Phát hiện nhiều lỗ hổng trong bộ định tuyến điểm phát sóng ZTE MF971R

WhiteHat Team

Administrators
Thành viên BQT
09/04/2020
93
612 bài viết
Phát hiện nhiều lỗ hổng trong bộ định tuyến điểm phát sóng ZTE MF971R
Các chuyên gia an ninh mạng mới đây đã phát hiện nhiều lỗ hổng trong bộ định tuyến điểm phát sóng ZTE MF971R. Theo báo cáo, việc khai thác thành công các lỗ hổng này sẽ cho phép tin tặc triển khai tất cả các loại kịch bản rủi ro.

ztehotspot.jpg

Dưới đây là mô tả ngắn gọn và điểm CVSS của các lỗ hổng được phát hiện:
  • CVE-2021-21749 (điểm CVSS: 7,2/10): Cho phép kẻ tấn công chưa xác thực đưa người dùng mục tiêu đến một trang web độc hại để thực hiện điều kiện tràn bộ đệm và thực thi mã tùy ý trên các hệ thống.
  • CVE-2021-21748 (điểm CVSS: 7,7/10): Lỗi liên quan đến API ADB_MODE_SWITCH, cho phép kẻ tấn công chưa xác thực dẫn người dùng mục tiêu đến tình trạng tràn bộ đệm và thực thi mã tùy ý.
  • CVE-2021-21746 (điểm CVSS: 5,3/10): Lỗi lọc không đủ dữ liệu trong “sms_cmd_status_info”, cho phép kẻ tấn công từ xa lừa người dùng chạy các tập lệnh tùy ý trên trang web dễ bị tấn công.
  • CVE-2021-21747 (điểm CVSS: 5,3/10): Lỗi lọc không đủ dữ liệu trong “xmlclient”, cho phép kẻ tấn công từ xa thực thi các tập lệnh tùy ý trong trình duyệt.
  • CVE-2021-21743 (điểm CVSS: 5,5/10): Lỗi không khắc phục được quy trình CRLF, cho phép tin tặc gửi các yêu cầu độc hại để nhận phản hồi HTTP phân tách.
  • CVE-2021-21744 (điểm CVSS: 4,6/10): Lỗ hổng kiểm soát tệp cấu hình xác thực trước, cho phép tin tặc đánh lừa nạn nhân ghi đè mục nhập trong tệp cấu hình.
  • CVE-2021-21745 (điểm CVSS: 4,1/10): Cho phép kẻ tấn công từ xa chưa xác thực lừa nạn nhân bỏ qua quy trình xác thực trên hệ thống.
Mặc dù những lỗ hổng này có thể bị khai thác bởi kẻ tấn công từ xa, không được xác thực, nhưng các chuyên gia an ninh mạng không phát hiện thấy nỗ lực khai thác nào trong thực tế. Tuy nhiên, các chuyên gia khuyên người dùng nên cập nhật càng sớm càng tốt.

Nguồn: securitynewspaper
 
Chỉnh sửa lần cuối bởi người điều hành:
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Thẻ
cve-2021-21743 cve-2021-21744 cve-2021-21745 cve-2021-21747 cve-2021-21748 cve-2021-21749 zte mf971r
Bên trên