Ginny Hà
VIP Members
-
04/06/2014
-
88
-
689 bài viết
Phát hiện nhiều lỗ hổng trên phần mềm học từ xa Netop
Các chuyên gia an ninh mạng vừa tiết lộ nhiều lỗ hổng trong phần mềm giám sát học sinh từ xa Netop Vision Pro. Trong số này, có lỗ hổng cho phép thực thi mã tùy ý và chiếm quyền sử dụng máy tính Windows.
“Các lỗ hổng cho phép kẻ xấu leo thang đặc quyền và thực thi mã từ xa để giành toàn quyền kiểm soát máy tính của học sinh”, các chuyên gia của McAfee Labs cho biết.
Các lỗ hổng CVE-2021-27192, CVE-2021-27193, CVE-2021-27194 và CVE-2021-27195, đã được thông báo cho Netop từ 11/12 năm ngoái. Hãng này sau đó đã khắc phục trong bản cập nhật (phiên bản 9.7.2) được phát hành vào ngày 25/2.
“Phiên bản 9.7.2 của Vision và Vision Pro giải quyết một số vấn đề như lỗ hổng leo thang đặc quyền, gửi thông tin nhạy cảm dưới dạng plain text”, hãng nêu rõ trong thông báo cập nhật.
Netop hiện kết nối hơn 3 triệu giáo viên và học sinh thông qua phần mềm của mình. Netop Vision Pro cho phép giáo viên thực hiện từ xa các tác vụ trên máy tính của học sinh, chẳng hạn như giám sát và quản lý màn hình trong thời gian thực, hạn chế quyền truy cập bằng danh sách các trang web được phép, khởi chạy ứng dụng và thậm chí chuyển hướng sự chú ý của học sinh khi họ bị phân tâm.
Trong quá trình điều tra của McAfee, một số lỗi thiết kế được phát hiện, bao gồm:
CVE-2021-27194 – Toàn bộ lưu lượng mạng giữa giáo viên và học sinh được gửi không mã hóa và ở dạng clear text (ví dụ: thông tin đăng nhập Windows và ảnh chụp màn hình) mà không có tùy chỉnh thiết lập. Ngoài ra, ảnh chụp màn hình được gửi đến giáo viên ngay sau khi họ kết nối với lớp học để giám sát theo dõi thời gian thực.
CVE-2021-27195 - Kẻ tấn công có thể giám sát lưu lượng truy cập không được mã hóa để mạo danh giáo viên và thực thi mã trên máy học sinh thông qua sửa đổi gói chứa ứng dụng, chẳng hạn như chèn thêm các tập lệnh PowerShell.
CVE-2021-27192 - Một nút "Hỗ trợ Kỹ thuật" trong menu "giới thiệu" của Netop có thể bị khai thác để leo thang đặc quyền với tư cách người dùng "hệ thống" và thực hiện các lệnh tùy ý, khởi động lại Netop và tắt máy tính.
CVE-2021-27193 - Lỗ hổng đặc quyền trong plugin trò chuyện của Netop có thể bị khai thác để đọc và ghi các tệp tùy ý trong "working directory" sử dụng làm vị trí thả cho tất cả các tệp do người hướng dẫn gửi. Tệ hơn nữa, vị trí thư mục này có thể bị thay đổi từ xa để ghi đè lên bất kỳ tệp nào trên PC, bao gồm cả tệp thực thi hệ thống.
CVE-2021-27193 được đánh giá 9,5 trên thang điểm nghiêm trọng CVSS.
McAfee cảnh báo rằng, hacker có thể thực hiện nhiều cuộc tấn công, từ triển khai ransomware đến cài đặt phần mềm keylogging để theo dõi webcam của các máy tính cá nhân.
Mặc dù hầu hết các lỗ hổng đã được khắc phục, nhưng bản vá mà Netop đưa ra vẫn chưa giải quyết tình trạng thiếu mã hóa mạng. Dự kiến vấn đề sẽ được triển khai trong một bản cập nhật trong tương lai.
Các nhà nghiên cứu cho biết: “Kẻ tấn công không cần phải xâm nhập mạng của trường học mà có thể từ bất kỳ mạng nào như của thư viện, quán cà phê hoặc mạng gia đình”.
“Khai thác thành công lỗ hổng đặc quyền, kẻ tấn công từ xa có toàn quyền kiểm soát hệ thống, truy cập vào tệp bất kỳ, tắt các tiến trình hoặc thực hiện các hành động phá hoại…”, các chuyên gia cho biết thêm.
“Các lỗ hổng cho phép kẻ xấu leo thang đặc quyền và thực thi mã từ xa để giành toàn quyền kiểm soát máy tính của học sinh”, các chuyên gia của McAfee Labs cho biết.
Các lỗ hổng CVE-2021-27192, CVE-2021-27193, CVE-2021-27194 và CVE-2021-27195, đã được thông báo cho Netop từ 11/12 năm ngoái. Hãng này sau đó đã khắc phục trong bản cập nhật (phiên bản 9.7.2) được phát hành vào ngày 25/2.
“Phiên bản 9.7.2 của Vision và Vision Pro giải quyết một số vấn đề như lỗ hổng leo thang đặc quyền, gửi thông tin nhạy cảm dưới dạng plain text”, hãng nêu rõ trong thông báo cập nhật.
Netop hiện kết nối hơn 3 triệu giáo viên và học sinh thông qua phần mềm của mình. Netop Vision Pro cho phép giáo viên thực hiện từ xa các tác vụ trên máy tính của học sinh, chẳng hạn như giám sát và quản lý màn hình trong thời gian thực, hạn chế quyền truy cập bằng danh sách các trang web được phép, khởi chạy ứng dụng và thậm chí chuyển hướng sự chú ý của học sinh khi họ bị phân tâm.
Trong quá trình điều tra của McAfee, một số lỗi thiết kế được phát hiện, bao gồm:
CVE-2021-27194 – Toàn bộ lưu lượng mạng giữa giáo viên và học sinh được gửi không mã hóa và ở dạng clear text (ví dụ: thông tin đăng nhập Windows và ảnh chụp màn hình) mà không có tùy chỉnh thiết lập. Ngoài ra, ảnh chụp màn hình được gửi đến giáo viên ngay sau khi họ kết nối với lớp học để giám sát theo dõi thời gian thực.
CVE-2021-27195 - Kẻ tấn công có thể giám sát lưu lượng truy cập không được mã hóa để mạo danh giáo viên và thực thi mã trên máy học sinh thông qua sửa đổi gói chứa ứng dụng, chẳng hạn như chèn thêm các tập lệnh PowerShell.
CVE-2021-27192 - Một nút "Hỗ trợ Kỹ thuật" trong menu "giới thiệu" của Netop có thể bị khai thác để leo thang đặc quyền với tư cách người dùng "hệ thống" và thực hiện các lệnh tùy ý, khởi động lại Netop và tắt máy tính.
CVE-2021-27193 - Lỗ hổng đặc quyền trong plugin trò chuyện của Netop có thể bị khai thác để đọc và ghi các tệp tùy ý trong "working directory" sử dụng làm vị trí thả cho tất cả các tệp do người hướng dẫn gửi. Tệ hơn nữa, vị trí thư mục này có thể bị thay đổi từ xa để ghi đè lên bất kỳ tệp nào trên PC, bao gồm cả tệp thực thi hệ thống.
CVE-2021-27193 được đánh giá 9,5 trên thang điểm nghiêm trọng CVSS.
McAfee cảnh báo rằng, hacker có thể thực hiện nhiều cuộc tấn công, từ triển khai ransomware đến cài đặt phần mềm keylogging để theo dõi webcam của các máy tính cá nhân.
Mặc dù hầu hết các lỗ hổng đã được khắc phục, nhưng bản vá mà Netop đưa ra vẫn chưa giải quyết tình trạng thiếu mã hóa mạng. Dự kiến vấn đề sẽ được triển khai trong một bản cập nhật trong tương lai.
Các nhà nghiên cứu cho biết: “Kẻ tấn công không cần phải xâm nhập mạng của trường học mà có thể từ bất kỳ mạng nào như của thư viện, quán cà phê hoặc mạng gia đình”.
“Khai thác thành công lỗ hổng đặc quyền, kẻ tấn công từ xa có toàn quyền kiểm soát hệ thống, truy cập vào tệp bất kỳ, tắt các tiến trình hoặc thực hiện các hành động phá hoại…”, các chuyên gia cho biết thêm.
Theo The Hacker News