Nhà cung cấp mạng phân phối ứng dụng và bảo mật đám mây (ADN) F5 đã phát hành các bản vá để giải quyết 43 lỗi trên các sản phẩm của mình.

Trong số đó, có một lỗ hổng nghiêm trọng, 17 lỗ hổng được đánh giá mức cao, 24 trung bình và một lỗ hổng mức thấp.

 CVE-2022-1388 (CVSS: 9.8/10) xuất phát từ việc thiếu kiểm tra xác thực, có khả năng cho phép kẻ tấn công chiếm quyền kiểm soát hệ thống bị ảnh hưởng.

F5 cho biết, “Lỗ hổng này có thể cho phép kẻ tấn công không được xác thực có quyền truy cập mạng vào hệ thống BIG-IP thông qua cổng quản lý hoặc địa chỉ IP tự thực hiện các lệnh hệ thống tùy ý, tạo hoặc xóa tệp hoặc vô hiệu hóa dịch vụ”.

Lỗ hổng bảo mật, mà công ty cho biết đã được phát hiện trong nội bộ, ảnh hưởng đến các sản phẩm BIG-IP với các phiên bản sau:

  •       16.1.0 – 16.1.2
  •       15.1.0 – 15.1.5
  •       14.1.0 – 14.1.4
  •       13.1.0 – 13.1.4
  •       12.1.0 – 12.1.6
  •       11.6.1 – 11.6.5

Các bản vá cho lỗ hổng bỏ qua xác thực iControl REST đã được giới thiệu trong các phiên bản 17.0.0, 16.1.2.2, 15.1.5.1, 14.1.4.6 và 13.1.5. Các sản phẩm F5 khác như Quản lý tập trung BIG-IQ, F5OS-A, F5OS-C và Traffix SDC không dễ bị tấn công bởi CVE-2022-1388.

F5 cũng đã đưa ra các giải pháp thay thế tạm thời cho đến khi có thể triển khai bản cập nhật chính thức như

  •       Chặn quyền truy cập iControl REST thông qua địa chỉ IP của chính nó
  •       Chặn quyền truy cập iControl REST thông qua giao diện quản lý
  •       Sửa đổi cấu hình BIG-IP httpd

Các lỗi khác cũng đồng thời được giải quyết trong bản cập nhật, bao gồm những lỗi có thể cho phép kẻ tấn công đã xác thực thực thi mã tùy ý với vai trò người dùng hiện tại. Với các thiết bị F5 trong các mạng doanh nghiệp, các tổ chức bắt buộc phải nhanh chóng áp dụng các bản vá để ngăn chặn các tác nhân đe dọa khai thác lỗ hổng để có truy cập ban đầu.

Các bản sửa lỗi bảo mật được đưa ra khi Cơ quan An ninh mạng và Cơ sở hạ tầng Hoa Kỳ (CISA) bổ sung 5 lỗ hổng mới vào Danh mục lỗ hổng đã biết bị khai thác dựa trên thực tế.

  •       CVE-2021-1789 – Lỗ hổng gây nhầm lẫn trên nhiều loại sản phẩm của Apple
  •       CVE-2019-8506 – Lỗ hổng gây nhầm lẫn trên nhiều loại sản phẩm của Apple
  •       CVE-2014-4113 – Lỗ hổng nâng cấp đặc quyền Microsoft Win32k
  •       CVE-2014-0322 – Lỗ hổng sau khi sử dụng miễn phí Microsoft Internet Explorer
  •       CVE-2014-0160 – Lỗ hổng tiết lộ thông tin OpenSSL
  • Theo https://thehackernews.com/