Qua công tác giám sát an toàn thông tin trên không gian mạng, Trung tâm Giám sát an toàn không gian mạng quốc gia (NCSC), Cục An toàn thông tin (Bộ Thông tin và Truyền thông) ghi nhận mã khai thác của lỗ hổng CVE-2023- 46747 cho phép đối tượng tấn công vượt qua cơ chế xác thực và lạm dụng tính năng Traffic Management User Interface (TMUI) nhằm thực thi mã từ xa.
Lỗ hổng CVE-2023-46747 được đánh giá ở mức độ nghiêm trọng, việc rà soát và nâng cấp phiên bản hoặc áp dụng biện pháp khắc phục thay thế cần được thực hiện ngay lập tức (thông tin chi tiết lỗ hổng bảo mật tại mục 1 của Phụ lục đính kèm).
Thực hiện khuyến nghị của Cục An toàn thông tin (Bộ Thông tin và Truyền thông) tại Công văn số 1943/CATTT-NCSC ngày 1-11-2023 về việc “lỗ hổng an toàn thông tin ảnh hưởng nghiêm trọng trong F5 BIG-IP”, Sở Thông tin và Truyền thông Tuyên Quang đã đề nghị các đơn vị, địa phương kiểm tra, rà soát, khắc phục kịp thời lỗ hổng nêu trên.
Cụ thể, kiểm tra, rà soát các sản phẩm F5 BIG-IP đang sử dụng có khả năng bị ảnh hưởng bởi lỗ hổng trên. Thực hiện nâng cấp lên phiên bản mới nhất để tránh nguy cơ bị tấn công; trong trường hợp chưa thể nâng cấp cần thực hiện làm theo hướng dẫn của hãng F5 (hướng dẫn chi tiết tại mục 2, 3 của Phụ lục đính kèm).
Các đơn vị, địa phương tăng cường giám sát và sẵn sàng phương án xử lý khi phát hiện có dấu hiệu bị khai thác, tấn công mạng; đồng thời, thường xuyên theo dõi kênh cảnh báo của các cơ quan chức năng và các tổ chức uy tín về an toàn thông tin.
Phụ lục Thông tin về các lỗ hổng bảo mật và hướng dẫn xử lý, khắc phục lỗ hổng bảo mật.
Phụ lục
THÔNG TIN VỀ CÁC LỖ HỔNG BẢO MẬT
(Kèm theo Công văn số 1545/STTTT-CNTT&BCVT ngày 04/ 11 /2023 của Sở Thông tin và Truyền thông)
1. Thông tin các lỗ hổng bảo mật - Mô tả: CVE-2023-46747 được đánh giá ở mức độ Nghiêm trọng (Điểm CVSS: 9.8) là lỗ hổng mới nhất được công bố sau bản vá đặc biệt (hotfix) của F5 và có liên quan chặt chẽ tới lỗ hổng CVE-2022-26377. Lỗ hổng mới xảy ra do lỗi Request Smuggling trong Apache JServ Protocol (AJP) được sử dụng bởi các thiết bị của hãng. Đối tượng tấn công có thể khai thác lỗ hổng này để vượt qua cơ chế xác thực và lạm dụng tính năng Traffic Management User Interface (TMUI) nhằm thực thi mã từ xa. Thông tin kỹ thuật của lỗ hổng đã được một số nhà nghiên cứu bảo mật công bố. - Ảnh hưởng: F5 BIG-IP (all modules) phiên bản từ 13.1.0 đến 13.1.5, từ 14.1.0 đến 14.1.5, từ 15.1.0 đến 15.1.10, từ 16.1.0 đến 16.1.4 và 17.1.0.
2. Hướng dẫn khắc phục Biện pháp tốt nhất để khắc phục lỗ hổng bảo mật nói trên là cập nhật lên phiên bản mới. Trong trường hợp chưa thể nâng cấp, Quý đơn vị cần thực hiện theo hướng dẫn của hãng F5 (https://my.f5.com/manage/s/article/K000137353).
3. Tài liệu tham khảo https://my.f5.com/manage/s/article/K000137353