Nhiều lỗ hổng bảo mật đã được tiết lộ trong các thiết bị F5 BIG-IP và BIG-IQ, nếu khai thác thành công, sẽ làm tổn hại hoàn toàn các hệ thống bị ảnh hưởng.
Công ty an ninh mạng Rapid7 cho biết các lỗ hổng có thể bị lạm dụng để truy cập từ xa vào các thiết bị và vượt qua các hạn chế về bảo mật. Các lỗ hổng ảnh hưởng đến các phiên bản BIG-IP 13.x, 14.x, 15.x, 16.x và 17.x và Quản lý tập trung BIG-IQ phiên bản 7.x và 8.x.
Hai lỗ hổng có mức độ nghiêm trọng được báo cáo cho F5 vào ngày 18 tháng 8 năm 2022 như sau :
- CVE-2022-41622 (Điểm CVSS: 8,8) – Lỗ hổng giả mạo yêu cầu trên nhiều trang web ( CSRF ) thông qua iControl SOAP, dẫn đến thực thi mã từ xa không được xác thực.
- CVE-2022-41800 (Điểm CVSS: 8,7) – Lỗ hổng iControl REST có thể cho phép người dùng được xác thực có vai trò Quản trị viên bỏ qua các hạn chế ở chế độ Công cụ
Nhà nghiên cứu Ron Bowes của Rapid7 cho biết, nghiêm trọng nhất là CVE-2022-41622 (điểm CVSS 8,8), lỗ hổng cross-site request forgery (CSRF). Khai thác thành công có thể cho phép kẻ tấn công từ xa, không được xác thực có quyền truy cập root vào giao diện quản lý của thiết bị, ngay cả khi giao diện đó không để lộ ra Internet.
Tuy nhiên, việc khai thác yêu cầu kẻ tấn công phải có một số kiến thức về mạng của nạn nhân và chúng cần “dụ” quản trị viên đã đăng nhập truy cập trang web độc hại được thiết lập sẵn để khai thác thành công CVE-2022-41622.
F5 cho biết: “Nếu bị khai thác, lỗ hổng có thể làm ảnh hưởng đến toàn bộ hệ thống”.
Lỗ hổng thứ hai là CVE-2022-41800 cho phép kẻ tấn công có đặc quyền quản trị viên thực thi các lệnh shell tùy ý thông qua các tập tin RPM.
Ngoài ra một số vấn đề khác cũng được báo cáo bao gồm leo thang đặc quyền cục bộ thông qua các quyền của Unix socket không hợp lệ và hai phương pháp bypass SELinux.
Các nhà nghiên cứu tin rằng việc khai thác rộng rãi các lỗ hổng này là không thể. Tuy nhiên, khách hàng F5 nên cập nhật bản vá và không nên chủ quan vì các thiết bị BIG-IP luôn là mục tiêu ưa thích của tin tặc.
Theo https://thehackernews.com/, https://www.securityweek.com/
