Nhà cung cấp mạng phân phối ứng dụng và bảo mật đám mây (ADN) F5 hôm thứ Tư đã phát hành các bản vá để ngăn chặn 43 lỗi trên các sản phẩm của mình.
Trong số 43 vấn đề được giải quyết, một vấn đề được đánh giá là Nghiêm trọng, 17 vấn đề được đánh giá là Cao, 24 vấn đề được đánh giá là Trung bình và một vấn đề được đánh giá là mức độ nghiêm trọng thấp.
Đứng đầu trong số các lỗi là CVE-2022-1388, mang điểm CVSS là 9,8 trên tổng số tối đa 10 và xuất phát từ việc thiếu kiểm tra xác thực, có khả năng cho phép kẻ tấn công chiếm quyền kiểm soát hệ thống bị ảnh hưởng.
“Lỗ hổng này có thể cho phép kẻ tấn công không được xác thực có quyền truy cập mạng vào hệ thống BIG-IP thông qua cổng quản lý và / hoặc địa chỉ IP tự thực hiện các lệnh hệ thống tùy ý, tạo hoặc xóa tệp hoặc vô hiệu hóa dịch vụ”, F5 cho biết trong một lời khuyên. “Không có tiếp xúc mặt phẳng dữ liệu; đây chỉ là vấn đề máy bay điều khiển.”
Lỗ hổng bảo mật, mà công ty cho biết đã được phát hiện trong nội bộ, ảnh hưởng đến các sản phẩm BIG-IP với các phiên bản sau:
16.1.0 – 16.1.2 15.1.0 – 15.1.5 14.1.0 – 14.1.4 13.1.0 – 13.1.4 12.1.0 – 12.1.6 11.6.1 – 11.6.5
Các bản vá cho lỗ hổng bỏ qua xác thực iControl REST đã được giới thiệu trong các phiên bản 17.0.0, 16.1.2.2, 15.1.5.1, 14.1.4.6 và 13.1.5. Các sản phẩm F5 khác như Quản lý tập trung BIG-IQ, F5OS-A, F5OS-C và Traffix SDC không dễ bị tấn công bởi CVE-2022-1388.
F5 cũng đã đưa ra các giải pháp thay thế tạm thời cho đến khi các bản sửa lỗi có thể được áp dụng –
Chặn quyền truy cập iControl REST thông qua địa chỉ IP tự Chặn quyền truy cập iControl REST thông qua giao diện quản lý Sửa đổi cấu hình BIG-IP httpd
Các lỗi đáng chú ý khác được giải quyết như một phần của bản cập nhật bao gồm những lỗi có thể cho phép kẻ tấn công đã xác thực vượt qua các hạn chế của chế độ công cụ và thực thi mã JavaScript tùy ý trong ngữ cảnh của người dùng hiện đang đăng nhập.
Với các thiết bị F5 được triển khai rộng rãi trong các mạng doanh nghiệp, các tổ chức bắt buộc phải nhanh chóng áp dụng các bản vá để ngăn chặn các tác nhân đe dọa khai thác vectơ tấn công để truy cập ban đầu.
Các bản sửa lỗi bảo mật được đưa ra khi Cơ quan An ninh mạng và Cơ sở hạ tầng Hoa Kỳ (CISA) bổ sung 5 lỗ hổng mới vào Danh mục các lỗ hổng được khai thác đã biết dựa trên bằng chứng về việc khai thác tích cực –
.