Ginny Hà
VIP Members
-
04/06/2014
-
88
-
689 bài viết
Juniper vá lỗ hổng nghiêm trọng cho phép thực thi mã từ xa
Một lỗ hổng nghiêm trọng vừa được nhà cung cấp giải pháp mạng và an ninh mạng Juniper Networks khắc phục. Khai thác thành công lỗ hổng, hacker có thể chiếm quyền điều khiển từ xa hoặc làm gián đoạn các thiết bị ảnh hưởng.
Lỗ hổng CVE-2021-0254 ảnh hưởng đến hệ điều hành Junos, được phát hiện bởi nhà nghiên cứu Nguyễn Hoàng Thạch (d4rkn3ss) của công ty an ninh mạng STAR Labs có trụ sở tại Singapore.
Nhà nghiên cứu cho biết đã thông báo lỗ hổng cho Juniper hơn nửa năm trước.
Trong thông báo an ninh tuần này, Juniper cho biết lỗ hổng có thể bị tấn công từ xa, thực thi mã tùy ý hoặc kích hoạt từ chối dịch vụ (DoS) một phần trên thiết bị mục tiêu. Hacker có thể khai thác lỗ hổng thông qua gửi gói độc hại đến hệ thống đích hoặc phát động một cuộc tấn công DoS kéo dài bằng cách liên tục gửi các gói độc hại.
Theo Nguyễn Hoàng Thạch, khai thác thành công lỗ hổng, hacker có quyền truy cập root vào hệ thống sau đó cài đặt một backdoor hoặc cấu hình thiết bị “theo bất kỳ cách nào chúng muốn”. Lỗ hổng có thể được khai thác riêng mà không cần kết hợp với các lỗ hổng khác.
Về lý thuyết, các cuộc tấn công từ Internet có thể xảy ra, nhưng các thiết bị dễ bị tấn công thường không tiếp xúc với Internet. Nhà nghiên cứu tin rằng nếu một hệ thống như vậy có thể được truy cập từ Internet, thì có thể nó đã bị định cấu hình sai.
Trong cảnh báo, Juniper giải thích, “overlayd daemon xử lý các gói Overlay OAM, chẳng hạn như ping và traceroute, được gửi đến overlay. Dịch vụ chạy dưới quyền root theo mặc định và nghe các kết nối UDP trên cổng 4789. Vấn đề bắt nguồn từ việc xác thực kích thước bộ đệm không đúng, có thể dẫn đến tràn bộ đệm. Hacker có thể gửi các gói độc hại để kích hoạt lỗ hổng, từ đó thực thi mã từ xa”.
Juniper lưu ý rằng daemon overlay chạy mặc định trên các router dòng MX và ACX và switch dòng QFX. Các nền tảng khác dễ bị tấn công nếu cấu hình mạng overlay LAN mở rộng ảo (VXLAN).
Juniper cho biết chưa ghi nhận tấn công trong thực tế khai thác lỗ hổng này.
Cơ quan An ninh mạng và Cơ sở hạ tầng Hoa Kỳ (CISA) khuyến cáo các tổ chức xem xét tư vấn của Juniper và thực hiện các hành động cần thiết.
Nhà nghiên cứu cho biết đã thông báo lỗ hổng cho Juniper hơn nửa năm trước.
Trong thông báo an ninh tuần này, Juniper cho biết lỗ hổng có thể bị tấn công từ xa, thực thi mã tùy ý hoặc kích hoạt từ chối dịch vụ (DoS) một phần trên thiết bị mục tiêu. Hacker có thể khai thác lỗ hổng thông qua gửi gói độc hại đến hệ thống đích hoặc phát động một cuộc tấn công DoS kéo dài bằng cách liên tục gửi các gói độc hại.
Theo Nguyễn Hoàng Thạch, khai thác thành công lỗ hổng, hacker có quyền truy cập root vào hệ thống sau đó cài đặt một backdoor hoặc cấu hình thiết bị “theo bất kỳ cách nào chúng muốn”. Lỗ hổng có thể được khai thác riêng mà không cần kết hợp với các lỗ hổng khác.
Về lý thuyết, các cuộc tấn công từ Internet có thể xảy ra, nhưng các thiết bị dễ bị tấn công thường không tiếp xúc với Internet. Nhà nghiên cứu tin rằng nếu một hệ thống như vậy có thể được truy cập từ Internet, thì có thể nó đã bị định cấu hình sai.
Trong cảnh báo, Juniper giải thích, “overlayd daemon xử lý các gói Overlay OAM, chẳng hạn như ping và traceroute, được gửi đến overlay. Dịch vụ chạy dưới quyền root theo mặc định và nghe các kết nối UDP trên cổng 4789. Vấn đề bắt nguồn từ việc xác thực kích thước bộ đệm không đúng, có thể dẫn đến tràn bộ đệm. Hacker có thể gửi các gói độc hại để kích hoạt lỗ hổng, từ đó thực thi mã từ xa”.
Juniper lưu ý rằng daemon overlay chạy mặc định trên các router dòng MX và ACX và switch dòng QFX. Các nền tảng khác dễ bị tấn công nếu cấu hình mạng overlay LAN mở rộng ảo (VXLAN).
Juniper cho biết chưa ghi nhận tấn công trong thực tế khai thác lỗ hổng này.
Cơ quan An ninh mạng và Cơ sở hạ tầng Hoa Kỳ (CISA) khuyến cáo các tổ chức xem xét tư vấn của Juniper và thực hiện các hành động cần thiết.
Nguồn: Security Week