Theo bleepingcomputer, lỗ hổng có định danh CVE-2022-0778 (điểm CVSS: 7,5) liên quan đến quá trình phân tích cú pháp chứng chỉ bảo mật. Theo đó, các tin tặc có thể khai thác lỗ hổng này để kích hoạt tấn công từ chối dịch vụ (DoS) cũng như làm hư hỏng các thiết bị từ xa chưa được vá.
QNAP cho biết: “Một lỗ hổng vòng lặp vô hạn trong OpenSSL đã được báo cáo là ảnh hưởng đến một số thiết bị QNAP NAS nhất định. Nếu bị khai thác, lỗ hổng này sẽ cho phép tin tặc thực hiện các cuộc tấn công DoS. Hiện tại, chưa có biện pháp giảm thiểu nào đối với lỗ hổng này. Chúng tôi khuyên người dùng nên kiểm tra lại và cài đặt các bản cập nhật bảo mật ngay khi có thể”.
Theo chia sẻ của QNAP thì lỗ hổng sẽ ảnh hưởng đến các thiết bị chạy nhiều phiên bản QTS, QuTS hero và QuTScloud, cụ thể gồm:
“CVE-2022-0778 không quá khó để khai thác, nhưng hiện tại tác động của nó chỉ giới hạn ở mức tấn công từ chối dịch vụ. Trường hợp phổ biến nhất trong quá trình khai thác, đó là khi máy khách TLS truy cập vào một máy chủ độc hại và được cung cấp một chứng chỉ giả mạo. Đồng thời, máy chủ TLS cũng có thể bị ảnh hưởng nếu chúng đang sử dụng xác thực ứng dụng khách với một ứng dụng khách độc hại cố gắng kết nối với nó”, đại diện của OpenSSL cho biết.
Tin tặc có thể khai thác lỗ hổng này trong các cuộc tấn công, nếu chúng nhận thấy thiết bị NAS là mục tiêu lý tưởng, đặc biệt là việc có thể khai thác lỗ hổng trong các cuộc tấn công có độ phức tạp thấp mà không cần sự tương tác của người dùng.
Mặc dù một bản vá đã được phát hành cách đây hai tuần trước khi lỗ hổng được tiết lộ, tuy nhiên QNAP giải thích rằng khách hàng của họ nên đợi cho đến khi công ty phát hành bản cập nhật của riêng mình. Nhà sản xuất cũng kêu gọi khách hàng cài đặt bất kỳ bản vá bảo mật mới nhất ngay sau khi phát hành để chặn các cuộc tấn công tiềm ẩn có thể xảy ra.
Bên cạnh đó, QNAP cũng đang vá các lỗ hổng bảo mật nghiêm trọng của Linux có tên là Dirty Pipe, cho phép tin tặc có quyền truy cập cục bộ để có được đặc quyền root trên các thiết bị chạy phiên bản QTS 5.0.x, QuTScloud c5.0.x và QuTS hero h5.0.x.
Kể từ cảnh báo ban đầu, QNAP đã sửa lỗi Dirty Pipe cho các thiết bị chạy QuTS hero h5.0.0.1949 build 20220215 trở lên, nhà sản xuất này khẳng định sẽ phát hành các bản vá cho QTS và QuTS cloud trong thời gian sớm nhất.
Đinh Hồng Đạt
20:00 | 13/03/2022
08:00 | 29/06/2022
08:00 | 07/11/2022
17:00 | 01/04/2022
15:00 | 30/03/2022
13:00 | 18/11/2024
Sau khi xâm nhập thành công vào hệ thống mạng của tổ chức, một trong những kỹ thuật phổ biến nhất mà các tin tặc thực hiện là di chuyển ngang hàng, truy cập vào dữ liệu nhạy cảm hơn và các hệ thống quan trọng. Zero Trust có thể hạn chế điều này bằng cách sử dụng các biện pháp phân đoạn mạng, cô lập và kiểm soát quyền truy cập một cách logic và vật lý thông qua các hạn chế chính sách chi tiết. Bài viết này trình bày tài liệu hướng dẫn mới về Zero Trust để bảo vệ không gian mạng của Cơ quan An ninh Quốc gia Hoa Kỳ (NSA)
14:00 | 11/09/2024
Ngày nay, các cuộc tấn công mạng ngày càng trở nên phức tạp và tinh vi hơn, các giải pháp bảo đảm an toàn thông tin, an ninh mạng truyền thống đòi hỏi duy trì một lượng lớn dữ liệu về các dấu hiệu xâm nhập, các quy tắc và phải cập nhật thường xuyên khi có bất kỳ hình thức hoặc kỹ thuật tấn công mới nào xuất hiện. Tính tự động hóa trong việc này vẫn còn nhiều hạn chế. Trong bài báo này, nhóm tác giả sẽ trình bày một giải pháp sử dụng ưu điểm vượt trội của công nghệ học máy để dự đoán các truy cập bất thường cụ thể là các cuộc tấn công Dos/DDos, PortScan, Web Attack, Brute Force… từ đó đưa ra các cảnh báo kịp thời và chính xác.
15:00 | 24/10/2023
Mục tiêu chính của các kỹ thuật mã hóa là bảo vệ tính bí mật của dữ liệu được lưu trữ hoặc truyền đi. Thuật toán mã hóa được áp dụng vào dữ liệu (bản rõ), từ đó nhận được dữ liệu được mã hóa (bản mã), quá trình này được gọi là mã hóa. Thuật toán mã hóa cần được thiết kế sao cho bản mã không cung cấp thông tin về bản rõ. Gắn liền với thuật toán mã hóa là thuật toán giải mã, biến đổi ngược bản mã thành bản rõ gốc. Bài viết sẽ giới thiệu tóm tắt nội dung tiêu chuẩn TCVN 11367-1:2016. Nội dung của tiêu chuẩn này xác định các hệ mật nhằm mục đích bảo mật dữ liệu. Việc đưa các hệ mật vào tiêu chuẩn này nhằm đẩy mạnh việc sử dụng chúng với chất lượng tốt nhất hiện nay trong các kỹ thuật mật mã.
11:00 | 29/07/2023
Ngày 24/5/2023, trang web của Viện Khoa học Weizmann (Weizmann Institute of Science) đăng tải bài báo “Polynomial - Time Pseudodeterministic Construction of Primes” [1] của Lijie Chen và các cộng sự. Đây là một thuật toán mới, tập hợp các ưu điểm của tính ngẫu nhiên và quy trình tất định để xây dựng các số nguyên tố lớn một cách đáng tin cậy. Dưới đây là nội dung bài viết đã đăng tại Quanta Magazine [1].