F5 ได้ออกมาประกาศถึง Patch อุดช่องโหว่ 2 รายการบน BIG-IP ระบบ Application Delivery Controller ของตนเอง โดยหนึ่งในช่องโหว่นี้มีคะแนน CVSS สูงถึง 10/10 เลยทีเดียว
![](https://www.techtalkthai.com/wp-content/uploads/2020/07/techtalkthai_2020_vulnerability_security_03-600x428.jpg)
ช่องโหว่เหล่านี้ได้แก่ CVE-2020-5902 และ CVE-2020-5903 ซึ่งเป็นช่องโหว่ในระบบ Traffic Management User Interface ซึ่งหากผู้โจมตีอาศัยช่องโหว่เหล่านี้ในการโจมตี ก็อาจส่งผลถึงการเข้ายึดระบบและอุปกรณ์ทั้งหมดได้เลย โดยช่องโหว่ CVE-2020-5902 นี้เป็นช่องโหว่ที่ทำให้ผู้โจมตีสามารถทำ Code Execution ได้ และได้คะแนน CVSS 10/10 ในขณะที่ช่องโหว่ CVE-2020-5903 เป็นช่องโหว่ด้าน JavaScript-based Cross-Site-Scripting ที่ได้รับคะแนน CVSS ถึง 7.5/10 คะแนน
Positive Technologies ผู้ค้นพบช่องโหว่นี้ได้ออกมาเผยตัวเลขคาดการณ์ว่าน่าจะมี F5 BIG-IP ที่สามารถเข้าถึงได้จากสาธารณะมากกว่า 10,000 ระบบ และระบบที่มีความเสี่ยงว่าอาจถูกโจมตีด้วยช่องโหว่เหล่นี้ก็มีไม่น้อยกว่า 8,000 ระบบเลยทีเดียว
สำหรับผู้ที่ใช้ F5 BIG-IP นั้น ก็มีคำแนะนำให้ทำการอัปเดตอุปกรณ์โดยด่วน โดย BIG-IP ตั้งแต่รุ่น 11 จนถึงรุ่น 15 นั้นต่างก็ได้รับผลกระทบจากช่องโหว่ดังกล่าวนี้ และ F5 ก็ได้ออก Firmware ใหม่เพื่ออุดช่องโหว่เหล่านี้แล้วใน F5 BIG-IP รุ่น 15.1.0.4, 14.1.2.6, 13.1.3.4, 12.1.5.2 และ 11.6.5.2 ส่วน F5 BIG-IQ และ F5 Traffix SDC นั้นไม่ได้รับผลกระทบจากช่องโหว่เหล่านี้แต่อย่างใด
ที่มา: https://www.theregister.com/2020/07/03/f5_critical_flaws_big_ip/