Hai trong số các lỗ hổng của F5 được mô tả là các lỗ hổng thực thi mã từ xa nghiêm trọng và được gán mã định danh CVE. Tuy nhiên, các lỗ hổng còn lại không được F5 công nhận và cho rằng đây là các vấn đề liên quan đến việc bỏ qua bảo mật.
Lỗ hổng nghiêm trọng thứ nhất định danh CVE-2022-41622 có điểm CVSS 8,8. Đây là lỗ hổng cross-site request forgery (CSRF). Khai thác thành công lỗ hổng này có thể cho phép kẻ tấn công từ xa, không được xác thực có quyền truy cập root vào giao diện quản lý của thiết bị, ngay cả khi giao diện đó không công khai trên Internet.
Tuy nhiên, việc khai thác yêu cầu kẻ tấn công phải có một số kiến thức về mạng của nạn nhân và cần đánh lừa quản trị viên đã đăng nhập truy cập trang web độc hại được thiết lập sẵn. F5 cho biết: Nếu bị khai thác, lỗ hổng có thể gây ảnh hưởng đến toàn bộ hệ thống.
Lỗ hổng thứ hai có định danh CVE-2022-41800 cho phép kẻ tấn công có đặc quyền quản trị viên thực thi các lệnh shell tùy ý thông qua các tập tin RPM.
Ngoài ra, một số vấn đề khác cũng được báo cáo bao gồm leo thang đặc quyền cục bộ thông qua các quyền của Unix socket không hợp lệ và hai phương pháp bypass SELinux.
Các nhà nghiên cứu tin rằng việc khai thác rộng rãi các lỗ hổng này là không thể. Tuy nhiên, khách hàng F5 nên cập nhật bản vá, không chủ quan vì các thiết bị BIG-IP luôn là mục tiêu ưa thích của tin tặc.
M.H
11:00 | 08/07/2020
14:00 | 14/12/2022
14:00 | 16/12/2022
08:00 | 21/03/2024
14:00 | 10/09/2021
17:00 | 30/09/2022
10:00 | 02/10/2024
Trong tháng 9, Microsoft, Adobe và SAP đã phát hành bản vá cho các sản phẩm của mình. Người dùng cần khẩn trương cài đặt bản vá để phòng tránh rủi ro mất an toàn thông tin.
14:00 | 24/09/2024
Vừa qua, Google đưa thông báo rằng người dùng sử dụng Passkey để đăng nhập vào các ứng dụng và trang web giờ đây có thể lưu nó trên nhiều thiết bị chứ không chỉ trên thiết bị Android của họ.
07:00 | 23/09/2024
Ngày 12/9, các cơ quan quản lý của Liên minh châu Âu cho biết, họ đang vào cuộc điều tra mô hình ngôn ngữ Pathways 2 (PaLM2) - một trong những mô hình trí tuệ nhân tạo của Google do lo ngại về việc tuân thủ các quy tắc bảo mật dữ liệu GDPR.
16:00 | 19/09/2024
Theo thông tin của Wall Street, một số dữ liệu của Walt Disney bao gồm thông tin tài chính và chiến lược, cũng như thông tin nhận dạng cá nhân của một số nhân viên và khách hàng đã bị rò rỉ trực tuyến.
Trong cuộc gặp với Tổng Bí thư, Chủ tịch nước Tô Lâm tại New York vào ngày 25/9, Tim Hughes, Phó Chủ tịch cấp cao của SpaceX, tập đoàn hàng đầu thế giới cung cấp dịch vụ tàu vũ trụ, phóng vệ tinh và truyền thông vệ tinh đã đánh giá cao tiềm năng phát triển dịch vụ Internet vệ tinh tại Việt Nam và cho biết dự định đầu tư 1,5 tỷ USD vào Việt Nam trong thời gian tới.
10:00 | 01/10/2024