Mới đây, Cisco đã đưa ra cảnh báo về các lỗ hổng nghiêm trọng tồn tại trong các giải pháp SD-WAN cho người dùng doanh nghiệp. Ngay sau đó, hãng đã phát hành các bản vá giải quyết 8 lỗ hổng SD-WAN về tràn bộ đệm và thực thi lệnh tuỳ ý. Lỗ hổng nghiêm trọng nhất trong số này có thể bị khai thác từ xa mà không cần xác thực để thực thi mã tùy ý trên hệ thống bị ảnh hưởng với đặc quyền root.
Theo Cisco: “Hãng đã phát hành các bản cập nhật phần mềm giải quyết các lỗ hổng này. Không có biện pháp thay thế nào có thể giải quyết những lỗ hổng này mà không cần cập nhật”.
Lỗ hổng nghiêm trọng định danh CVE-2021-1299 tồn tại trong giao diện web để quản lý phần mềm Cisco SD-WAN vManage. Lỗ hổng này được đánh giá 9,9/10 trên thang điểm CVSS, cho phép người dùng xác thực quyền truy cập cấp root vào hệ thống bị ảnh hưởng và thực hiện các lệnh tùy ý với tư cách là người dùng root trên hệ thống.
Một lỗ hổng nghiêm trọng khác định danh CVE-2021-1300, có điểm số 9,8/10 trên thang điểm CVSS. Lỗ hổng tràn bộ đệm bắt nguồn từ việc xử lý không chính xác lưu lượng gói tin IP. Kẻ tấn công có thể khai thác lỗ hổng bằng cách gửi lưu lượng gói tin IP đã được biến đổi thông qua một thiết bị bị ảnh hưởng, điều này có thể gây ra tràn bộ đệm khi những gói được xử lý. Kết quả là kẻ tấn công có thể thực thi mã tùy ý trên hệ điều hành cơ bản với đặc quyền root.
Các sản phẩm bị ảnh hưởng nếu chạy phiên bản chứa lỗ hổng của phần mềm SD-WAN bao gồm: IOS XE SD-WAN Software, SD-WAN vBond Orchestrator Software, SD-WAN vEdge Cloud Routers, SD-WAN vEdge Routers, SD-WAN vManage Software và SD-WAN vSmart Controller Software. Người dùng Cisco có thể xem danh sách đầy đủ các phiên bản phần mềm bị ảnh hưởng cũng như các phiên bản cố định đã triển khai, trên phần tư vấn bảo mật của Cisco.
Cisco cũng cho biết: họ chưa ghi nhận bất kỳ thông tin nào liên quna đến tấn công khai thác nào nhắm vào các lỗ hổng SD-WAN này.
Ba lỗ hổng nghiêm trọng CVE-2021-1138, CVE-2021-1140, CVE-2021-1142 đã được tìm thấy trong phần mềm quản lý vệ tinh thông minh của Cisco, cung cấp cho các doanh nghiệp khả năng hiển thị và báo cáo theo thời gian thực về giấy phép Cisco của họ.
Những lỗ hổng này xếp hạng 9,8/10 theo thang điểm CVSS, xuất phát từ giao diện người dùng web của phần mềm quản lý vệ tinh thông minh Cisco và có thể cho phép tấn công từ xa mà không cần xác thực, để thực hiện các lệnh tùy ý với tư cách là người dùng có đặc quyền trên thiết bị bị ảnh hưởng.
Theo Cisco: “Những lỗ hổng này xác thực dữ liệu đầu vào khiến kẻ tấn công có thể khai thác bằng cách gửi các yêu cầu HTTP độc hại đến một thiết bị bị ảnh hưởng. Việc khai thác thành công có thể cho phép kẻ tấn công chạy các lệnh tùy ý trên hệ điều hành”.
Các lỗ hổng này ảnh hưởng đến các bản phát hành của Cisco Smart Software Manager Satellite 5.1.0 trở về trước, các bản vá có sẵn trong phiên bản trả phí của Cisco Smart Software Manager On-Prem 6.3.0 trở lên.
Một lỗ hổng nghiêm trọng khác được tìm thấy trong công cụ Command Runner của Cisco DNA Center là trung tâm chỉ huy và quản lý mạng của Cisco. Lỗ hổng CVE-2021-1264 xếp hạng 9,6/10 trên thang điểm CVSS. Lỗ hổng này ảnh hưởng đến các bản phát hành Cisco DNA Center trước 1.3.1.0, các bản vá có sẵn trong các phiên bản phần mềm 1.3.1.0 trở lên.
Lỗ hổng bắt nguồn từ việc xác thực đầu vào không đầy đủ bằng công cụ Command Runner, cho phép người dùng gửi các lệnh CLI dùng cho chẩn đoán đến các thiết bị được chọn. Theo Cisco, kẻ tấn công có thể khai thác lỗ hổng này bằng cách cung cấp dữ liệu đầu vào được được chỉnh sửa trong quá trình thực thi lệnh hoặc thông qua việc gọi API.
Một vụ khai thác thành công có thể cho phép kẻ tấn công thực hiện các lệnh CLI tùy ý trên các thiết bị do Cisco DNA Center quản lý.
Đăng Thứ (theo threatpost)
13:00 | 05/02/2021
10:00 | 10/03/2020
08:00 | 02/01/2020
10:00 | 04/11/2021
05:00 | 18/03/2019
07:00 | 03/04/2023
09:00 | 10/01/2024
Song song với mức độ phổ biến toàn cầu của tiền điện tử và có nhiều cách thức lưu trữ mới thì các kho công cụ tấn công được sử dụng bởi những tác nhân đe dọa tiền kỹ thuật số cũng ngày càng được mở rộng. Bài viết này dựa trên báo cáo của Kaspersky đề cập đến các phương pháp tấn công email khác nhau được tội phạm mạng sử dụng trong các chiến dịch lừa đảo nhắm vào hai cách lưu trữ tiền điện tử phổ biến nhất: ví nóng và ví lạnh.
17:00 | 22/12/2023
Mới đây, các nhà nghiên cứu tới từ hãng bảo mật Kaspersky đã đưa ra báo cáo về việc phát hiện một loại Trojan mới có liên quan đến nhóm tin tặc APT BlueNoroff và chiến dịch RustBucket đang diễn ra. Trojan này là một trình tải độc hại được thiết kế để tải và thực thi mã độc khác trên hệ thống bị xâm nhập với mục tiêu nhắm vào người dùng macOS. Bài viết này sẽ cùng tìm hiểu, khám phá Trojan BlueNoroff cũng như thông tin xoay quanh nhóm tin tặc này.
17:00 | 21/12/2023
Mới đây, nhóm Nghiên cứu và Phân tích Toàn cầu của Kaspersky phát hiện một chiến dịch gián điệp mạng đang nhắm mục tiêu đánh cắp dữ liệu lưu trữ trên các thiết bị USB an toàn sử dụng trong các cơ quan, tổ chức chính phủ các nước Châu Á - Thái Bình dương (APAC).
09:00 | 08/12/2023
Để bổ sung thêm những tính năng dành cho các nền tảng ứng dụng nhắn tin hiện nay, các nhà phát triển bên thứ ba đã đưa ra các bản mod (phiên bản sửa đổi của ứng dụng không chính thức) cung cấp các tính năng mới bên cạnh những nâng cấp về mặt giao diện. Tuy nhiên, một số mod này có thể chứa phần mềm độc hại cùng với các cải tiến hợp pháp. Một trường hợp điển hình đã xảy ra vào năm ngoái khi các nhà nghiên cứu Kaspersky phát hiện ra Trojan Triada bên trong bản mod WhatsApp. Gần đây, các nhà nghiên cứu đã phát hiện một bản mod Telegram có module gián điệp được nhúng và phân phối thông qua Google Play. Câu chuyện tương tự hiện tại xảy ra với WhatsApp, khi một số bản mod trước đây đã được phát hiện có chứa module gián điệp có tên là Trojan-Spy.AndroidOS.CanesSpy.
Europol đưa ra thông báo, nền tảng cung cấp dịch vụ lừa đảo (PhaaS) LabHost vừa bị triệt phá trong chiến dịch kéo dài 1 năm của các nhà hành pháp toàn cầu, 37 nghi phạm bị bắt giữ.
14:00 | 24/04/2024