Lỗ hổng thực thi mã nghiêm trọng ảnh hưởng đến các router của D-Link, không có bản vá

Thảo luận trong 'Tin tức An ninh mạng' bắt đầu bởi WhiteHat News #ID:2018, 10/10/19, 01:10 PM.

  1. WhiteHat News #ID:2018

    WhiteHat News #ID:2018 WhiteHat Support

    Tham gia: 20/03/17, 10:03 AM
    Bài viết: 216
    Đã được thích: 62
    Điểm thành tích:
    28
    Một lỗi thực thi mã từ xa (RCE) nghiêm trọng ảnh hưởng đến một số bộ định tuyến đã “kết thúc vòng đời” của D-Link, kết quả, lỗ hổng này sẽ không được vá.
    D-Link Routers.png

    Lỗ hổng CVE-2019-16920 (với điểm CVSS là 9,8) được tìm thấy trong các bộ định tuyến của D-Link bao gồm DIR-655, DIR-866L, DIR-652 và DHP-1565. Đây đều là những model không còn được nhà sản xuất hỗ trợ, đồng nghĩa với việc sẽ không có bản vá.

    Lỗi này được kích thoạt mà không cần xác thực bằng cách gửi một input đặc biệt đến giao diện cổng chung của thiết bị “Ping Test”nhằm tiêm nhiễm lệnh. Nếu kích hoạt được lỗ hổng, kẻ tấn công sẽ có quyền thâm nhập toàn bộ hệ thống.

    Lỗ hổng đã được báo cáo đến D-Link. Hãng này đã xác nhận vấn đề và cho biết sẽ không phát hành bản vá: “Những dòng sản phẩm này đã kết thúc vòng đời vì vậy sẽ không được hỗ trợ và phát triển tiếp. Chúng tôi khuyến cáo thay thế các thiết bị này bằng các dòng thiết bị mới để được hỗ trợ. Nếu vẫn tiếp tục sử dụng các thiết bị này sẽ gây ra nguy cơ cho chính người dùng”.

    Hãng này giải thích rằng kẻ tấn công có thể nhắm vào lỗ hổng để truy cập cấu hình web của thiết bị mà không cần thông tin đăng nhập.

    Theo Fortinet (đơn vị phát hiện lỗ hổng), lỗ hổng xảy ra từ việc kiểm tra xác thực kém, bằng dòng code được thực thi bởi hệ thống thiết bị ngay cả khi người dùng không được xác thực.

    Người dùng được khuyến cáo nên nâng cấp lên các dòng thiết bị được hỗ trợ sớm nhất để đảm bảo an toàn.

    Theo SecurityWeek
     
    Chỉnh sửa cuối: 11/10/19, 09:10 AM
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
    tkien202 thích bài này.
Tags: