F5 vá lỗ hổng thực thi mã từ xa nghiêm trọng trong BIG-IP và BIG-IQ

10:00 | 24/11/2022 | TIN TỨC SẢN PHẨM

Các nhà nghiên cứu an ninh mạng đã phát hiện một số lỗ hổng nghiêm trọng cho phép kẻ tấn công thực thi mã từ xa ảnh hưởng đến sản phẩm của F5 là BIG-IP và BIG-IQ.

F5 vá lỗ hổng thực thi mã từ xa nghiêm trọng trong BIG-IP và BIG-IQ

Hai trong số các lỗ hổng của F5 được mô tả là các lỗ hổng thực thi mã từ xa nghiêm trọng và được gán mã định danh CVE. Tuy nhiên, các lỗ hổng còn lại không được F5 công nhận và cho rằng đây là các vấn đề liên quan đến việc bỏ qua bảo mật.

Lỗ hổng nghiêm trọng thứ nhất định danh CVE-2022-41622 có điểm CVSS 8,8. Đây là lỗ hổng cross-site request forgery (CSRF). Khai thác thành công lỗ hổng này có thể cho phép kẻ tấn công từ xa, không được xác thực có quyền truy cập root vào giao diện quản lý của thiết bị, ngay cả khi giao diện đó không công khai trên Internet.

Tuy nhiên, việc khai thác yêu cầu kẻ tấn công phải có một số kiến thức về mạng của nạn nhân và cần đánh lừa quản trị viên đã đăng nhập truy cập trang web độc hại được thiết lập sẵn. F5 cho biết: Nếu bị khai thác, lỗ hổng có thể gây ảnh hưởng đến toàn bộ hệ thống.

Lỗ hổng thứ hai có định danh CVE-2022-41800 cho phép kẻ tấn công có đặc quyền quản trị viên thực thi các lệnh shell tùy ý thông qua các tập tin RPM.

Ngoài ra, một số vấn đề khác cũng được báo cáo bao gồm leo thang đặc quyền cục bộ thông qua các quyền của Unix socket không hợp lệ và hai phương pháp bypass SELinux.

Các nhà nghiên cứu tin rằng việc khai thác rộng rãi các lỗ hổng này là không thể. Tuy nhiên, khách hàng F5 nên cập nhật bản vá, không chủ quan vì các thiết bị BIG-IP luôn là mục tiêu ưa thích của tin tặc.

M.H

‹ › ×

Tin liên quan

Cảnh báo nguy cơ tấn công mạng vào các hệ thống thông tin dùng thiết bị F5 BIG-IP

11:00 | 08/07/2020

Nguy cơ tấn công mạng vào hệ thống thông tin của các cơ quan, tổ chức sử dụng thiết bị F5 BIG-IP vừa được Trung tâm Giám sát an toàn không gian mạng quốc gia (NCSC) thuộc Cục An toàn thông tin, Bộ TT&TT cảnh báo tới các đơn vị chuyên trách CNTT của các Bộ, ngành, địa phương; các tập đoàn, tổng công ty nhà nước và các ngân hàng, tổ chức tài chính.

Phát hiện lỗ hổng nghiêm trọng trong máy tính xách tay Acer

14:00 | 14/12/2022

Nhà nghiên cứu bảo mật của ESET (Slovakia) phát hiện một lỗ hổng ảnh hưởng đến nhiều mẫu máy tính xách tay Acer có thể cho phép kẻ tấn công vô hiệu hóa tính năng “Khởi động an toàn” (Secure Boot) và vượt qua các biện pháp bảo vệ để cài đặt phần mềm độc hại.

Lỗ hổng cho phép nâng cao đặc quyền trong Grafana

14:00 | 16/12/2022

Đầu tháng 12/2022, giải pháp nguồn mở giúp giám sát và phân tích dữ liệu Grafana, được cập nhật để khắc phục lỗ hổng zero-day có mức độ nghiêm trọng cao cho phép kẻ tấn công nâng cao đặc quyền từ Editor lên Admin.

Fortinet phát hành bản vá cho lỗ hổng thực thi mã từ xa

08:00 | 21/03/2024

Mới đây, Fortinet đã phát hành bản vá cho các lỗ hổng bảo mật. Trong đó, có 2 lỗ hổng nghiêm trọng dẫn đến việc thực thi mã từ xa có định danh CVE-2023-42789 và CVE-2023-48788.

F5 phát hành bản vá bảo mật cho các thiết bị BIG-IP và BIG-IQ

14:00 | 10/09/2021

Nhà cung cấp thiết bị mạng và bảo mật doanh nghiệp F5 vừa qua đã phát hành bản vá cho các lỗ hổng bảo mật ảnh hưởng đến nhiều phiên bản của thiết bị BIG-IP và BIG-IQ của hãng, có khả năng cho phép kẻ tấn công truy cập các tệp tùy ý, leo thang đặc quyền và thực thi mã JavaScript độc hại.

Cảnh báo lỗ hổng thực thi mã từ xa trên Sophos Firewall

17:00 | 30/09/2022

Công ty phần mềm an ninh máy tính và bảo mật phần cứng Sophos (Anh) đã cảnh báo về lỗ hổng bảo mật nghiêm trọng trong sản phẩm Firewall của hãng đang bị khai thác trong thực tế.

Tin cùng chuyên mục

DeepSeek sắp ra mắt mô hình R2

15:00 | 04/03/2025

Tiếp nối thành công của mô hình R1 được trình làng vào tháng 01 vừa qua, DeepSeek đang đẩy nhanh tiến độ ra mắt mô hình R2.

Các nền tảng kỹ thuật số cam kết tăng cường nỗ lực kiểm soát thông tin sai lệch

14:00 | 20/02/2025

Ngày 13/2, Liên minh châu Âu (EU) thông báo, các nền tảng kỹ thuật số đã cam kết tăng cường nỗ lực kiểm soát thông tin sai lệch theo bộ quy tắc ứng xử của khối vốn có hiệu lực từ ngày 1/7/2025. Tuy nhiên, mạng xã hội X của tỷ phú Elon Musk không tham gia cam kết này.

Lệnh cấm TikTok được Tòa án Tối cao Mỹ chấp nhận xem xét

08:00 | 20/12/2024

Ngày 18/12, Tòa án Tối cao Mỹ quyết định sẽ tổ chức phiên tranh luận về vụ việc vào ngày 10/1/2025, thay vì ngay lập tức đưa ra lệnh khẩn cấp để tạm dừng lệnh cấm như yêu cầu của TikTok, ByteDance và một số người dùng.

Microsoft phát hành bản vá Patch Tuesday tháng 12 khắc phục 71 lỗ hổng bảo mật

10:00 | 11/12/2024

Mới đây, Microsoft đã phát hành bản vá Patch Tuesday tháng 12 để giải quyết 71 lỗ hổng bảo mật. Đáng lưu ý, bản vá lần này khắc phục 01 lỗ hổng zero-day đang bị khai thác tích cực trong thực tế.