Cách đây vài ngày, nhóm bảo mật của F5 Networks đã báo cáo việc sửa hơn 50 lỗ hổng trong các phiên bản BIG-IP khác nhau. Trong đó nổi bật là CVE-2022-1388, một lỗ hổng có thể bị khai thác để triển khai các cuộc tấn công thực thi mã từ xa (RCE). Mới đây, F5 đã đưa ra cảnh báo mới, khuyến nghị các tổ chức cập nhật bản vá ngay vì các lỗ hổng này đang bị hacker khai thác.
Theo báo cáo, việc khai thác thành công cho phép các tác nhân đe dọa có quyền truy cập vào hệ thống BIG-IP để thực hiện các lệnh tùy ý, khiến nó trở thành một rủi ro bảo mật đặc biệt nghiêm trọng đối với các tổ chức.
Trước khi các công ty bắt đầu phát triển PoC, họ đã phát hành các bản cập nhật để giải quyết lỗ hổng vào ngày ngày 4 tháng 5. Tuy nhiên, PoC đã bị rò rỉ ngay sau đó. Việc rò rì này chắc chắn làm tăng nguy cơ hệ thống bị tấn công. Kevin Beaumont – chuyên gia F5, cho biết đã phát hiện hành động khai thác ngay cả trước khi PoC bị rò rỉ.
Mặt khác, vào sáng thứ Hai, nhà nghiên cứu Germán Fernández đã báo cáo việc phát hiện một chiến dịch lớn nhằm khai thác lỗ hổng này, trong đó tin tặc cố gắng cài đặt webshell cho phép họ truy cập vào hệ thống mục tiêu giống như cách cài backdoor.
Lỗ hổng được báo cáo nằm trong tất cả các phiên bản F5 BIG-IP từ v11 tới v17. Tại thời điểm báo cáo, công ty xác nhận rằng các thiết bị BIG-IP 11 và 12 sẽ không nhận được các bản cập nhật khi chúng đã hết thời hạn sử dụng; phiên bản 13.1.5, 14.1.4.6, 15.1.5.1, 16.1.2.2 và 17.0.0 đã nhận được các bản vá bảo mật.
Các tấn công khai thác lỗ hổng sau khi triển khai các bản vá đã không còn xa lạ. Từ năm 2020 đến năm 2021, nhiều cuộc tấn công khai thác lỗ hổng sau khi các thiết bị triển khai bản vá, chứng tỏ vẫn tồn tại các rủi ro nhất định đối với hệ thống kể cả khi đã có bản cập nhật.
Theo https://www.securitynewspaper.com/
