Cơ quan An ninh Cơ sở hạ tầng và An ninh mạng Hoa Kỳ (CISA) đã bổ sung một lỗ hổng CVE F5 BIG-IP mới được tiết lộ vào danh mục Các Lỗ hổng Đang bị Khai thác (KEV) của mình, cảnh báo rằng lỗ hổng này đang bị khai thác tích cực trong các cuộc tấn công thực tế.
Lỗ hổng này, được theo dõi dưới mã định danh CVE-2025-53521, đã chính thức được liệt kê vào ngày 27 tháng 3 năm 2026, với thời hạn khắc phục là ngày 30 tháng 3 năm 2026, áp dụng cho các cơ quan liên bang.
Chi tiết kỹ thuật lỗ hổng CVE F5 BIG-IP: CVE-2025-53521
CVE-2025-53521 được mô tả là một lỗ hổng không xác định trong F5 BIG-IP Access Policy Manager (APM).
Lỗ hổng này có thể cho phép kẻ tấn công thực thi mã từ xa (Remote Code Execution – RCE).
Mặc dù các chi tiết kỹ thuật cụ thể vẫn còn hạn chế, tiềm năng khai thác không cần xác thực hoặc với độ phức tạp thấp đã gây ra mối quan ngại đáng kể trong cộng đồng an ninh mạng.
Sự lo ngại này đặc biệt lớn khi các thiết bị BIG-IP được triển khai rộng rãi trong các mạng doanh nghiệp và chính phủ.
Khả năng Remote Code Execution cho phép kẻ tấn công kiểm soát hoàn toàn hệ thống bị ảnh hưởng, gây ra rủi ro nghiêm trọng về an toàn thông tin.
Tình hình khai thác và cảnh báo từ CISA
Việc CISA đưa lỗ hổng CVE-2025-53521 vào danh mục KEV của họ xác nhận rằng các tác nhân đe dọa đã và đang khai thác vấn đề này trên thực tế.
Thông tin này có thể được kiểm tra thêm tại CISA Known Exploited Vulnerabilities Catalog.
Hiện tại, chưa có xác nhận rõ ràng về việc lỗ hổng này có liên quan đến các chiến dịch mã độc tống tiền (ransomware) hay không.
Tuy nhiên, CISA đã nhấn mạnh rằng các lỗ hổng cho phép RCE thường xuyên bị vũ khí hóa trong các hoạt động sau xâm nhập.
Các hoạt động này bao gồm di chuyển ngang (lateral movement) trong mạng và đánh cắp dữ liệu (data exfiltration).
Mục tiêu hấp dẫn đối với các tác nhân đe dọa
Trong lịch sử, các lỗ hổng CVE F5 BIG-IP luôn là mục tiêu hấp dẫn.
Chúng được nhắm đến bởi cả các nhóm có động cơ tài chính và các tác nhân được tài trợ, do vai trò quan trọng của F5 BIG-IP trong quản lý lưu lượng, xác thực và phân phối ứng dụng an toàn.
Việc khai thác các hệ thống như vậy có thể cung cấp cho kẻ tấn công quyền kiểm soát cấp cao đối với cơ sở hạ tầng mạng.
Điều này biến F5 BIG-IP thành một điểm vào có giá trị cao cho các chiến dịch tấn công phức tạp.
Hướng dẫn ứng phó và các biện pháp giảm thiểu từ CISA
CISA đã chỉ đạo các cơ quan thuộc Chi nhánh Điều hành Dân sự Liên bang (FCEB) phải áp dụng ngay lập tức các biện pháp giảm thiểu do nhà cung cấp cung cấp.
Trong trường hợp không có bản vá hoặc giải pháp thay thế, CISA yêu cầu ngừng sử dụng các hệ thống bị ảnh hưởng.
Chỉ thị này nằm trong khuôn khổ Chỉ thị Vận hành Ràng buộc (BOD) 22-01, một quy định bắt buộc khắc phục nhanh chóng các lỗ hổng được liệt kê trong danh mục KEV.
Thời hạn để các cơ quan liên bang hoàn thành việc cập nhật bản vá hoặc áp dụng các biện pháp khắc phục cho CVE-2025-53521 là ngày 30 tháng 3 năm 2026.
Khuyến nghị từ F5 và các bước hành động
F5 đã ban hành hướng dẫn để giải quyết vấn đề này, và các tổ chức được khuyến cáo mạnh mẽ tuân thủ các bước giảm thiểu chính thức mà không chậm trễ.
Việc không thực hiện cập nhật bản vá kịp thời có thể để lại hệ thống trong tình trạng dễ bị tổn thương nghiêm trọng.
Các đội ngũ an ninh cần xem xét nhật ký và giám sát các dấu hiệu bị xâm nhập, đặc biệt là các hoạt động quản trị bất thường hoặc thay đổi cấu hình trái phép trong môi trường BIG-IP.
Ví dụ, việc kiểm tra các thay đổi cấu hình gần đây có thể được thực hiện thông qua các lệnh CLI.
# Kiểm tra các thay đổi gần đây trong cấu hình BIG-IP
tmsh show sys config diff
# Xem trạng thái dịch vụ quan trọng
tmsh show sys service
Việc giám sát liên tục là một phần quan trọng của chiến lược bảo mật để phát hiện các hoạt động bất thường.
Phân tích rủi ro và các biện pháp bảo mật chủ động
Việc bổ sung nhanh chóng CVE-2025-53521 vào danh mục KEV nhấn mạnh một xu hướng liên tục của các tác nhân tấn công nhắm mục tiêu vào các thiết bị biên (edge devices) và các thành phần cơ sở hạ tầng mạng.
Các hệ thống này thường nằm ở các giao điểm quan trọng trong môi trường doanh nghiệp, khiến chúng trở thành mục tiêu có giá trị cao để giành quyền truy cập ban đầu và duy trì sự hiện diện.
Với sự thiếu hụt thông tin công khai chi tiết, các nhà phòng thủ nên giả định rằng các kỹ thuật khai thác có thể phát triển nhanh chóng.
Do đó, việc cập nhật bản vá và áp dụng các biện pháp phòng ngừa là vô cùng cần thiết.
Các biện pháp bảo vệ cần thiết
- Phân đoạn mạng (Network segmentation): Cô lập các hệ thống BIG-IP khỏi các phần còn lại của mạng để hạn chế di chuyển ngang nếu bị xâm nhập.
- Kiểm soát truy cập nghiêm ngặt (Strict access controls): Thực hiện nguyên tắc đặc quyền tối thiểu (least privilege) cho tất cả người dùng và dịch vụ truy cập vào F5 BIG-IP.
- Giám sát liên tục (Continuous monitoring): Triển khai các giải pháp IDS/IPS và SIEM để phát hiện các dấu hiệu tấn công hoặc hoạt động bất thường.
- Quản lý bản vá hiệu quả: Thiết lập quy trình nhanh chóng để cập nhật bản vá bảo mật ngay khi chúng được phát hành.
Các tổ chức đang sử dụng sản phẩm F5 BIG-IP nên coi lỗ hổng này là một rủi ro ưu tiên cao và hành động ngay lập tức để giảm thiểu khả năng bị xâm nhập.
0 Nhận xét