Next Central Manager cho phép các quản trị viên kiểm soát các phiên bản và dịch vụ BIG-IP Next trên nền tảng on-premises hoặc cloud qua một giao diện người dùng quản lý thống nhất.
Hai lỗ hổng đã được vá bao gồm lỗ hổng SQL injection (CVE-2024-26026) và lỗ hổng OData injection (CVE-2024-21793) được phát hiện trong API BIG-IP Next Central Manager, cho phép kẻ tấn công không cần xác thực thực thi các câu lệnh SQL độc hại trên các thiết bị chưa được vá.
Các cuộc tấn công SQL injection liên quan đến việc chèn các truy vấn SQL độc hại vào các trường hoặc tham số đầu vào trong truy vấn cơ sở dữ liệu. Điều này cho phép thực thi các lệnh SQL ngoài ý muốn, dẫn đến truy cập trái phép, vi phạm dữ liệu và xâm phạm hệ thống.
Công ty bảo mật chuỗi cung ứng Eclypsium đã báo cáo các lỗ hổng và chia sẻ mã khai thác vào ngày 8/5 và cho biết, các tài khoản lừa đảo được tạo sau khi xâm phạm một phiên bản chưa được vá sẽ không hiển thị trên Next Central Manager, do đó nó có thể được sử dụng để duy trì hoạt động độc hại trong hệ thống của nạn nhân.
Công ty Eclypsium (Hoa Kỳ) cho biết: “Bảng điều khiển (console) quản lý của Central Manager có thể bị xâm phạm bởi bất kỳ kẻ tấn công nào có khả năng truy cập vào giao diện người dùng quản trị thông qua CVE 2024-21793 hoặc CVE 2024-26026”.
“Những kẻ tấn công sau đó có thể lợi dụng các lỗ hổng khác để tạo tài khoản mới trên bất kỳ tài sản (asset) BIG-IP Next nào, do Central Manager quản lý. Đáng chú ý, những tài khoản độc hại mới này sẽ không được hiển thị trong Central Manager”.
Luồng tấn công thông qua các lỗ hổng
Theo Eclypsium, hiện chưa có bằng chứng nào cho thấy hai lỗ hổng trên đã bị khai thác trong các cuộc tấn công trong thực tế.
Mặc dù, tỉ lệ triển khai BIG-IP Next Central Manage của F5 hiện chưa được xác định, nhưng thống kê từ Shodan cho thấy có hơn 10.000 thiết bị F5 BIG-IP với các cổng quản lý có thể được truy cập từ Internet.
Để giảm thiểu nguy cơ bị tấn công, người dùng nên cập nhật bản vá ngay khi có thể. F5 khuyến nghị những quản trị viên chưa thể cài đặt các bản cập nhật bảo mật mới ngay nên hạn chế quyền truy cập của Next Central Manager cho những người dùng đáng tin cậy qua mạng an toàn để giảm thiểu các rủi ro tiềm ẩn.
Hai năm trước, CISA cũng cảnh báo về việc khai thác rộng rãi một lỗ hổng F5 BIG-IP khác là CVE-2022-1388, cũng cho phép chiếm đoạt thiết bị trên các mạng của chính phủ và khu vực tư nhân, đồng thời chia sẻ hướng dẫn để ngăn chặn các cuộc tấn công đang diễn ra.
Hà Phương
10:00 | 22/04/2024
14:00 | 04/05/2024
08:00 | 04/05/2024
16:00 | 31/08/2024
Juventus lựa chọn Kiến trúc bảo mật Security Fabric và danh mục sản phẩm mạng bảo mật của Fortinet nhằm đơn giản hóa quản lý và giúp phát hiện, giải quyết các vấn đề mạng và bảo mật khắp các cơ sở nổi tiếng thế giới của câu lạc bộ này.
13:00 | 27/08/2024
Nhà sáng lập kiêm CEO của Telegram - Pavel Durov đã bị cảnh sát Pháp bắt giữ. Vụ việc có liên quan đến cáo buộc thiếu kiểm soát hoạt động tội phạm trên ứng dụng này.
09:00 | 02/08/2024
Google Chrome đã bổ sung tính năng App-Bound Encryption để bảo vệ cookie hiệu quả hơn trên Windows, cải thiện khả năng bảo mật và phòng chống trước các cuộc tấn công bằng phần mềm độc hại đánh cắp thông tin.
10:00 | 05/06/2024
Mới đây, hãng bảo mật Kaspersky đã phát hành một công cụ phòng chống virus mới có tên Kaspersky Virus Removal Tool (KVRT) dành cho nền tảng Linux, cho phép người dùng quét hệ thống của họ và loại bỏ phần mềm độc hại cũng như các mối đe dọa đã biết.
Sau khi bị tin tặc làm rò rỉ trực tuyến hơn 1 terabyte dữ liệu, Walt Disney có kế hoạch chuyển đổi ngừng sử dụng Slack - thuộc sở hữu của Salesforce, làm ứng dụng nhắn tin và làm việc nhóm tại nơi làm việc của toàn công ty.
09:00 | 08/10/2024