FBI cảnh báo lỗ hổng 0-day của FatPipe VPN đang bị khai thác

Thảo luận trong 'Tin tức An ninh mạng' bắt đầu bởi whf, 20/11/21, 01:11 AM.

  1. whf

    whf Super Moderator Thành viên BQT

    Tham gia: 06/07/13, 03:07 AM
    Bài viết: 1,182
    Đã được thích: 763
    Điểm thành tích:
    113
    Cục Điều tra Liên bang Mỹ (FBI) đã tiết lộ rằng một kẻ tấn công đã khai thác một lỗ hổng chưa từng công khai trước đây trong các thiết bị mạng FatPipe MPVPN ít nhất kể từ tháng 5 năm 2021 và duy trì quyền truy cập liên tục vào các hệ thống mạng tồn tại lỗ hổng. Biến công ty này trở thành nạn nhân tiếp theo của tin tặc sau Cisco, Fortinet, Citrix, Pulse Secure.

    upload_2021-11-20_0-52-3.png

    "Lỗ hổng an ninh cho phép những kẻ tấn công có chủ đích (APT) có quyền truy cập không bị hạn chế vào chức năng upload tập tin để tải lên web shell nhằm chiếm quyền root, leo thang đặc quyền và thực hiện các hoạt động tiếp theo" theo một cảnh báo được công bố trong tuần này. "Việc khai thác lỗ hổng này được coi là điểm khởi đầu cho những kẻ tấn công APT tiến hành các hoạt động khai thác khác."

    Nói cách khác, lỗ hổng 0-day này cho phép kẻ tấn công từ xa upload tập tin lên bất kỳ vị trí nào trên hệ thống tập tin của thiết bị bị ảnh hưởng. Lỗ hổng an ninh ảnh hưởng đến giao diện quản lý nền web của bộ định tuyến FatPipe WARP, MPVPN, IPVPN và các thiết bị cân bằng tải VPN sử dụng phiên bản phần mềm trước 10.1.2r60p93 và 10.2.2r44p1.

    upload_2021-11-20_1-35-51.png
    FBI cảnh báo rằng kẻ tấn công đã tận dụng web shell và tấn công cơ sở hạ tầng mạng của Hoa Kỳ bằng cách thiết lập một dịch vụ SSH độc hại, theo sau là một số bước được thiết kế để che giấu các cuộc xâm nhập và bảo vệ việc khai thác để truy cập lại về sau.

    Trong một bản tin độc lập (FPSA006), FatPipe nói rằng lỗ hổng bắt nguồn từ việc thiếu cơ chế xác thực đầu vào cho các HTTP request, do đó cho phép kẻ tấn công khai thác lỗ hổng bằng cách gửi một HTTP request độc hại tới thiết bị bị ảnh hưởng. Trong khi chưa có cách giải quyết lỗ hổng này, công ty cho biết nó có thể được giảm thiểu bằng cách tắt quyền truy cập UI và SSH trên giao diện WAN hoặc cấu hình Danh sách truy cập để chỉ cho phép truy cập từ các nguồn đáng tin cậy.

    Nguồn: The Hacker News
     
    Last edited by a moderator: 20/11/21, 10:11 AM
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Tags: