Các nhà nghiên cứu an ninh mạng hôm nay đã đưa ra một cảnh báo tư vấn bảo mật cho các doanh nghiệp và chính phủ trên toàn cầu để ngay lập tức vá lỗ hổng thực thi mã từ xa rất quan trọng ảnh hưởng đến các thiết bị mạng BIG-IP của F5 chạy các máy chủ bảo mật ứng dụng.
Các lỗ hổng, được giao CVE-2020-5902 và được đánh giá là rất quan trọng với điểm CVSS là 10 trên 10, có thể cho phép những kẻ tấn công từ xa kiểm soát hoàn toàn các hệ thống được nhắm mục tiêu, cuối cùng có được sự giám sát đối với dữ liệu ứng dụng mà chúng quản lý.
Theo Mikhail Klyuchnikov, một nhà nghiên cứu bảo mật tại Công nghệ Tích cực đã phát hiện ra lỗ hổng và báo cáo với F5 Networks, vấn đề nằm trong một tiện ích cấu hình có tên là Giao diện người dùng quản lý lưu lượng truy cập (TMUI) cho bộ điều khiển phân phối ứng dụng BIG-IP (ADC).
BIG-IP ADC đang được sử dụng bởi các doanh nghiệp lớn, trung tâm dữ liệu và môi trường điện toán đám mây, cho phép họ thực hiện tăng tốc ứng dụng, cân bằng tải, định hình tốc độ, giảm tải SSL và tường lửa ứng dụng web.
F5 Lỗ hổng ADC RCE BIG-IP (CVE-2020-5902)
Kẻ tấn công không được xác thực có thể khai thác từ xa lỗ hổng này bằng cách gửi yêu cầu HTTP được tạo độc hại đến máy chủ dễ bị tổn thương lưu trữ tiện ích Giao diện người dùng quản lý lưu lượng truy cập (TMUI) cho cấu hình BIG-IP.
Khai thác thành công lỗ hổng này có thể cho phép kẻ tấn công giành quyền kiểm soát toàn bộ quản trị viên trên thiết bị, cuối cùng khiến họ thực hiện bất kỳ nhiệm vụ nào họ muốn trên thiết bị bị xâm nhập mà không có sự cho phép.
“Kẻ tấn công có thể tạo hoặc xóa các tệp, vô hiệu hóa các dịch vụ, chặn thông tin, chạy các lệnh hệ thống và mã Java tùy ý, thỏa hiệp hoàn toàn hệ thống và theo đuổi các mục tiêu xa hơn, như mạng nội bộ,” Klyuchnikov nói.
“RCE trong trường hợp này là kết quả của lỗi bảo mật trong nhiều thành phần, chẳng hạn như một thành phần cho phép khai thác truyền tải thư mục.”
Tính đến tháng 6 năm 2020, hơn 8.000 thiết bị đã được xác định trực tuyến là tiếp xúc trực tiếp với internet, trong đó 40% cư trú tại Hoa Kỳ, 16% ở Trung Quốc, 3% ở Đài Loan, 2,5% ở Canada và Indonesia và ít hơn 1% ở Nga, công ty an ninh nói.
Tuy nhiên, Klyuchnikov cũng nói rằng hầu hết các công ty sử dụng sản phẩm bị ảnh hưởng không cho phép truy cập vào giao diện cấu hình dễ bị tổn thương của internet.
Lỗ hổng F5 BIG-IP ADC XSS (CVE-2020-5903)
Bên cạnh đó, Klyuchnikov cũng báo cáo lỗ hổng XSS (được chỉ định CVE-2020-5903 với điểm CVSS là 7.5) trong giao diện cấu hình BIG-IP có thể cho phép kẻ tấn công từ xa chạy mã JavaScript độc hại với tư cách là người dùng quản trị viên đã đăng nhập.
“Nếu người dùng có quyền quản trị viên và quyền truy cập vào Advanced Shell (bash), việc khai thác thành công có thể dẫn đến sự thỏa hiệp hoàn toàn của BIG-IP thông qua RCE,” nhà nghiên cứu cho biết.
Phiên bản bị ảnh hưởng và cập nhật bản vá
Các công ty và quản trị viên bị ảnh hưởng dựa trên các phiên bản BIG-IP dễ bị tổn thương 11.6.x, 12.1.x, 13.1.x, 14.1.x, 15.0.x, 15.1.x được khuyến nghị mạnh mẽ để cập nhật thiết bị của họ lên các phiên bản mới nhất 11.6.5.2, 12.1 .5.2, 13.1.3.4, 14.1.2.6, 15.1.0.4 càng sớm càng tốt.
Ngoài ra, người dùng của các thị trường đám mây công cộng như AWS (Amazon Web Services), Azure, GCP và Alibaba cũng được khuyên nên chuyển sang các phiên bản BIG-IP Virtual Edition (VE) 11.6.5.2, 12.1.5.2, 13.1.3.4, 14.1. 2.6, 15.0.1.4 hoặc 15.1.0.4, ngay khi có sẵn.
