Tin An Ninh Mạng

F5 phát hành bản vá cho các thiết bị BIG-IP và BIG-IQ

1489939942hacker Nga.jpg
Nhà cung cấp thiết bị mạng và bảo mật doanh nghiệp F5 đã khắc phục tổng cộng 29 lỗ hổng tồn tại trên thiết bị mạng BIG-IP và BIG-IQ, một vài lỗ hổng trong số đó có mức độ nghiêm trọng cao. Khai thác thành công những lỗ hổng này có thể cho phép kẻ tấn công truy cập các tệp tùy ý, leo thang đặc quyền và thực thi mã JavaScript.

Trong số 29 lỗ hổng được vá, có 13 lỗ hổng với mức độ nghiêm trọng cao, 15 lỗ hổng có mức nghiêm trọng trung bình, và 1 lỗ hổng có mức độ nghiêm trọng thấp.

{

}

F5.jpg

Lỗ hổng nghiêm trọng nhất có mã định danh CVE-2021-23031, với điểm CVSS 8.8, ảnh hưởng đến sản phẩm BIG-IP Advanced Web Application Firewall và BIG-IP Application Security Manager, cho phép kẻ tấn công đã xác thực leo thang đặc quyền từ đó chạy các lệnh tùy ý, dẫn đến kiểm soát hoàn toàn hệ thống.

Cần lưu ý rằng đối với những khách hàng đang sử dụng thiết bị ở chế độ Appliance Mode, và áp dụng các hạn chế kỹ thuật bổ sung, lỗ hổng này có điểm CVSS lên tới 9.9. F5 cho biết: “Cuộc tấn công chỉ có thể thực hiện bởi người dùng xác thực nên hạn chế khai thác bằng cách chỉ cấp quyền cho những người dùng đáng tin cậy“.

Một số lỗ hổng được F5 vá bao gồm:

  • CVE-2021-23025 (điểm CVSS 7.2) – Lỗ hổng thực thi mã từ xa trong BIG-IP Configuration utility
  • CVE-2021-23026 (điểm score 7.5) -Lỗ hổng gửi yêu cầu giả mạo (CSRF) trong iControl SOAP
  • CVE-2021-23027 and CVE-2021-23037 (điểm CVSS 7.5) – Lỗ hổng XSS và DOM-XSS trong TMUI
  • CVE-2021-23028 (điểm CVSS 7.5) – Lỗ hổng trong BIG-IP Advanced WAF và ASM
  • CVE-2021-23029 (điểm CVSS 7.5) – Lỗ hổng trong BIG-IP Advanced WAF ASM TMUI
  • CVE-2021-23030 and CVE-2021-23033 (điểm CVSS 7.5) – Lỗ hổng trong BIG-IP Advanced WAF và ASM Websocket
  • CVE-2021-23032 (điểm CVSS 7.5) – lỗ hổng BIG-IP DNS
  • CVE-2021-23034, CVE-2021-23035, and CVE-2021-23036 (điểm CVSS 7.5) – Lỗ hổng trong thành phần Traffic Management Microkernel của BIG-IP

Ngoài ra, F5 cũng vá các lỗ hổng SQL injection, lỗ hổng gửi yêu cầu giả mạo (CSRF), lỗi cơ sở dữ liệu MySQL… Chi tiết các lỗ hổng, người dùng có thể tham khảo trong bản tin bảo mật của F5 tại đây.

Công ty khuyến cáo người dùng và các quản trị viên cài đặt các bản cập nhật phần mềm hoặc áp dụng các biện pháp giảm thiểu cần thiết cho các sản phẩm bị ảnh hưởng.

Đăng ký liền tay Nhận Ngay Bài Mới

Subscribe ngay

Cám ơn bạn đã đăng ký !

Lỗi đăng ký !

Add Comment

Click here to post a comment

Đăng ký liền tay
Nhận Ngay Bài Mới

Subscribe ngay

Cám ơn bạn đã đăng ký !

Lỗi đăng ký !