – 13.1.4, 12.1.0 – 12.1.6 và 11.6.1 – 11.6.5.
Bản vá cho lỗ hổng bỏ qua xác thực iControl REST đã được phát hành trong các phiên bản 17.0.0, 16.1.2.2, 15.1.5.1, 14.1.4.6 và 13.1.5.
Các sản phẩm F5 khác như BIG-IQ Centralized Management, F5OS-A, F5OS-C và Traffix SDC không bị ảnh hưởng bởi CVE-2022-1388.
Ngoài ra, F5 cũng cung cấp các giải pháp thay thế tạm thời cho đến khi các bản vá có thể được áp dụng bằng cách:
- Chặn quyền truy cập iControl REST từ địa chỉ IP
- Chặn quyền truy cập iControl REST từ giao diện quản lý
- Sửa đổi cấu hình BIG-IP httpd
Các lỗ hổng đáng chú ý khác cũng được khắc phục trong bản cập nhật lần này bao gồm các lỗ hổng cho phép kẻ tấn công [đã xác thực] bỏ qua các hạn chế trong Appliance mode để thực thi mã JavaScript tùy ý.
Các thiết bị F5 hiện đang được triển khai rộng rãi trong các mạng doanh nghiệp, vì vậy các tổ chức cần nhanh chóng kiểm tra và áp dụng bản vá sớm nhất có thể để ngăn chặn các khai thác tấn công lạm dụng lỗ hổng này.
Bản vá bảo mật này được phát hành cùng khi Cơ quan bảo mật CISA của Mỹ thêm năm lỗ hổng mới vào Danh mục các lỗ hổng bị khai thác đã biết, bao gồm:
- CVE-2021-1789 và CVE-2019-8506: Hai lỗ hổng nhầm lẫn kiểu (Type Confusion) trong các sản phẩm của Apple
- CVE-2014-4113: Lỗ hổng leo thang đặc quyền trong Microsoft Win32k
- CVE-2014-0322: Lỗ hổng Use-After-Free trong Microsoft Internet Explorer
- CVE-2014-0160: Lỗ hổng tiết lộ thông tin trong OpenSSL
Vina Aspire là công ty tư vấn, cung cấp các giải pháp, dịch vụ CNTT, An ninh mạng, bảo mật & an toàn thông tin tại Việt Nam. Đội ngũ của Vina Aspire gồm những chuyên gia, cộng tác viên giỏi, có trình độ, kinh nghiệm và uy tín cùng các nhà đầu tư, đối tác lớn trong và ngoài nước chung tay xây dựng.
Các Doanh nghiệp, tổ chức có nhu cầu liên hệ Công ty Vina Aspire theo thông tin sau:
Email: info@vina-aspire.com | Website: www.vina-aspire.com
Tel: +84 9024 17606 | Fax: +84 28 3535 0668
Vina Aspire – Vững bảo mật, trọn niềm tin
