-
09/04/2020
-
95
-
785 bài viết
Lỗ hổng nghiêm trọng trên F5 BIG-IP cho phép chiếm quyền root qua lệnh “save”
Lỗ hổng này có mã CVE-2025-31644, được đánh giá mức cao với điểm CVSS 8,7, ảnh hưởng đến các hệ thống F5 BIG-IP đang chạy ở chế độ Appliance mode. Lỗ hổng này cho phép người dùng quản trị đã xác thực thực thi lệnh bash tùy ý và giành quyền truy cập root trên thiết bị mục tiêu.
Lỗ hổng đã được F5 Networks xác nhận, ảnh hưởng đến cả hai thành phần: iControl REST API và giao diện dòng lệnh TMSH (Traffic Management Shell).
Lỗ hổng nằm ở tham số “file” của lệnh “save”, vốn được sử dụng để lưu cấu hình. Tham số này được xử lý không an toàn và truyền trực tiếp vào các script Perl hoặc lệnh hệ thống, khiến nó dễ bị chèn lệnh (command injection) thông qua các ký tự shell đặc biệt như dấu backtick (\)`.
Theo mô tả từ F5: “Việc khai thác thành công có thể cho phép kẻ tấn công vượt qua ranh giới bảo mật Appliance mode và thực thi các lệnh bash với quyền root.”
Mặc dù chỉ có tài khoản quản trị mới có quyền cung cấp đường dẫn file tùy chỉnh, rủi ro vẫn rất nghiêm trọng, đặc biệt nếu hệ thống đang được quản lý từ xa hoặc nằm trong môi trường phân tách mạng chặt chẽ.
Appliance mode trên F5 BIG-IP được thiết kế để ngăn người dùng truy cập trực tiếp vào shell, bảo vệ mặt điều khiển (control plane) khỏi bị xâm nhập. Tuy nhiên, lỗ hổng này phá vỡ rào cản đó, dẫn đến
Hai phương thức khai thác chính:
1. Qua API REST /mgmt
Ảnh: Badanoiu
2. Qua CLI TMSH (SSH)
Các tổ chức đang vận hành F5 BIG-IP trong Appliance mode nên cập nhật ngay bản vá bảo mật do F5 phát hành. Trì hoãn vá lỗi có thể khiến hệ thống bị tin tặc kiểm soát từ xa mà không để lại dấu vết rõ ràng.
Lỗ hổng đã được F5 Networks xác nhận, ảnh hưởng đến cả hai thành phần: iControl REST API và giao diện dòng lệnh TMSH (Traffic Management Shell).
Lỗ hổng nằm ở tham số “file” của lệnh “save”, vốn được sử dụng để lưu cấu hình. Tham số này được xử lý không an toàn và truyền trực tiếp vào các script Perl hoặc lệnh hệ thống, khiến nó dễ bị chèn lệnh (command injection) thông qua các ký tự shell đặc biệt như dấu backtick (\)`.
Theo mô tả từ F5: “Việc khai thác thành công có thể cho phép kẻ tấn công vượt qua ranh giới bảo mật Appliance mode và thực thi các lệnh bash với quyền root.”
Mặc dù chỉ có tài khoản quản trị mới có quyền cung cấp đường dẫn file tùy chỉnh, rủi ro vẫn rất nghiêm trọng, đặc biệt nếu hệ thống đang được quản lý từ xa hoặc nằm trong môi trường phân tách mạng chặt chẽ.
Appliance mode trên F5 BIG-IP được thiết kế để ngăn người dùng truy cập trực tiếp vào shell, bảo vệ mặt điều khiển (control plane) khỏi bị xâm nhập. Tuy nhiên, lỗ hổng này phá vỡ rào cản đó, dẫn đến
- Thực thi mã độc với quyền root
- Can thiệp vào cấu hình hệ thống
- Cấy backdoor duy trì truy cập
- Tạo điều kiện cho tấn công lateral movement
Hai phương thức khai thác chính:
1. Qua API REST /mgmt
Ảnh: Badanoiu
2. Qua CLI TMSH (SSH)
Danh sách phiên bản F5 BIG-IP bị ảnh hưởng:
Dòng sản phẩm | Phiên bản bị ảnh hưởng | Bản vá khắc phục |
|---|---|---|
17.x | 17.1.0 – 17.1.2 | 17.1.2.2 |
16.x | 16.1.0 – 16.1.5 | 16.1.6 |
15.x | 15.1.0 – 15.1.10 | 15.1.10.7 |
Các tổ chức đang vận hành F5 BIG-IP trong Appliance mode nên cập nhật ngay bản vá bảo mật do F5 phát hành. Trì hoãn vá lỗi có thể khiến hệ thống bị tin tặc kiểm soát từ xa mà không để lại dấu vết rõ ràng.
Theo Security Online