Lỗ hổng bảo mật RCE nghiêm trọng vừa được phát hiện trên máy chủ ứng dụng F5 BIG-IP

Mới đây, các nhà nghiên cứu an ninh mạng đã đưa ra một cảnh báo bảo mật tới các doanh nghiệp và tổ chức chính phủ trên toàn cầu nhằm thông báo về một lỗ hổng thực thi mã từ xa đặc biệt nghiêm trọng gây ảnh hưởng đến các thiết bị mạng F5 BIG-IP chạy trên các máy chủ bảo mật ứng dụng.

Được đặt tên CVE-2020-5902, lỗ hổng này được đánh giá là đặc biệt nghiêm trọng với điểm CVSS là 10/10, có thể cho phép kẻ tấn công từ xa kiểm soát hoàn toàn các hệ thống mục tiêu, và cuối cùng chiếm quyền giám sát các dữ liệu ứng dụng mà chúng kiểm soát.

Theo Mikhail Klyuchnikov, nhà nghiên cứu bảo mật tại Positive Technologies, người đã phát hiện ra lỗ hổng và báo cáo với F5 Networks, vấn đề bắt nguồn từ một tiện ích cấu hình có tên là Traffic Management User Interface (TMUI) của mạng phân phối ứng dụng BIG-IP (ADC – Application Delivery Controller/Network).

BIG-IP ADC hiện đang được sử dụng trong nhiều doanh nghiệp lớn, trung tâm dữ liệu và các môi trường điện toán đám mây, cho phép họ thực hiện tăng tốc ứng dụng, cân bằng tải (load balancing), điều hòa tốc độ (rate shaping), giảm tải SSL (SSL offloading) và tường lửa website (WAF).

Lỗ hổng F5 BIG-IP ADC RCE (CVE-2020-5902)

Một kẻ tấn công không xác thực có thể khai thác lỗ hổng này từ xa bằng cách gửi một HTTP request độc hại đến máy chủ bị xâm nhập đang lưu trữ tiện ích Traffic Management User Interface (TMUI) cho cấu hình BIG-IP.

Khai thác thành công lỗ hổng này có thể cho phép kẻ tấn công chiếm được toàn bộ đặc quyền kiểm soát của quản trị viên, và cuối cùng khiến các thiết bị bị ảnh hưởng thực hiện bất kỳ tác vụ nào mà chúng muốn và không cần qua bất cứ khâu xác thực nào.

 “Kẻ tấn công có thể tạo hoặc xóa các file, vô hiệu hóa các dịch vụ, chặn thông tin, cho chạy các mã Java và lệnh hệ thống tùy ý, xâm nhập vào toàn bộ hệ thống và nhắm tới các mục tiêu quan trọng hơn như mạng nội bộ,” Klyuchnikov nói.

“Trong trường hợp này, thực thi mã từ xa (RCE) là hậu quả của các lỗi bảo mật trong nhiều thành phần khác nhau, chẳng hạn như một lỗi bị khai thác dẫn đến tấn công directory traversal.”

Tính đến tháng 6 năm 2020, có khoảng hơn 8.000 thiết bị được xác định đã tiếp xúc trực tiếp với internet, 40% trong số đó là ở Hoa Kỳ, 16% ở Trung Quốc, 3% ở Đài Loan, 2,5% ở Canada và Indonesia, và ít hơn 1% ở Nga, công ty an ninh mạng này cho biết.

Tuy nhiên, chuyên gia bảo mật này cũng cho biết thêm hầu hết các công ty sử dụng sản phẩm bị ảnh hưởng không cho phép truy cập vào giao diện cấu hình bị xâm nhập từ internet.

Lỗ hổng F5 BIG-IP ADC XSS (CVE-2020-5903)

Bên cạnh đó, Klyuchnikov cũng đã báo cáo lỗ hổng XSS (được đặt tên CVE-2020-5903 với điểm CVSS là 7.5) xuất hiện trong giao diện cấu hình BIG-IP, có thể cho phép kẻ tấn công từ xa chạy mã JavaScript độc hại với tư cách là quản trị viên hệ thống.

“Nếu kẻ tấn công chiếm được đặc quyền quản trị viên và quyền truy cập vào Advanced Shell (bash), thì việc khai thác thành công các lỗ hổng này sẽ dẫn đến BIG-IP bị chiếm quyền điều khiển hoàn toàn thông qua RCE,” chuyên gia bảo mật này cho biết.

Các phiên bản bị ảnh hưởng và bản vá bảo mật

Các công ty và quản trị viên bị ảnh hưởng do sử dụng các phiên bản BIG-IP có chứa lỗ hổng bảo mật như 11.6.x, 12.1.x, 13.1.x, 14.1.x, 15.0.x, 15.1.x được khuyến nghị cập nhật lên các phiên bản mới nhất 11.6.5.2, 12.1 .5.2, 13.1.3.4, 14.1.2.6, 15.1.0.4 sớm nhất có thể.

Ngoài ra, người dùng của các thị trường public cloud (đám mây công cộng) như AWS (Amazon Web Services), Azure, GCP và Alibaba cũng được khuyến nghị nên chuyển sang các phiên bản BIG-IP Virtual Edition (VE) 11.6.5.2, 12.1.5.2, 13.1.3.4, 14.1. 2.6, 15.0.1.4 hoặc 15.1.0.4, ngay khi chúng được cập nhật.

Giám sát hệ thống để phát hiện các lỗ hổng mới nhất

Người dùng doanh nghiệp có thể sử dụng các sản phẩm giám sát môi trường cloud services để phát hiện sớm nhất các lỗ hổng tương tự như BIG-IP trong tương lai.

Theo The HackerNews