Lỗ hổng định danh CVE-2021-32941 (điểm CVSS là 9.4), là lỗ hổng tràn bộ đệm trên ngăn xếp ảnh hưởng đến dịch vụ web của đầu ghi video mạng N48PBB (NVR) do Annke sản xuất, cho phép kẻ tấn công từ xa thực thi mã tùy ý và truy cập các thông tin nhạy cảm.
Nozomi cho biết họ đã báo cáo lỗ hổng bảo mật này cho Annke vào ngày 11/7/2021 và đã phát hành bản vá thông qua bản cập nhật firmware vào ngày 22/7/2021. Theo một thông báo của Cơ quan An ninh mạng và Cơ sở hạ tầng Hoa Kỳ (CISA) công bố, sản phẩm bị ảnh hưởng của Annke được sử dụng ở nhiều quốc gia trên toàn thế giới.
Các nhà nghiên cứu của Nozomi đã phát hiện ra lỗ hổng trong đầu ghi video mạng N48PBB (NVR), được sử dụng để xem các luồng video trực tiếp, quản lý camera và lưu trữ video do camera quay được. Lỗ hổng này khi bị khai thác thành công có thể cho phép kẻ tấn công truy cập các video đã ghi, xóa cảnh quay, thay đổi cấu hình (ví dụ: cảnh báo phát hiện chuyển động) và vô hiệu hóa các camera hoặc NVR để ngăn chúng có thể ghi.
Nozomi đã tiến hành phân tích chi tiết về thiết bị, bao gồm việc trích xuất firmware bằng kết nối vật lý với bộ nhớ tích hợp trên bo mạch chủ của nó. Các nhà nghiên cứu ban đầu đã tìm thấy một lỗ hổng từ chối dịch vụ (DoS), nhưng phân tích sâu hơn cho thấy rằng nó có thể bị khai thác để thực thi mã từ xa với các đặc quyền root, dẫn đến thiết bị có thể bị xâm phạm hoàn toàn.
Bo mạch chủ của N48PBB
Để khai thác lỗ hổng yêu cầu phải xác thực, tuy nhiên việc thiếu các biện pháp bảo vệ chống cross-site request forgery (CSRF) cũng cho phép những kẻ tấn công nhắm mục tiêu vào một thiết bị mà không được xác thực. Qua đó, có thể đánh lừa người dùng hoặc quản trị viên đã đăng nhập để truy cập vào một trang web được thiết kế riêng, trong khi đăng nhập vào giao diện quản trị của NVR, để có thể thực thi mã độc bên ngoài trên chính thiết bị.
Nozomi cho biết: “Các hệ thống giám sát video hiện nay được xem là các thiết bị Internet of Things (IoT), những thiết bị này phải chịu nhiều rủi ro an ninh mạng tương tự như một số thiết bị mạng truyền thống khác. Ví dụ, mạng botnet Mirai nhắm mục tiêu vào các camera IP giống như các bộ định tuyến hoặc máy in, mục đích làm tổn hại chúng và sau đó được sử dụng cho các cuộc tấn công mạng quy mô lớn”.
Hiện bản cập nhật đã có trên cửa hàng trực tuyến của Annke. Công ty cũng khuyến cáo các khách hàng nên cài đặt các bản cập nhật trên thiết bị của họ càng sớm càng tốt, nhằm giảm thiểu nguy cơ bị tấn công.
Đinh Hồng Đạt
(Theo Securityweek)
15:00 | 16/09/2021
10:00 | 20/09/2021
08:00 | 23/08/2021
08:00 | 26/08/2021
16:00 | 17/12/2021
15:00 | 27/06/2022
09:00 | 13/10/2021
10:00 | 12/11/2021
15:00 | 31/08/2021
15:00 | 25/03/2024
Ngày 15/3/2024, Quỹ Tiền tệ Quốc tế (IMF) cho biết họ đã bị tấn công mạng sau khi những kẻ tấn công xâm phạm 11 tài khoản email của tổ chức này vào đầu năm nay.
09:00 | 28/02/2024
Đội ngũ chuyên gia an ninh mạng tại Kaspersky liên tục theo dõi sự phức tạp của các mối đe dọa đối với tổ chức tài chính, bao gồm cả ngân hàng và các mối đe dọa có động cơ tài chính như phần mềm tống tiền đang lan rộng đến nhiều ngành công nghiệp khác nhau. Trong bài viết này, các chuyên gia bảo mật Kaspersky sẽ đánh giá lại các dự đoán của họ trong năm 2023 và đưa ra những xu hướng dự kiến sẽ nổi lên trong năm 2024.
15:00 | 26/01/2024
Các nhà nghiên cứu bảo mật của công ty an ninh mạng Akamai (Mỹ) phát hiện ra một mạng botnet mới dựa trên Mirai có tên là NoaBot, hiện đang được các tác nhân đe dọa sử dụng như một phần của chiến dịch khai thác tiền điện tử đã hoạt động kể từ đầu năm 2023. Bài viết này sẽ phân tích về đặc điểm của NoaBot và công cụ khai thác tiền điện tử được sử dụng trong chiến dịch tấn công mạng botnet này.
14:00 | 30/11/2023
Cơ quan tình báo Ukraine mới đây đã tuyên bố thực hiện chiến dịch tấn công mạng vào Cơ quan Vận tải Hàng không Liên bang Nga - Rosaviatsiya và đưa ra thông tin về tình trạng suy yếu hiện tại của ngành hàng không Nga.
Trong một chiến dịch tấn công gần đây, các tác nhân đe dọa đã lạm dụng chức năng tìm kiếm của GitHub và sử dụng các kho lưu trữ được thiết kế đặc biệt để phát tán phần mềm độc hại nhằm đánh cắp các khoản thanh toán bằng tiền điện tử.
09:00 | 28/04/2024