DDos
VIP Members
-
22/10/2013
-
524
-
2.191 bài viết
F5 phát hành bản vá cho các thiết bị BIG-IP và BIG-IQ
Nhà cung cấp thiết bị mạng và bảo mật doanh nghiệp F5 đã khắc phục tổng cộng 29 lỗ hổng tồn tại trên thiết bị mạng BIG-IP và BIG-IQ, một vài lỗ hổng trong số đó có mức độ nghiêm trọng cao. Khai thác thành công những lỗ hổng này có thể cho phép kẻ tấn công truy cập các tệp tùy ý, leo thang đặc quyền và thực thi mã JavaScript.
Trong số 29 lỗ hổng được vá, có 13 lỗ hổng với mức độ nghiêm trọng cao, 15 lỗ hổng có mức nghiêm trọng trung bình, và 1 lỗ hổng có mức độ nghiêm trọng thấp.
Lỗ hổng nghiêm trọng nhất có mã định danh CVE-2021-23031, với điểm CVSS 8.8, ảnh hưởng đến sản phẩm BIG-IP Advanced Web Application Firewall và BIG-IP Application Security Manager, cho phép kẻ tấn công đã xác thực leo thang đặc quyền từ đó chạy các lệnh tùy ý, dẫn đến kiểm soát hoàn toàn hệ thống.
Cần lưu ý rằng đối với những khách hàng đang sử dụng thiết bị ở chế độ Appliance Mode, và áp dụng các hạn chế kỹ thuật bổ sung, lỗ hổng này có điểm CVSS lên tới 9.9. F5 cho biết: "Cuộc tấn công chỉ có thể thực hiện bởi người dùng xác thực nên hạn chế khai thác bằng cách chỉ cấp quyền cho những người dùng đáng tin cậy".
Một số lỗ hổng được F5 vá bao gồm:
Công ty khuyến cáo người dùng và các quản trị viên cài đặt các bản cập nhật phần mềm hoặc áp dụng các biện pháp giảm thiểu cần thiết cho các sản phẩm bị ảnh hưởng.
Trong số 29 lỗ hổng được vá, có 13 lỗ hổng với mức độ nghiêm trọng cao, 15 lỗ hổng có mức nghiêm trọng trung bình, và 1 lỗ hổng có mức độ nghiêm trọng thấp.
Lỗ hổng nghiêm trọng nhất có mã định danh CVE-2021-23031, với điểm CVSS 8.8, ảnh hưởng đến sản phẩm BIG-IP Advanced Web Application Firewall và BIG-IP Application Security Manager, cho phép kẻ tấn công đã xác thực leo thang đặc quyền từ đó chạy các lệnh tùy ý, dẫn đến kiểm soát hoàn toàn hệ thống.
Cần lưu ý rằng đối với những khách hàng đang sử dụng thiết bị ở chế độ Appliance Mode, và áp dụng các hạn chế kỹ thuật bổ sung, lỗ hổng này có điểm CVSS lên tới 9.9. F5 cho biết: "Cuộc tấn công chỉ có thể thực hiện bởi người dùng xác thực nên hạn chế khai thác bằng cách chỉ cấp quyền cho những người dùng đáng tin cậy".
Một số lỗ hổng được F5 vá bao gồm:
- CVE-2021-23025 (điểm CVSS 7.2) - Lỗ hổng thực thi mã từ xa trong BIG-IP Configuration utility
- CVE-2021-23026 (điểm score 7.5) -Lỗ hổng gửi yêu cầu giả mạo (CSRF) trong iControl SOAP
- CVE-2021-23027 and CVE-2021-23037 (điểm CVSS 7.5) - Lỗ hổng XSS và DOM-XSS trong TMUI
- CVE-2021-23028 (điểm CVSS 7.5) - Lỗ hổng trong BIG-IP Advanced WAF và ASM
- CVE-2021-23029 (điểm CVSS 7.5) - Lỗ hổng trong BIG-IP Advanced WAF ASM TMUI
- CVE-2021-23030 and CVE-2021-23033 (điểm CVSS 7.5) - Lỗ hổng trong BIG-IP Advanced WAF và ASM Websocket
- CVE-2021-23032 (điểm CVSS 7.5) - lỗ hổng BIG-IP DNS
- CVE-2021-23034, CVE-2021-23035, and CVE-2021-23036 (điểm CVSS 7.5) - Lỗ hổng trong thành phần Traffic Management Microkernel của BIG-IP
Công ty khuyến cáo người dùng và các quản trị viên cài đặt các bản cập nhật phần mềm hoặc áp dụng các biện pháp giảm thiểu cần thiết cho các sản phẩm bị ảnh hưởng.
Theo: bleepingcomputer
Chỉnh sửa lần cuối bởi người điều hành: