Vào ngày 23/9/2024, Nhà nghiên cứu bảo mật Simone Margaritelli công bố báo cáo tiết lộ lỗ hổng thực thi lệnh từ xa chưa được xác thực ảnh hưởng đến tất cả các hệ thống GNU/Linux. Lỗ hổng được đánh giá là nghiêm trọng và có điểm CVSS là 9,9.
Margaritelli cho biết: “Kẻ tấn công từ xa không được xác thực có thể bí mật thay thế các URL IPP của máy in hiện có (hoặc cài đặt máy in mới) bằng một URL độc hại, dẫn đến việc thực thi lệnh tùy ý (trên máy tính) khi bắt đầu công việc in (từ máy tính đó)”.
Được biết, CUPS là hệ thống in mã nguồn mở dành cho Linux và các hệ điều hành Unix khác, bao gồm ArchLinux, Debian, Fedora, Red Hat Enterprise Linux (RHEL), ChromeOS, FreeBSD, NetBSD, OpenBSD, openSUSE và SUSE Linux. Các lỗ hổng được gắn mã định danh như sau: CVE-2024-47176, CVE-2024-47076, CVE-2024-47175 và CVE-2024-47177.
Hậu quả tất yếu của những lỗ hổng này là chúng có thể bị những kẻ tấn công lạm dụng thành một chuỗi khai thác, cho phép chúng tạo ra một thiết bị in giả độc hại trên hệ thống Linux chạy CUPS thông qua mạng và thực thi lệnh từ xa khi gửi lệnh in.
Công ty bảo mật mạng Ontinue (Mỹ) chia sẻ: “Các lỗ hổng xuất phát từ việc xác thực dữ liệu mạng không đầy đủ, cho phép kẻ tấn công cài đặt trình điều khiển máy in độc hại vào hệ thống dễ bị tấn công, sau đó gửi lệnh in đến trình điều khiển đó để kích hoạt thực thi mã độc hại. Sau đó mã độc được thực thi với quyền của người dùng lp, không phải root”.
Red Hat cho biết tất cả các phiên bản của hệ điều hành đều bị ảnh hưởng bởi bốn lỗ hổng trên, nhưng lưu ý rằng chúng không dễ bị tấn công trong cấu hình mặc định. “Bằng cách liên kết nhóm lỗ hổng này lại với nhau, kẻ tấn công có khả năng thực thi mã từ xa, từ đó có thể dẫn đến đánh cắp dữ liệu nhạy cảm”, Red Hat nhấn mạnh.
Công ty an ninh mạng Rapid7 (Mỹ) chỉ ra rằng các hệ thống bị ảnh hưởng có thể bị khai thác từ mạng Internet công cộng hoặc trên các phân đoạn mạng, chỉ khi cổng UDP 631 có thể truy cập được và dịch vụ dễ bị tấn công đang mở.
Hãng bảo mật Palo Alto Networks (Mỹ) tiết lộ không có sản phẩm và dịch vụ đám mây nào của họ chứa các gói phần mềm liên quan đến CUPS đã đề cập ở trên và do đó không bị ảnh hưởng bởi các lỗ hổng này.
Các bản vá cho các lỗ hổng hiện đang được phát triển và dự kiến sẽ được phát hành trong những thời gian tới. Cho đến lúc đó, người dùng nên tắt và xóa dịch vụ cups-browsed nếu không cần thiết và chặn hoặc hạn chế lưu lượng truy cập đến cổng UDP 631.
Satnam Narang, nhà nghiên cứu bảo mật tại hãng bảo mật Tenable (Mỹ), đánh giá những lỗ hổng này không ở mức độ như Log4Shell hay Heartbleed. “Thực tế là trong nhiều phần mềm, dù là mã nguồn mở hay đóng, vẫn tồn tại vô số lỗ hổng chưa được phát hiện và tiết lộ”, Narang cho biết.
Hồng Đạt
(Tổng hợp)
08:00 | 26/09/2024
14:00 | 17/09/2024
16:00 | 13/09/2024
10:00 | 21/11/2024
Tòa án liên bang Mỹ tại quận phía Bắc California đã bác vụ kiện cáo buộc Google thu lợi bất chính từ các vụ lừa đảo thẻ quà tặng Google Play.
10:00 | 20/11/2024
Cảnh sát Hàn Quốc đã bắt giữ 215 người bị nghi đánh cắp 320 tỷ won (228,4 triệu USD) trong vụ lừa đảo đầu tư tiền kỹ thuật số lớn nhất tại nước này.
10:00 | 04/11/2024
Tại Hội nghị thượng đỉnh phân tích bảo mật 2024, nhóm nghiên cứu và phân tích toàn cầu của Kaspersky (GReAT) tiết lộ, các vụ tấn công do mã độc Grandoreiro gây ra nhắm tới hơn 1.700 ngân hàng, chiếm 5% tổng số vụ tấn công bằng trojan vào các ngân hàng trong năm nay.
10:00 | 18/10/2024
Công ty bảo mật Zimperium (Mỹ) đã xác định được 40 biến thể mới của trojan ngân hàng TrickMo trên Android. Các biến thể này được liên kết với 16 chương trình dropper (một loại trojan horse để cài đặt phần mềm độc hại) và 22 cơ sở hạ tầng của máy chủ điều khiển và ra lệnh (C2) riêng biệt, với các tính năng mới để đánh cắp mã PIN Android.
Nhóm tin tặc liên kết với Triều Tiên có tên Kimsuky được cho là liên quan đến một loạt các cuộc tấn công lừa đảo bằng cách gửi các email từ địa chỉ người gửi ở Nga để thực hiện hành vi đánh cắp thông tin đăng nhập.
14:00 | 10/12/2024