Các lỗ hổng gồm CVE-2021-1609 và CVE-2021-1610 nằm trong giao diện quản lý trên web của Small Business RV340, RV340W, RV345 và bộ định tuyến Dual WAN Gigabit VPN (RV345P) chạy firmware phiên bản trước 1.0.03.22. Cả hai lỗ hổng này đều xuất phát từ việc thiếu xác thực các yêu cầu HTTP, do đó cho phép kẻ tấn công gửi yêu cầu HTTP được tạo đặc biệt tới một thiết bị bị ảnh hưởng.
Việc khai thác thành công lỗ hổng CVE-2021-1609 có thể cho phép kẻ tấn công thực thi mã tùy ý trên thiết bị hoặc khiến thiết bị tải lại, dẫn đến tình trạng DoS. Trong khi đó, CVE-2021-1610 là một lỗ hổng tiêm lệnh, nếu bị khai thác có thể cho phép kẻ tấn công thực hiện các lệnh tùy ý từ xa với đặc quyền root trên thiết bị.
Bên cạnh đó, Cisco cũng xử lý một lỗ hổng thực thi mã từ xa khác có mức độ nghiêm trọng định danh CVE-2021-1602 ảnh hưởng đến các Bộ định tuyến VPN RV160, RV160W, RV260, RV260P và RV260W dành cho các doanh nghiệp nhỏ. Lỗ hổng có thể bị kẻ tấn công từ xa lợi dụng để thực thi các lệnh tùy ý trên hệ điều hành của thiết bị. Các bộ định tuyến RV Series dành cho doanh nghiệp nhỏ chạy phiên bản trước 1.0.01.04 bị ảnh hưởng.
Lỗ hổng tồn tại do xác thực đầu vào người dùng không đầy đủ. Kẻ tấn công có thể khai thác lỗ hổng này bằng cách gửi một yêu cầu đặc biệt tới giao diện quản lý trên web. Khai thác thành công có thể cho phép kẻ tấn công thực hiện các lệnh tùy ý trên thiết bị bằng cách sử dụng các đặc quyền root.
Lỗ hổng CVE-2021-1602 đánh dấu lần thứ hai Cisco sửa các lỗ hổng thực thi mã từ xa quan trọng liên quan đến cùng một bộ thiết bị VPN. Đầu tháng 02/2021, hãng đã vá 35 lỗ hổng có khả năng cho phép kẻ tấn công từ xa thực thi mã tùy ý với tư cách là người dùng gốc trên một thiết bị bị ảnh hưởng.
M.H
08:00 | 20/07/2021
14:00 | 19/05/2021
14:00 | 26/10/2021
10:00 | 27/05/2022
14:00 | 10/12/2021
09:00 | 06/10/2021
08:00 | 28/04/2021
09:00 | 30/06/2022
Trung tuần tháng 6, Microsoft, Adobe và Mozilla đã phát hành các bản vá cho các sản phẩm của mình. Người dùng cần khẩn trương cài đặt các bản vá để phòng tránh rủi ro mất an toàn thông tin.
15:00 | 15/04/2022
Google đã công bố một số thay đổi chính sách quan trọng dành cho các nhà phát triển ứng dụng Android nhằm tăng cường bảo mật cho người dùng Google Play và các ứng dụng do kho dịch vụ này cung cấp.
11:00 | 16/02/2022
Trong bản cập nhật Patch Tuesday tháng 2/2022, Microsoft đã phát hành bản cập nhật bảo mật cho 48 lỗ hổng trong các sản phẩm Windows, Office, Teams, Azure Data Explorer, Visual Studio Code và các thành phần khác như Kernel, Win32k.
09:00 | 02/02/2022
Không ai có thể dự đoán được sự hỗn loạn mà ngành an toàn thông tin phải trải qua trong năm 2021, tiêu biểu như: những con số kỷ lục của các cuộc tấn công ransomware, cuộc tấn công chuỗi cung ứng của SolarWinds và gần đây nhất là sự phát hiện ra lỗ hổng Log4j. Mới đây, trang Threatpost đã đưa ra 5 dự báo xu hướng an toàn thông tin trong năm 2022.
09:00 | 13/06/2022|Mật mã dân sự
17:00 | 10/06/2022|Giải pháp khác
09:00 | 09/06/2022|Chính sách - Chiến lược
09:00 | 09/06/2022|Hacker / Malware
Mới đây, Cisco vừa phát hành bản vá 8 lỗ hổng bảo mật, trong đó có 3 lỗ hổng nghiêm trọng cho phép tin tặc thực thi mã từ xa không cần xác thực hoặc tấn công từ chối dịch vụ trên các thiết bị bị ảnh hưởng.
12:00 | 12/08/2022
