Lỗ hổng RCE nghiêm trọng (CVSS 10) của F5 BIG-IP

Lỗ hổng RCE nghiêm trọng (CVSS 10) của F5 BIG-IP

July 6, 2020 | vietsunshine

Các nhà nghiên cứu an ninh mạng đã đưa ra một cảnh báo bảo mật cho các doanh nghiệp và chính phủ trên toàn cầu để ngay lập tức vá lỗ hổng thực thi mã từ xa rất nghiêm trọng ảnh hưởng đến các thiết bị mạng BIG-IP của F5 chạy các máy chủ bảo mật ứng dụng.

Lỗ hổng, được gán CVE-2020-5902 và được đánh giá là rất nghiêm trọng với điểm CVSS là 10 trên 10,  có thể cho phép những kẻ tấn công từ xa kiểm soát hoàn toàn các hệ thống được nhắm mục tiêu, cuối cùng có được sự giám sát đối với dữ liệu ứng dụng.

Theo Mikhail Klyuchnikov, một nhà nghiên cứu bảo mật tại Positive Technologies, người đã phát hiện ra lỗ hổng và báo cáo với F5 Networks, vấn đề nằm trong một tiện ích cấu hình có tên là Traffic Management User Interface (TMUI) cho bộ điều khiển phân phối ứng dụng BIG-IP (ADC).

BIG-IP ADC đang được sử dụng bởi các doanh nghiệp lớn, trung tâm dữ liệu và môi trường điện toán đám mây, cho phép họ thực hiện tăng tốc ứng dụng, cân bằng tải, giảm tải SSL và tường lửa ứng dụng web.

Lỗ hổng RCE của F5 BIG-IP (CVE-2020-5902)

Kẻ tấn công không được xác thực có thể khai thác từ xa lỗ hổng này bằng cách gửi yêu cầu HTTP được tạo độc hại đến máy chủ dễ bị tổn thương lưu trữ tiện ích Traffic Management User Interface (TMUI) cho cấu hình BIG-IP.

Khai thác thành công lỗ hổng này có thể cho phép kẻ tấn công giành quyền kiểm soát toàn bộ quản trị viên trên thiết bị, cuối cùng khiến họ thực hiện bất kỳ nhiệm vụ nào họ muốn trên thiết bị bị xâm nhập.

Lỗ hổng RCE nghiêm trọng (CVSS 10) của F5 BIG-IP_1

“Kẻ tấn công có thể tạo hoặc xóa các tệp, vô hiệu hóa các dịch vụ, chặn thông tin, chạy các lệnh hệ thống và mã Java tùy ý, thỏa hiệp hoàn toàn hệ thống và theo đuổi các mục tiêu xa hơn, như mạng nội bộ,” Klyuchnikov nói.

“RCE trong trường hợp này là kết quả của lỗi bảo mật trong nhiều thành phần, chẳng hạn như một thành phần cho phép khai thác truyền tải thư mục (directory traversal exploitation).”

Tính đến tháng 6 năm 2020, hơn 8.000 thiết bị đã được xác định trực tuyến là tiếp xúc trực tiếp với internet, trong đó 40% tại Hoa Kỳ, 16% ở Trung Quốc, 3% ở Đài Loan, 2,5% ở Canada và Indonesia và ít hơn 1% ở Nga, công ty an ninh nói.

Lỗ hổng XSS của F5 BIG-IP (CVE-2020-5903)

Bên cạnh đó, Klyuchnikov cũng báo cáo lỗ hổng XSS (được gán CVE-2020-5903 với điểm CVSS là 7.5) trong giao diện cấu hình BIG-IP có thể cho phép kẻ tấn công từ xa chạy mã JavaScript độc hại khi người dùng quản trị viên đăng nhập.

“Nếu người dùng có quyền quản trị viên và quyền truy cập vào Advanced Shell (bash), việc khai thác thành công có thể dẫn đến sự thỏa hiệp hoàn toàn của BIG-IP thông qua RCE,” nhà nghiên cứu cho biết.

Các phiên bản bị ảnh hưởng và bản cập nhật

Các công ty bị ảnh hưởng khi đang sử dụng các phiên bản BIG-IP 11.6.x, 12.1.x, 13.1.x, 14.1.x, 15.0.x, 15.1.x được khuyến nghị để cập nhật thiết bị của họ lên các phiên bản mới nhất 11.6.5.2, 12.1 .5.2, 13.1.3.4, 14.1.2.6, 15.1.0.4 càng sớm càng tốt.

Ngoài ra, người dùng của các thị trường đám mây công cộng như AWS (Amazon Web Services), Azure, GCP và Alibaba cũng được khuyên nên chuyển sang các phiên bản BIG-IP Virtual Edition (VE) 11.6.5.2, 12.1.5.2, 13.1.3.4, 14.1. 2.6, 15.0.1.4 hoặc 15.1.0.4, ngay khi có sẵn.

Nguồn: Critical RCE Flaw (CVSS 10) Affects F5 BIG-IP Application Security Servers

Xem thêm:

Tags: , ,