-
06/07/2013
-
797
-
1.308 bài viết
Cảnh báo lỗ hổng RCE trong F5 BIG-IP ADC
Một lỗ hổng RCE trong sản phẩm BIG-IP của F5 vừa được phát hiện có mã CVE-2020-5902 và được đánh giá là nghiêm trọng với điểm CVSS (Common Vulnerability Scoring System) là 10/10. Nếu khai thác thành công lỗ hổng này những kẻ tấn công có thể thực thi mã từ xa và chiếm toàn quyền điều khiển hệ thống.
Theo Mikhail Klyuchnikov, nhà nghiên cứu bảo mật tại Positive Technologies đã tìm ra lỗ hổng và báo cáo đến F5 Networks, lỗ hổng RCE phát hiện trong Traffic Management User Interface (TMUI) hay được biết là tiện ích cấu hình cho BIG-IP application delivery controller (ADC).
BIG-IP ADC đang được sử dụng bởi các chính phủ, công ty thuộc top 500 Fortune doanh nghiệp lớn, các nhà cung cấp dịch vụ, các khách hàng tên tuổi (bao gồm Microsoft, Oracle, và Facebook), những trung tâm dữ liệu và môi trường điện toán đám mây, cho phép họ thực hiện tăng tốc ứng dụng, cân bằng tải, rate shaping (phân loại và gán độ ưu tiên cho luồng traffic), SSL offloading và tường lửa ứng dụng web (WAF).
Lỗ hổng RCE trong F5 BIG-IP ADC (CVE-2020-5902)
Một kẻ tấn công không được xác thực có thể khai thác lỗ hổng này từ xa bằng cách gửi một HTTP request độc hại đến máy chủ chứa Traffic Management User Interface (TMUI) - tiện ích cấu hình cho BIG-IP.
Khai thác thành công lỗ hổng này kẻ tấn công có thể giành toàn quyền quản trị viên trên thiết bị và thực hiện bất kì tác vụ nào họ muốn trên thiết bị đã chiếm quyền.
"Kẻ tấn công có thể tạo hoặc xóa các tập tin, vô hiệu hóa các dịch vụ, chặn thông tin, thực thi các lệnh hệ thống và mã Java tùy ý, chiếm toàn quyền điều khiển hệ thống và tiến đến các mục tiêu xa hơn, như mạng nội bộ," Klyuchnikov cho biết.
Đến tháng 6 năm 2020, hơn 8.000 thiết bị đã được xác định là đã tiếp xúc trực tiếp với internet, trong đó 40% đặt tại Hoa Kỳ, 16% ở Trung Quốc, 3% ở Đài Loan, 2,5% ở Canada và Indonesia và dưới 1% ở Nga, Klyuchnikov nói.
Tuy nhiên, Klyuchnikov cũng nói rằng hầu hết các công ty sử dụng sản phẩm BIG-IP ADC bị ảnh hưởng không cho phép truy cập vào giao diện cấu hình từ internet.
Lỗ hổng XSS trong F5 BIG-IP ADC (CVE-2020-5903)
Bên cạnh đó, Klyuchnikov cũng báo cáo lỗ hổng XSS (được gán mã CVE-2020-5903 với điểm CVSS là 7.5) trong giao diện cấu hình BIG-IP có thể cho phép kẻ tấn công từ xa thực thi mã JavaScript độc hại với tư cách là người dùng quản trị viên đã đăng nhập.
"Nếu người dùng có quyền quản trị và quyền truy cập vào Advanced Shell (bash), nếu khai thác thành công có thể dẫn đến chiếm quyền điều khiển BIG-IP thông qua RCE," nhà nghiên cứu cho hay.
Những phiên bản bị ảnh hưởng và cập nhật bản vá
Những sản phẩm BIG-IP có phiên bản tồn tại lỗ hổng 11.6.x, 12.1.x, 13.1.x, 14.1.x, 15.0.x, 15.1.x được khuyến nghị cập nhật lên các phiên bản mới nhất 11.6.5.2, 12.1.5.2, 13.1.3.4, 14.1.2.6, 15.1.0.4 càng sớm càng tốt. Chi tiết trong bảng bên dưới:
Người dùng của các thị trường đám mây công cộng như AWS, Azure, GCP và Alibaba nên chuyển sang các phiên bản BIG-IP Virtual Edition (VE) phiên bản 11.6.5.2, 12.1.5.2, 13.1.3.4, 14.1.2.6, 15.0.1.4 hoặc 15.1.0.4, nếu có thể.
Hiện tại, ở Việt Nam một số tập đoàn lớn, cơ quan chính phủ đang dùng BIG-IP, các quản trị nên kiểm tra và cập nhật bản vá, tăng cường an ninh tránh bị khai thác.
Theo Mikhail Klyuchnikov, nhà nghiên cứu bảo mật tại Positive Technologies đã tìm ra lỗ hổng và báo cáo đến F5 Networks, lỗ hổng RCE phát hiện trong Traffic Management User Interface (TMUI) hay được biết là tiện ích cấu hình cho BIG-IP application delivery controller (ADC).
BIG-IP ADC đang được sử dụng bởi các chính phủ, công ty thuộc top 500 Fortune doanh nghiệp lớn, các nhà cung cấp dịch vụ, các khách hàng tên tuổi (bao gồm Microsoft, Oracle, và Facebook), những trung tâm dữ liệu và môi trường điện toán đám mây, cho phép họ thực hiện tăng tốc ứng dụng, cân bằng tải, rate shaping (phân loại và gán độ ưu tiên cho luồng traffic), SSL offloading và tường lửa ứng dụng web (WAF).
Lỗ hổng RCE trong F5 BIG-IP ADC (CVE-2020-5902)
Một kẻ tấn công không được xác thực có thể khai thác lỗ hổng này từ xa bằng cách gửi một HTTP request độc hại đến máy chủ chứa Traffic Management User Interface (TMUI) - tiện ích cấu hình cho BIG-IP.
Khai thác thành công lỗ hổng này kẻ tấn công có thể giành toàn quyền quản trị viên trên thiết bị và thực hiện bất kì tác vụ nào họ muốn trên thiết bị đã chiếm quyền.
"Kẻ tấn công có thể tạo hoặc xóa các tập tin, vô hiệu hóa các dịch vụ, chặn thông tin, thực thi các lệnh hệ thống và mã Java tùy ý, chiếm toàn quyền điều khiển hệ thống và tiến đến các mục tiêu xa hơn, như mạng nội bộ," Klyuchnikov cho biết.
Đến tháng 6 năm 2020, hơn 8.000 thiết bị đã được xác định là đã tiếp xúc trực tiếp với internet, trong đó 40% đặt tại Hoa Kỳ, 16% ở Trung Quốc, 3% ở Đài Loan, 2,5% ở Canada và Indonesia và dưới 1% ở Nga, Klyuchnikov nói.
Tuy nhiên, Klyuchnikov cũng nói rằng hầu hết các công ty sử dụng sản phẩm BIG-IP ADC bị ảnh hưởng không cho phép truy cập vào giao diện cấu hình từ internet.
Lỗ hổng XSS trong F5 BIG-IP ADC (CVE-2020-5903)
Bên cạnh đó, Klyuchnikov cũng báo cáo lỗ hổng XSS (được gán mã CVE-2020-5903 với điểm CVSS là 7.5) trong giao diện cấu hình BIG-IP có thể cho phép kẻ tấn công từ xa thực thi mã JavaScript độc hại với tư cách là người dùng quản trị viên đã đăng nhập.
"Nếu người dùng có quyền quản trị và quyền truy cập vào Advanced Shell (bash), nếu khai thác thành công có thể dẫn đến chiếm quyền điều khiển BIG-IP thông qua RCE," nhà nghiên cứu cho hay.
Những phiên bản bị ảnh hưởng và cập nhật bản vá
Những sản phẩm BIG-IP có phiên bản tồn tại lỗ hổng 11.6.x, 12.1.x, 13.1.x, 14.1.x, 15.0.x, 15.1.x được khuyến nghị cập nhật lên các phiên bản mới nhất 11.6.5.2, 12.1.5.2, 13.1.3.4, 14.1.2.6, 15.1.0.4 càng sớm càng tốt. Chi tiết trong bảng bên dưới:
Người dùng của các thị trường đám mây công cộng như AWS, Azure, GCP và Alibaba nên chuyển sang các phiên bản BIG-IP Virtual Edition (VE) phiên bản 11.6.5.2, 12.1.5.2, 13.1.3.4, 14.1.2.6, 15.0.1.4 hoặc 15.1.0.4, nếu có thể.
Nguồn: The Hacker News, Bleeping Computer
Hiện tại, ở Việt Nam một số tập đoàn lớn, cơ quan chính phủ đang dùng BIG-IP, các quản trị nên kiểm tra và cập nhật bản vá, tăng cường an ninh tránh bị khai thác.