F5 vá lỗ hổng thực thi mã từ xa nghiêm trọng trong BIG-IP và BIG-IQ

Thứ hai - 25/03/2024 13:29
Các nhà nghiên cứu an ninh mạng đã phát hiện một số lỗ hổng nghiêm trọng cho phép kẻ tấn công thực thi mã từ xa ảnh hưởng đến sản phẩm của F5 là BIG-IP và BIG-IQ.

F5 vá lỗ hổng thực thi mã từ xa nghiêm trọng trong BIG-IP và BIG-IQ

Hai trong số các lỗ hổng của F5 được mô tả là các lỗ hổng thực thi mã từ xa nghiêm trọng và được gán mã định danh CVE. Tuy nhiên, các lỗ hổng còn lại không được F5 công nhận và cho rằng đây là các vấn đề liên quan đến việc bỏ qua bảo mật.

Lỗ hổng nghiêm trọng thứ nhất định danh CVE-2022-41622 có điểm CVSS 8,8. Đây là lỗ hổng cross-site request forgery (CSRF). Khai thác thành công lỗ hổng này có thể cho phép kẻ tấn công từ xa, không được xác thực có quyền truy cập root vào giao diện quản lý của thiết bị, ngay cả khi giao diện đó không công khai trên Internet.

Tuy nhiên, việc khai thác yêu cầu kẻ tấn công phải có một số kiến thức về mạng của nạn nhân và cần đánh lừa quản trị viên đã đăng nhập truy cập trang web độc hại được thiết lập sẵn. F5 cho biết: Nếu bị khai thác, lỗ hổng có thể gây ảnh hưởng đến toàn bộ hệ thống.

Lỗ hổng thứ hai có định danh CVE-2022-41800 cho phép kẻ tấn công có đặc quyền quản trị viên thực thi các lệnh shell tùy ý thông qua các tập tin RPM.

Ngoài ra, một số vấn đề khác cũng được báo cáo bao gồm leo thang đặc quyền cục bộ thông qua các quyền của Unix socket không hợp lệ và hai phương pháp bypass SELinux.

Các nhà nghiên cứu tin rằng việc khai thác rộng rãi các lỗ hổng này là không thể. Tuy nhiên, khách hàng F5 nên cập nhật bản vá, không chủ quan vì các thiết bị BIG-IP luôn là mục tiêu ưa thích của tin tặc.

Tác giả bài viết: M.H

Nguồn tin: antoanthongtin

Tổng số điểm của bài viết là: 0 trong 0 đánh giá

Click để đánh giá bài viết

  Ý kiến bạn đọc

Những tin mới hơn

Những tin cũ hơn

Giới Thiệu

Giới thiệu về trung tâm

Trung tâm Công nghệ thông tin và Truyền thông Sơn La, được thành lập từ 20/12/2004, tại Quyết định số 189/2004/QĐ-UB, của UBND tỉnh Sơn La, tiền thân là Trung tâm tin học trực thuộc Văn phòng UBND tỉnh Sơn La. Chính thức được đổi tên thành Trung tâm Công nghệ thông tin và Truyền thông tỉnh Sơn La từ...

Thăm dò ý kiến

Bạn biết đến website trung tâm CNTT & Truyền thông qua kênh thông tin nào

Ảnh hoạt động
IMG-7754.jpg IMG-7795.jpg IMG-7801.jpg IMG-7771.jpg 20170719-092244.jpg 20170719-092505.jpg
Liên kết nhanh
Thống kê
  • Đang truy cập34
  • Hôm nay6,945
  • Tháng hiện tại136,597
  • Tổng lượt truy cập9,417,587
Hỗ Trợ Online
Soi Keo Bong Da,
Bạn đã không sử dụng Site, Bấm vào đây để duy trì trạng thái đăng nhập. Thời gian chờ: 60 giây