F5 phát hành bản vá bảo mật cho các thiết bị BIG-IP và BIG-IQ

14:37 | 10/09/2021

Nhà cung cấp thiết bị mạng và bảo mật doanh nghiệp F5 vừa qua đã phát hành bản vá cho các lỗ hổng bảo mật ảnh hưởng đến nhiều phiên bản của thiết bị BIG-IP và BIG-IQ của hãng, có khả năng cho phép kẻ tấn công truy cập các tệp tùy ý, leo thang đặc quyền và thực thi mã JavaScript độc hại.

Trong số 29 lỗ hổng được vá, có 13 lỗ hổng được đánh giá mức độ nghiêm trọng cao, 15 lỗ hổng mức độ trung bình và 1 lỗ hổng ở mức độ nghiêm trọng thấp.

Theo đó, lỗ hổng nghiêm trọng nhất có mã CVE-2021-23031 (điểm CVSS 8.8), ảnh hưởng đến sản phẩm BIG-IP Advanced Web Application Firewall (WAP) và BIG-IP Application Security Manager (ASM), cụ thể là Giao diện người dùng quản lý lưu lượng - Traffic Management User Interface (TMUI).

“Khi lỗ hổng này bị khai thác thành công, cho phép kẻ tấn công đã xác thực leo thang đặc quyền, có quyền truy cập vào tiện ích Configuration, từ đó có thể thực thi các lệnh hệ thống tùy ý, tạo, xóa tệp hoặc vô hiệu hóa các dịch vụ. Lỗ hổng này có thể dẫn đến sự kiểm soát toàn bộ hệ thống”, F5 chia sẻ.

Đồng thời, công ty cũng lưu ý rằng CVE-2021-23031 có thể được nâng điểm CVSS lên tới 9.9 đối với những khách hàng đang sử dụng chế độ Appliance Mode. Chế độ này bổ sung các hạn chế kỹ thuật và được thiết kế để đáp ứng nhu cầu của khách hàng trong các lĩnh vực nhạy cảm, với việc giới hạn quyền truy cập hệ thống BIG-IP để phù hợp với thiết bị mạng điển hình chứ không phải thiết bị UNIX mà nhiều người sử dụng.

“Vì cuộc tấn công này chỉ có thể thực hiện bởi người dùng được xác thực, không có biện pháp giảm thiểu khả thi nào cũng cho phép người dùng truy cập vào tiện ích Configuration, vì vậy nên hạn chế khai thác bằng cách xóa quyền truy cập đối với những người dùng không hoàn toàn tin cậy”, F5 cho biết thêm.

Những lỗ hổng bảo mật quan trọng khác được F5 vá bao gồm:

•    CVE-2021-23025 (điểm CVSS 7.2): Lỗ hổng thực thi mã từ xa được xác thực trong BIG-IP Configuration utility
•    CVE-2021-23026 (điểm CVSS 7.5): Lỗ hổng gửi yêu cầu giả mạo (CSRF) trong iControl SOAP
•    CVE-2021-23027 và CVE-2021-23037 (điểm CVSS 7.5): Lỗ hổng XSS và DOM Based XSS trong TMUI
•    CVE-2021-23028 (điểm CVSS 7.5): Lỗ hổng trong BIG-IP Advanced WAF và ASM
•    CVE-2021-23029 (điểm CVSS 7.5): Lỗ hổng trong BIG-IP Advanced WAF và ASM TMUI
•    CVE-2021-23030 và CVE-2021-23033 (điểm CVSS 7.5): Lỗ hổng trong BIG-IP Advanced WAF và ASM Websocket
•    CVE-2021-23032 (điểm CVSS 7.5): Lỗ hổng BIG-IP DNS
•    CVE-2021-23034, CVE-2021-23035 và CVE-2021-23036 (điểm CVSS 7.5): Lỗ hổng trong thành phần Traffic Management Microkernel của BIG-IP

Ngoài ra, F5 cũng đã vá một số lỗi từ lỗ hổng truyền tải thư mục và SQL injection đến lỗ hổng chuyển hướng mở và gửi yêu cầu giả mạo (CSRF), bên cạnh đó là lỗi cơ sở dữ liệu MySQL dẫn đến các cơ sở dữ liệu sử dụng nhiều không gian lưu trữ hơn khi các tính năng bảo vệ brute-force của tường lửa được kích hoạt.

Với những khách hàng không thể cài đặt các bản vá ngay lúc này, có thể sử dụng các biện pháp giảm thiểu tạm thời như hạn chế quyền truy cập vào tiện ích Configuration, chỉ cho phép các thiết bị và mạng đáng tin cậy.

Trong bối cảnh các thiết bị, sản phẩm của F5 đang trở thành những mục tiêu tấn công, công ty khuyến cáo người dùng và các quản trị viên nên cài đặt các bản cập nhật phần mềm hoặc áp dụng các biện pháp giảm thiểu cần thiết cho các sản phẩm bị ảnh hưởng.