Các lỗ hổng trong hệ quản lý mạng di động tập trung của Nokia và Oracle ảnh hưởng đến mạng di động 4G và 5G

09:00 | 15/10/2021 | TIN TỨC SẢN PHẨM

Một nhóm các nhà nghiên cứu thuộc Telecom Italia Red Team Research (RTR) đã tìm ra ba lỗ hổng thuộc các phần mềm quản lý mạng di động tập trung, gồm 02 lỗ hổng thuộc phần mềm quản lý mạng di động tập trung của Nokia NetAct và 01 lỗ hổng thuộc phần mềm Oracle GlassFish. Theo các chuyên gia đánh giá, các lỗ hổng trên được xác định ảnh hưởng lớn đến việc vận hành và đảm bảo an toàn thông tin đối với việc vận hành của mạng di động 4G và 5G.

Các lỗ hổng trong hệ quản lý mạng di động tập trung của Nokia và Oracle ảnh hưởng đến mạng di động 4G và 5G

Nokia NetAct là giải pháp quản lý mạng di động tập trung của Nokia, cung cấp khả năng tích hợp các giải pháp giúp người quản trị quản lý cấu hình, giám sát và quản lý phần mềm của mạng di động 5G, 4G, 3G và 2G một cách tự động, từ đó giúp hệ thống đạt hiệu quả tối đa khi xử lý sự gia tăng liên tục của các luồng dữ liệu, đặc biệt là đối với dữ liệu của mạng 5G. Các chuyên gia của RTR đã nghiên cứu, xác định các lỗ hổng nói trên và gửi báo cáo cho các nhà cung cấp. Những lỗ hổng này đã được Viện tiêu chuẩn và Công nghệ quốc gia Hoa Kỳ (NIST) đưa vào hệ thống đánh giá của mình, cụ thể:

- CVE-2021-26597 là lỗ hổng thuộc phần mềm NOKIA NetAct, ảnh hưởng đến phiên bản CWE-434: NOKIA NetAct 18A. Cho phép kẻ tấn công có thể tải lên các tệp tin mang mã độc bất kỳ.

- CVE-2021-26596 là lỗ hổng thuộc phần mềm NOKIA NetAct, ảnh hưởng đến phiên bản CWE-79: NOKIA NetAct 18A. Cho phép kẻ tấn công thay đổi tên của các tệp tin đã tải lên, sau đó được lưu trữ và thực thi bởi trình duyệt Web của nạn nhân.

- CVE-2021-3314 là lỗ hổng thuộc phần mềm Oracle GlassFish, ảnh hưởng đến phiên bản 3.1.2.18 trở xuống. Cho phép kẻ tấn công sử dụng tham số trong URL để phân phối các phần mềm độc hại (các URL này được đăng công khai hoặc gửi trực tiếp qua email cho nạn nhân).

Các chuyên gia cho rằng, trong trường hợp của Oracle GlassFish Server 3.1.2.18 và các phiên bản cũ hơn, khi lỗi XSS xảy ra, hacker có thể sử dụng quyền của quản trị viên để chuyển nội dung độc hại cho người dùng. Trong một năm rưỡi làm việc của mình, các nhà nghiên cứu thuộc nhóm RTR đã xác định được tổng cộng 52 lỗ hổng trong sản phẩm của các nhà cung cấp lớn như NOKIA, Oracle, Siemens, IBM , Selesta, Johnson & Controls, Schneider Electric,…

Nam Trần

‹ › ×

Tin liên quan

Cisco vá lỗ hổng bảo mật nghiêm trọng trên hệ điều hành XE

09:00 | 06/10/2021

Cisco đã phát hành các bản vá cho một loạt lỗ hổng nghiêm trọng trong phần mềm IOS XE. Các lỗ hổng này có thể bị lợi dụng để thực thi mã tùy ý từ xa, gây từ chối dịch vụ hoặc thao túng cấu hình thiết bị.

Việt Nam lên lộ trình nghiên cứu, sản xuất và thương mại hóa thiết bị 6G

10:00 | 21/02/2022

Bộ Thông tin và Truyền thông vừa ban hành quyết định về việc thành lập ban chỉ đạo thúc đẩy nghiên cứu phát triển công nghệ thông tin di động 6G. Mạng 6G khi ra mắt được kỳ vọng sẽ tạo sự bùng nổ và mang lại một loại hình Internet hoàn toàn mới giúp con người chạm tay gần hơn vào thế giới ảo.

Lỗ hổng trên Exchange làm lộ mật khẩu của hàng trăm ngàn email

09:00 | 06/10/2021

Các nhà nghiên cứu bảo mật mới đây đã phát hiện ra hàng trăm nghìn thông tin đăng nhập email, tài khoản và mật khẩu để đăng nhập Active Directory đã bị lộ lọt thông qua một lỗ hổng của tính năng Autodiscover trên Microsoft Exchange.

Lỗ hổng nghiêm trọng CVE-2021-3437 ảnh hưởng tới hàng triệu máy tính HP OMEN

14:00 | 27/09/2021

Các nhà nghiên cứu đã phát hiện lỗ hổng nghiêm trọng định danh CVE-2021-3437 trong máy tính xách tay HP OMEN và máy tính để bàn chơi game khiến hàng triệu hệ thống đứng trước nguy cơ tấn công từ chối dịch vụ và leo thang đặc quyền.

Lỗ hổng CVE-2021-42299 ảnh hưởng đến thiết bị Surface Pro 3

15:00 | 02/11/2021

Microsoft vừa cảnh báo một lỗ hổng bảo mật ảnh hưởng đến máy tính xách tay Surface Pro 3. Lỗ hổng này có thể bị tin tặc lợi dụng để đưa các thiết bị độc hại vào mạng doanh nghiệp.

Tin cùng chuyên mục

Fortinet phát hành bản vá cho lỗ hổng thực thi mã từ xa

08:00 | 21/03/2024

Mới đây, Fortinet đã phát hành bản vá cho các lỗ hổng bảo mật. Trong đó, có 2 lỗ hổng nghiêm trọng dẫn đến việc thực thi mã từ xa có định danh CVE-2023-42789 và CVE-2023-48788.

Microsoft cảnh báo về lỗ hổng nghiêm trọng mới trên Exchange Server đang bị khai thác

14:00 | 22/02/2024

Ngày 14/02/2024, Microsoft đã lên tiếng cảnh báo về một lỗ hổng bảo mật nghiêm trọng mới trong máy chủ Exchange Server đang bị khai thác rộng rãi, một ngày sau khi hãng phát hành các bản sửa lỗi cho lỗ hổng này như một phần của bản cập nhật Patch Tuesday.

Cloudflare bị tấn công mạng bởi các tin tặc do nhà nước bảo trợ

15:00 | 06/02/2024

Mới đây, công ty bảo mật web Cloudflare (Mỹ) tiết lộ rằng các tin tặc đã sử dụng thông tin đăng nhập bị đánh cắp trước đó để có quyền truy cập vào một số hệ thống nội bộ của hãng này.