F5 Khắc Phục Hơn 50 Lỗ Hổng Bảo Mật Nghiêm Trọng

F5 vừa công bố các bản cập nhật bảo mật quan trọng, giải quyết tổng cộng hơn 50 lỗ hổng ảnh hưởng đến các dòng sản phẩm BIG-IP, BIG-IQ và NGINX. Trong số này, có 19 lỗ hổng được đánh giá là nghiêm trọng (high-severity) và 32 lỗ hổng mức độ trung bình.

F5 Vulnerability

Lỗ hổng nguy hiểm nhất được khắc phục trong đợt này là CVE-2026-42945, với điểm số CVSS v4.0 là 9.2. Đây là lỗi từ chối dịch vụ (DoS) nằm trong module ngx_http_rewrite_module của NGINX. Lỗi này cho phép kẻ tấn công chưa được xác thực gửi các yêu cầu HTTP được tạo đặc biệt. Trong một số điều kiện cụ thể, hành động này có thể kích hoạt tràn bộ nhớ đệm heap (heap buffer overflow) và gây khởi động lại hệ thống. Đáng lo ngại hơn, nếu cơ chế Address Space Layout Randomization (ASLR) bị vô hiệu hóa, kẻ tấn công có thể khai thác lỗi này để thực thi mã.

Tiếp theo là lỗ hổng CVE-2026-41225 (điểm số 8.6), ảnh hưởng đến iControl REST. Lỗi này cho phép một kẻ tấn công đã xác thực và có quyền quản lý (Manager permissions) tạo ra các đối tượng cấu hình, dẫn đến việc thực thi lệnh.

"Lỗ hổng này có thể cho phép kẻ tấn công có quyền cao với quyền truy cập mạng vào điểm cuối iControl REST bị ảnh hưởng thông qua cổng quản lý BIG-IP hoặc địa chỉ IP tự định nghĩa để leo thang đặc quyền hoặc vượt qua các hạn chế của chế độ Thiết bị (Appliance mode)," F5 giải thích.

Ngoài ra, F5 cũng đã vá các lỗ hổng thực thi mã từ xa (RCE) và tiêm lệnh từ xa (CVE-2026-41957, CVE-2026-34176, CVE-2026-39459) trong BIG-IP, tuy nhiên các lỗi này yêu cầu kẻ tấn công phải được xác thực.

Các lỗ hổng nghiêm trọng còn lại có thể dẫn đến việc vượt qua hạn chế, can thiệp tệp tùy ý và gây ra tình trạng DoS, chủ yếu thông qua việc khiến Traffic Management Microkernel (TMM) bị chấm dứt hoạt động. Các vấn đề mức độ trung bình được giải quyết trong tuần này có thể dẫn đến việc vượt qua bảo vệ, leo thang đặc quyền, lộ thông tin và nhiều rủi ro khác.

Hiện tại, chưa có bằng chứng nào cho thấy các lỗ hổng này đang bị khai thác tích cực trong tự nhiên. Người dùng được khuyến nghị cập nhật ngay lập tức theo thông báo bảo mật hàng quý của F5.