Các lỗ hổng gồm CVE-2021-1609 và CVE-2021-1610 nằm trong giao diện quản lý trên web của Small Business RV340, RV340W, RV345 và bộ định tuyến Dual WAN Gigabit VPN (RV345P) chạy firmware phiên bản trước 1.0.03.22. Cả hai lỗ hổng này đều xuất phát từ việc thiếu xác thực các yêu cầu HTTP, do đó cho phép kẻ tấn công gửi yêu cầu HTTP được tạo đặc biệt tới một thiết bị bị ảnh hưởng.
Việc khai thác thành công lỗ hổng CVE-2021-1609 có thể cho phép kẻ tấn công thực thi mã tùy ý trên thiết bị hoặc khiến thiết bị tải lại, dẫn đến tình trạng DoS. Trong khi đó, CVE-2021-1610 là một lỗ hổng tiêm lệnh, nếu bị khai thác có thể cho phép kẻ tấn công thực hiện các lệnh tùy ý từ xa với đặc quyền root trên thiết bị.
Bên cạnh đó, Cisco cũng xử lý một lỗ hổng thực thi mã từ xa khác có mức độ nghiêm trọng định danh CVE-2021-1602 ảnh hưởng đến các Bộ định tuyến VPN RV160, RV160W, RV260, RV260P và RV260W dành cho các doanh nghiệp nhỏ. Lỗ hổng có thể bị kẻ tấn công từ xa lợi dụng để thực thi các lệnh tùy ý trên hệ điều hành của thiết bị. Các bộ định tuyến RV Series dành cho doanh nghiệp nhỏ chạy phiên bản trước 1.0.01.04 bị ảnh hưởng.
Lỗ hổng tồn tại do xác thực đầu vào người dùng không đầy đủ. Kẻ tấn công có thể khai thác lỗ hổng này bằng cách gửi một yêu cầu đặc biệt tới giao diện quản lý trên web. Khai thác thành công có thể cho phép kẻ tấn công thực hiện các lệnh tùy ý trên thiết bị bằng cách sử dụng các đặc quyền root.
Lỗ hổng CVE-2021-1602 đánh dấu lần thứ hai Cisco sửa các lỗ hổng thực thi mã từ xa quan trọng liên quan đến cùng một bộ thiết bị VPN. Đầu tháng 02/2021, hãng đã vá 35 lỗ hổng có khả năng cho phép kẻ tấn công từ xa thực thi mã tùy ý với tư cách là người dùng gốc trên một thiết bị bị ảnh hưởng.
M.H
08:00 | 20/07/2021
14:00 | 19/05/2021
14:00 | 26/10/2021
10:00 | 27/05/2022
14:00 | 10/12/2021
09:00 | 06/10/2021
08:00 | 28/04/2021
08:00 | 12/03/2024
Hai lỗ hổng lần lượt có mã định danh CVE-2024-24401 và CVE-2024-24402 được tìm thấy trong Nagios XI - một công cụ giám sát hạ tầng mạng trong doanh nghiệp. Đáng lưu ý, cả hai lỗ hổng đều chưa có điểm CVSS.
14:00 | 16/01/2024
Công ty phát triển trò chơi Android - Ateam (Nhật Bản) chứng minh rằng một lỗi cấu hình Google Drive đơn giản có thể dẫn đến nguy cơ lộ thông tin nhạy cảm trong khoảng thời gian hơn 6 năm vừa qua.
08:00 | 12/01/2024
Mới đây, Microsoft cho biết sẽ tiếp tục vô hiệu hóa trình xử lý giao thức MSIX ms-appinstaller theo mặc định sau khi bị nhiều tác nhân đe dọa lạm dụng để phát tán phần mềm độc hại.
10:00 | 10/11/2023
Meta - Công ty sở hữu mạng xã hội Facebook cho biết, sẽ cấm các quảng cáo chính trị sử dụng những công cụ quảng cáo trang bị công nghệ trí tuệ nhân tạo (AI).
Trong hai ngày 09/4 và 11/4, lần lượt tại Hà Nội và Thành phố Hồ Chí Minh, Công ty Cổ phần Tin học Mi Mi (Mi2) đã tổ chức thành công Hội thảo "Bảo vệ dữ liệu Microsoft 365 quy mô lớn và chuẩn bị cho Copilot Generative AI".
16:00 | 15/04/2024