Cisco không vá lỗ hổng 0-day trên các bộ định tuyến dòng RV

10:00 | 27/08/2021 | DOANH NGHIỆP

Cisco vừa cảnh báo một lỗ hổng nghiêm trọng trong dịch vụ Universal Plug-and-Play (UPnP) được sử dụng trong bộ định tuyến VPN dành cho các doanh nghiệp nhỏ. Tuy nhiên, Ciso sẽ không vá lỗ hổng này trên các thiết bị cũ không nằm trong danh mục hỗ trợ của công ty.

Cisco không vá lỗ hổng 0-day trên các bộ định tuyến dòng RV

Lỗ hổng 0-day định danh CVE-2021-34730, có điểm CVSS là 9.8, xuất phát từ việc xác thực không đúng lưu lượng UPnP gửi đến. Khai thác thành công lỗ hổng này sẽ cho phép kẻ tấn công từ xa chưa xác thực có thể khởi động lại các thiết bị hoặc thực thi mã từ xa với đặc quyền root trên hệ điều hành.

Cisco cho biết: "Các bộ định tuyến Cisco Small Business RV110W, RV130, RV130W và RV215W Routers đã không còn được nhận được hỗ trợ, do đó các thiết bị này sẽ không nhận được bản vá bảo mật."

Cisco đã kết thúc hỗ trợ bộ định tuyến thuộc dòng RV từ ngày 2/12/2019. Công ty này khuyến cáo, khách hàng sử dụng các thiết bị được hỗ trợ bảo mật hoặc chuyển sang mua các thiết bị định tuyến mới hơn.

Lỗ hổng CVE-2021-34730 chỉ ảnh hướng đến các bộ định tuyến RV110W, RV130, RV130W và RV215W nếu dịch vụ UPnP được bật. Dịch vụ UPnP được bật theo mặc định cho các thiết bị này trên mạng LAN, còn trên mạng WAN thì bị vô hiệu hóa. Vì vậy, thiết bị sẽ không bị khai thác nếu dịch vụ UPnP bị vô hiệu hóa trên cả mạng LAN và WAN.

Để tránh gặp phải các rủi ro đáng tiếc, các quản trị viên nên vô hiệu hóa nếu không cần thiết phải sử dụng dịch vụ UPnP.

M.H

‹ › ×

Tin liên quan

Lỗ hổng 0-day PrintNightmare cho phép chiếm quyền điều khiển máy chủ tên miền

14:00 | 07/07/2021

Chi tiết kỹ thuật và mã nguồn khai thác cho một lỗ hổng thực thi mã từ xa trên Windows vô tình bị rò rỉ trên mạng. Điều nguy hiểm là lỗ hổng này chưa có bản vá cho đến thời điểm hiện tại. Các doanh nghiệp cần chú ý theo dõi để cập nhật ngay khi có bản vá từ Microsoft.

13 lỗ hổng trong bộ định tuyến IR615 khiến nhiều công ty công nghiệp có nguy cơ bị tấn công

14:00 | 26/10/2021

13 lỗ hổng nghiêm trọng đã được phát hiện trong các router của InHand Networks, khiến nhiều tổ chức đứng trước nguy cơ bị tấn công khi vẫn chưa có bản vá.

Cisco vá lỗ hổng bảo mật nghiêm trọng trên hệ điều hành XE

09:00 | 06/10/2021

Cisco đã phát hành các bản vá cho một loạt lỗ hổng nghiêm trọng trong phần mềm IOS XE. Các lỗ hổng này có thể bị lợi dụng để thực thi mã tùy ý từ xa, gây từ chối dịch vụ hoặc thao túng cấu hình thiết bị.

Cisco vá lỗ hổng 0-day trong AnyConnect VPN

14:00 | 19/05/2021

Cisco vừa vá lỗ hổng 0-day trong phần mềm Cisco AnyConnect Secure Mobility Client VPN. Tuy nhiên, không may là mã POC cho lỗ hổng này đã bị công khai.

Adobe phát hành bản vá khắc phục nhiều lỗ hổng 0-day nghiêm trọng

17:00 | 22/05/2021

Ngày 11/5/2021, Adobe đã phát hành cập nhật bản vá lỗ hổng bảo mật cho 43 lỗ hổng trên 12 sản phẩm khác nhau, bao gồm cả lỗ hổng 0-day ảnh hưởng đến Adobe Reader đang được tin tặc khai thác tích cực trong thực tế.

Lỗ hổng trong Sudo ảnh hưởng tới nền tảng HPE Aruba

16:00 | 06/09/2021

Hewlett Packard Enterprise (HPE) đã đưa ra cảnh báo về lỗ hổng trong Sudo, một chương trình mã nguồn mở được sử dụng trong nền tảng quản lý Aruba AirWave, có thể cho phép người dùng cục bộ không có đặc quyền và chưa được xác thực dành được đặc quyền root trên máy chủ tồn tại lỗ hổng.

F5 phát hành bản vá bảo mật cho các thiết bị BIG-IP và BIG-IQ

14:00 | 10/09/2021

Nhà cung cấp thiết bị mạng và bảo mật doanh nghiệp F5 vừa qua đã phát hành bản vá cho các lỗ hổng bảo mật ảnh hưởng đến nhiều phiên bản của thiết bị BIG-IP và BIG-IQ của hãng, có khả năng cho phép kẻ tấn công truy cập các tệp tùy ý, leo thang đặc quyền và thực thi mã JavaScript độc hại.

Tin cùng chuyên mục

Cisco cảnh báo về các cuộc tấn công Brute Force quy mô lớn nhằm vào các dịch vụ VPN và SSH

10:00 | 26/04/2024

Cisco đã đưa ra cảnh báo về chiến dịch tấn công Brute Force quy mô lớn nhắm mục tiêu vào các dịch vụ VPN và SSH trên các thiết bị Cisco, CheckPoint, Fortinet, SonicWall và Ubiquiti trên toàn thế giới.

Kaspersky cho ra mắt smartphone đầu tiên chạy hệ điều hành KasperskyOS

14:00 | 25/04/2024

Theo cơ quan thông tấn Nga (TASS) đưa tin, tại hội nghị tổ chức ở thủ đô Moscow, Giám đốc điều hành Kaspersky Lab, Eugene Kaspersky, đã giới thiệu mẫu smartphone đầu tiên chạy hệ điều hành KasperskyOS do hãng tự phát triển. Đây cũng là smartphone đầu tiên có phần cứng được thiết kế bởi Aquarius, hoạt động tốt dù đang trong giai đoạn thử nghiệm.

Facebook gặp sự cố liên quan đến mục Story

10:00 | 22/03/2024

Không lâu sau sự cố sập toàn cầu, tối 20/3, nhiều người dùng Facebook báo cáo rằng họ đã gặp sự cố khi sử dụng nền tảng mạng xã hội này. Cụ thể, mục Story hoàn toàn bị lỗi và chỉ hiển thị khung màu xám và không hiện bất cứ hình ảnh hay video nào.

Google phát hành phiên bản Chrome hoàn toàn mới bổ sung nhiều tính năng

18:00 | 22/09/2023

Mới đây, Google vừa phát hành phiên bản Chrome 117 để kỷ niệm 15 năm ra mắt của trình duyệt này. Trong bản cập nhật này, Google đã bổ sung thêm nhiều tính năng mới cũng như áp dụng ngôn ngữ Material You để trình duyệt Chrome tiện lợi và dễ sử dụng hơn.