Lỗ hổng trong BIG-IP Next Central Manager cho phép tin tặc kiểm soát thiết bị
Next Central Manager cho phép các quản trị viên kiểm soát các phiên bản và dịch vụ BIG-IP Next trên nền tảng on-premises hoặc cloud qua một giao diện người dùng quản lý thống nhất.
Hai lỗ hổng đã được vá bao gồm lỗ hổng SQL injection (CVE-2024-26026) và lỗ hổng OData injection (CVE-2024-21793) được phát hiện trong API BIG-IP Next Central Manager, cho phép kẻ tấn công không cần xác thực thực thi các câu lệnh SQL độc hại trên các thiết bị chưa được vá.
Các cuộc tấn công SQL injection liên quan đến việc chèn các truy vấn SQL độc hại vào các trường hoặc tham số đầu vào trong truy vấn cơ sở dữ liệu. Điều này cho phép thực thi các lệnh SQL ngoài ý muốn, dẫn đến truy cập trái phép, vi phạm dữ liệu và xâm phạm hệ thống.
Công ty bảo mật chuỗi cung ứng Eclypsium đã báo cáo các lỗ hổng và chia sẻ mã khai thác vào ngày 8/5 và cho biết, các tài khoản lừa đảo được tạo sau khi xâm phạm một phiên bản chưa được vá sẽ không hiển thị trên Next Central Manager, do đó nó có thể được sử dụng để duy trì hoạt động độc hại trong hệ thống của nạn nhân.
Công ty Eclypsium (Hoa Kỳ) cho biết: “Bảng điều khiển (console) quản lý của Central Manager có thể bị xâm phạm bởi bất kỳ kẻ tấn công nào có khả năng truy cập vào giao diện người dùng quản trị thông qua CVE 2024-21793 hoặc CVE 2024-26026”.
“Những kẻ tấn công sau đó có thể lợi dụng các lỗ hổng khác để tạo tài khoản mới trên bất kỳ tài sản (asset) BIG-IP Next nào, do Central Manager quản lý. Đáng chú ý, những tài khoản độc hại mới này sẽ không được hiển thị trong Central Manager”.
Luồng tấn công thông qua các lỗ hổng
Theo Eclypsium, hiện chưa có bằng chứng nào cho thấy hai lỗ hổng trên đã bị khai thác trong các cuộc tấn công trong thực tế.
Mặc dù, tỉ lệ triển khai BIG-IP Next Central Manage của F5 hiện chưa được xác định, nhưng thống kê từ Shodan cho thấy có hơn 10.000 thiết bị F5 BIG-IP với các cổng quản lý có thể được truy cập từ Internet.
Để giảm thiểu nguy cơ bị tấn công, người dùng nên cập nhật bản vá ngay khi có thể. F5 khuyến nghị những quản trị viên chưa thể cài đặt các bản cập nhật bảo mật mới ngay nên hạn chế quyền truy cập của Next Central Manager cho những người dùng đáng tin cậy qua mạng an toàn để giảm thiểu các rủi ro tiềm ẩn.
Hai năm trước, CISA cũng cảnh báo về việc khai thác rộng rãi một lỗ hổng F5 BIG-IP khác là CVE-2022-1388, cũng cho phép chiếm đoạt thiết bị trên các mạng của chính phủ và khu vực tư nhân, đồng thời chia sẻ hướng dẫn để ngăn chặn các cuộc tấn công đang diễn ra.
Hà Phương