Kiểm tra, rà soát hệ thống thông tin có khả năng bị ảnh hưởng bởi lỗ hổng và có phương án xử lý, khắc phục lỗ hổng. Thực hiện cập nhật bản vá kịp thời để tránh nguy cơ bị tấn công; đồng thời rà soát lại toàn bộ hệ thống thông tin của cơ quan, đơn vị, thường xuyên kiểm tra, đánh giá để chủ động phát hiện và xử lý kịp thời các lỗ hổng bảo mật (Chi tiết tại phụ lục kèm theo).
Tăng cường giám sát và sẵn sàng phương án xử lý khi phát hiện có dấu hiệu bị khai thác, tấn công mạng; đồng thời thường xuyên theo dõi kênh cảnh báo của các cơ quan chức năng và các tổ chức lớn về an toàn thông tin để phát hiện kịp thời các nguy cơ tấn công mạng.
Đầu mối liên hệ, hỗ trợ: Sở Thông tin và Truyền thông (Trung tâm Công nghệ thông tin và Truyền thông - Bộ phận thường trực Đội Ứng cứu sự cố an toàn thông tin mạng tỉnh Hà Nam). Điện thoại: 0226.3846333. Email: ttcntt@hanam.gov.vn; Trung tâm Giám sát an toàn thông tin mạng quốc gia (NCSC), Cục An toàn thông tin. Điện thoại di động: 0243.2091616. Email: ais@mic.gov.vn./.
Phụ lục
THÔNG TIN VỀ LỖ HỔNG BẢO MẬT
1. Thông tin lỗ hổng bảo mật
- Mô tả: Lỗ hổng tồn tại trong BIG-IP iControl REST cho phép đối tượng tấn công không cần xác thực có thể thực thi lệnh tùy ý, chiếm quyền điều khiển hệ thống.
- Điểm CVSS: 9.8 (Nghiêm trọng).
- Ảnh hưởng:
Sản phẩm | Phiên bản | Phiên bản bị ảnh hưởng | Bản vá |
BIG-IP (all modules) | 17.x | None | 17.0.0 |
| 16.x | 16.1.0 – 16.1.2 | 16.1.2.2 |
| 15.x | 15.1.0 – 15.1.5 | 15.1.5.1 |
| 14.x | 14.1.0 – 14.1.4 | 14.1.4.6 |
| 13.x | 13.1.0 – 13.1.4 | 13.1.5 |
| 12.x | 12.1.0 – 12.1.6 | Không hỗ trợ |
| 11.x | 11.6.1 – 11.6.5 | Không hỗ trợ |
2. Hướng dẫn kiểm tra và khắc phục lỗ hổng
Biện pháp tốt nhất để khắc phục là cập nhật bản vá cho các lỗ hổng bảo mật nói trên theo hướng dẫn của hãng. Cơ quan, đơn vị tham khảo các bản cập nhật phù hợp cho các sản phẩm đang sử dụng tại mục 1 của phụ lục.
Trong trường hợp chưa thể cập nhật bản vá cơ quan, đơn vị cần thực hiện các bước khắc phục thay thế để giảm nguy cơ bị tấn công như sau:
2.1. Chặn quyền truy cập iControl REST thông qua địa chỉ IP
Thay đổi cài đặt Port Lockdown thành Allow None cho từng địa chỉ IP riêng trên hệ thống.Trong trường hợp cần phải mở bất kỳ cổng nào, quản trị viên nên sử dụng tùy chọn Allow Custom (chú ý để không cho phép truy cập vào iControl REST).
Lưu ý: Việc thực hiện hành động này sẽ ngăn chặn tất cả quyền truy cập vào Configuration utility và iControl REST thông qua địa chỉ IP riêng. Những thay đổi này cũng có thể ảnh hưởng đến các dịch vụ khác, bao gồm cả việc phá vỡ cấu hình High Availability (HA).
2.2. Chặn quyền truy cập iControl REST thông qua giao diện quản lý
Quản trị viên nên hạn chế quyền truy cập vào giao diện quản lý đối với những người dùng và thiết bị đáng tin cậy. Để biết thêm thông tin và cách đảm bảo quyền truy cập vào hệ thống thông tin BIG-IP, tham khảo tại:
https://support.f5.com/csp/article/K13092
https://support.f5.com/csp/article/K46122561
https://support.f5.com/csp/article/K69354049
Lưu ý: Việc hạn chế quyền truy cập vào giao diện quản lý bằng địa chỉ IP trong httpd không phải là một biện pháp khắc phục khả thi.
2.3. Sửa đổi cấu hình BIG-IP httpd
Đối với các phiên bản BIG-IP 14.1.0 trở lên, BIG-IP 14.0.0 trở về trước, BIG-IP 14.1.0 trở lên:
Bước 1: Đăng nhập vào TMOS Shell (tmsh) của hệ thống BIG-IP bằng lệnh sau:
Bước 2: Mở cấu hình httpd để chỉnh sửa bằng cách nhập lệnh sau:
edit /sys httpd all-properties |
Bước 3: Xác định dòng lệnh bắt đầu với include none và thay thế none với đoạn sau:
" RequestHeader set connection close RequestHeader set connection keep-alive RequestHeader set connection close " |
Bước 4: Sau khi cập nhập lệnh include, sử dụng phím ESC để thoát khỏi chế độ tương tác của trình soạn thảo, cuối cùng lưu các thay đổi bằng lệnh sau:
Bước 5: Tại Save changes (y/n/e), chọn y để lưu các thay đổi.
Bước 6: Lưu cấu hình BIG-IP bằng cách nhận lệnh:
Đối với phiên bản BIG-IP 14.0.0 trở về trước:
Bước 1: Đăng nhập vào TMOS Shell (tmsh) của hệ thống BIG-IP bằng lệnh sau:
Bước 2: Mở cấu hình httpd để chỉnh sửa bằng cách nhập lệnh sau:
edit /sys httpd all-properties |
Bước 3: Xác định dòng lệnh bắt đầu với include none và thay thế none với đoạn sau:
"RequestHeader set connection close" |
Bước 4: Sau khi cập nhập lệnh include, sử dụng phím ESC để thoát khỏi chế độ tương tác của trình soạn thảo, cuối cùng lưu các thay đổi bằng lệnh sau:
Bước 5: Tại Save changes (y/n/e), chọn y để lưu các thay đổi.
Bước 6: Lưu cấu hình BIG-IP bằng cách nhận lệnh:
3. Nguồn tham khảo
https://support.f5.com/csp/article/K23605346