Ngày 03 tháng 2 năm 2023Ravie Lakshmanan An ninh mạng / Lỗ hổng bảo mật
F5 đã cảnh báo về một lỗ hổng nghiêm trọng cao ảnh hưởng đến các thiết bị BIG-IP có thể dẫn đến tấn công từ chối dịch vụ (DoS) hoặc thực thi mã tùy ý.
Sự cố bắt nguồn từ giao diện Giao thức truy cập đối tượng đơn giản iControl (SOAP) và ảnh hưởng đến các phiên bản BIG-IP sau –
13.1.5 14.1.4.6 – 14.1.5 15.1.5.1 – 15.1.8 16.1.2.2 – 16.1.3 và 17.0.0
“Lỗ hổng chuỗi định dạng tồn tại trong iControl SOAP cho phép kẻ tấn công được xác thực làm hỏng quy trình iControl SOAP CGI hoặc có khả năng thực thi mã tùy ý”, công ty cho biết trong một lời khuyên. “Ở chế độ thiết bị BIG-IP, việc khai thác thành công lỗ hổng này có thể cho phép kẻ tấn công vượt qua ranh giới bảo mật.”
Được theo dõi là CVE-2023-22374 (điểm CVSS: 7,5/8,5), nhà nghiên cứu bảo mật Ron Bowes của Rapid7 đã được ghi nhận là người đã phát hiện và báo cáo lỗ hổng vào ngày 6 tháng 12 năm 2022.
Do giao diện iCOntrol SOAP chạy bằng quyền root, nên việc khai thác thành công có thể cho phép tác nhân đe dọa kích hoạt thực thi mã từ xa trên thiết bị với tư cách là người dùng root. Điều này có thể đạt được bằng cách chèn các ký tự chuỗi định dạng tùy ý vào một tham số truy vấn được chuyển đến một chức năng ghi nhật ký có tên là nhật ký hệ thống, Bowes nói.
F5 lưu ý rằng nó đã giải quyết vấn đề trong một hotfix kỹ thuật có sẵn cho các phiên bản BIG-IP được hỗ trợ. Như một giải pháp thay thế, công ty khuyến nghị người dùng hạn chế quyền truy cập vào iControl SOAP API chỉ cho những người dùng đáng tin cậy.
Cisco vá lỗi chèn lệnh trong Cisco IOx
Tiết lộ được đưa ra khi Cisco phát hành các bản cập nhật để sửa một lỗ hổng trong môi trường lưu trữ ứng dụng Cisco IOx (CVE-2023-20076, điểm CVSS: 7.2) có thể mở ra cơ hội cho kẻ tấn công từ xa, được xác thực thực thi các lệnh tùy ý với quyền root trên máy chủ bên dưới hệ điều hành.
Lỗ hổng ảnh hưởng đến các thiết bị chạy phần mềm Cisco IOS XE và đã bật tính năng Cisco IOx, cũng như ISR công nghiệp sê-ri 800, Điểm truy cập Catalyst, Mô-đun điện toán CGR1000, Cổng điện toán công nghiệp IC3000, Bộ định tuyến công nghiệp IR510 WPAN.
Công ty an ninh mạng Trellix, đã xác định vấn đề, cho biết nó có thể được vũ khí hóa để tiêm các gói độc hại theo cách có thể tiếp tục khởi động lại hệ thống và nâng cấp chương trình cơ sở, khiến chúng chỉ có thể bị xóa sau khi khôi phục cài đặt gốc.
“Kẻ xấu có thể sử dụng CVE-2023-20076 để giả mạo một cách ác ý một trong những thiết bị Cisco bị ảnh hưởng ở bất kỳ đâu trong chuỗi cung ứng này”, nó cho biết, đồng thời cảnh báo về các mối đe dọa tiềm ẩn đối với chuỗi cung ứng rộng lớn hơn. “Mức độ truy cập mà CVE-2023-20076 cung cấp có thể cho phép cài đặt và ẩn các cửa hậu, khiến việc giả mạo hoàn toàn minh bạch đối với người dùng cuối.”
Mặc dù việc khai thác yêu cầu kẻ tấn công phải được xác thực và có đặc quyền của quản trị viên, nhưng điều đáng chú ý là kẻ thù có thể tìm nhiều cách khác nhau để leo thang đặc quyền, chẳng hạn như lừa đảo hoặc bằng ngân hàng với khả năng người dùng có thể đã không thay đổi được thông tin đăng nhập mặc định.
Trellix cũng phát hiện ra một thủ thuật bỏ qua kiểm tra bảo mật trong quá trình trích xuất kho lưu trữ TAR, có thể cho phép kẻ tấn công ghi trên hệ điều hành máy chủ cơ sở với tư cách là người dùng root.
Chuyên gia về thiết bị mạng, sau đó đã khắc phục lỗi, cho biết lỗ hổng này không gây rủi ro ngay lập tức vì “mã được đặt ở đó để hỗ trợ đóng gói ứng dụng trong tương lai.”
