Các lỗ hổng nghiêm trọng hầu hết ảnh hưởng đến các bộ định tuyến doanh nghiệp nhỏ RV160, RV260, RV 340 và RV345.
Lỗ hổng nghiêm trọng đầu tiên có định danh CVE-2022-20842 (điểm CVSS 9,8). Lỗ hổng này bắt nguồn từ việc xác nhận không đầy đủ thông tin đầu vào do người dùng cung cấp cho giao diện quản lý web của các thiết bị. Tin tặc có thể khai thác lỗ hỗng bằng việc gửi yêu cầu http thủ công tới các thiết bị bị ảnh hưởng. Khai thác thành công lỗ hổng cho phép tin tặc thực thi mã dưới quyền người dùng root hoặc khiến thiết bị phải tải lại, dẫn đến tình trạng tấn công từ chối dịch vụ.
Lỗ hổng thứ 2 liên quan đến lỗi command injection trong tính năng lọc cập nhật cơ sở dữ liệu của bộ định tuyến trên web, định danh CVE-2022-20827 (điểm CVSS 9). Lỗ hỗng này có thể bị khai thác thông qua việc đưa và thực hiện các lệnh tùy ý trên hệ điều hành cơ bản với đặc quyền root.
Một lỗ hổng nghiêm trọng khác định danh CVE-2022-20841 cũng là lỗ hổng command injection trong Open Plug-nPlay. Tin tặc có thể lợi dụng lỗ hổng này bằng việc gửi đầu vào độc hại để thực thi mã trên máy Linux mục tiêu. Để khai thác lỗ hổng này, tin tặc tận dụng vị trí trung gian hoặc có trên một thiết bị mạng cụ thể được kết nối với bộ định tuyến bị ảnh hưởng.
Ngoài ra, Cisco cũng phát hành bản vá cho 5 lỗ hổng khác ảnh hưởng trực tiếp đến webex Meetings, Identity Service Engine, Unified Communications Manager và BroadWorks Application Delivery Platform. Hiện chưa có bằng chứng về việc các lỗ hổng đang bị khai thác trong thực tế. Người dùng cần nhanh chóng cập nhật các bản vá để tránh các rủi ro mất an toàn thông tin.
M.H
13:00 | 27/04/2022
10:00 | 22/08/2022
12:00 | 23/09/2022
10:00 | 22/08/2022
13:00 | 24/08/2022
23:00 | 02/09/2022
16:00 | 01/11/2022
09:00 | 16/01/2023
14:00 | 03/03/2022
14:00 | 30/09/2022
10:00 | 16/12/2022
15:00 | 16/09/2022
16:00 | 02/11/2022
14:00 | 11/02/2022
17:00 | 05/08/2024
Ngày 03/8/2024, đông đảo các chuyên gia Blockchain và AI khắp ba miền Bắc, Trung, Nam đã tham gia buổi gặp gỡ định kỳ của Viện Công nghệ Blockchain và Trí tuệ Nhân tạo ABAII nhằm góp ý kiến hoàn thiện Quy chế Hội đồng Giảng viên (HĐGV), thảo luận về kế hoạch hoạt động và các trọng tâm giảng dạy, phổ cập Blockchain và AI trong thời gian tới.
13:00 | 06/06/2024
Check Point đã phát hành các bản vá khẩn cấp (hotfix) cho lỗ hổng zero-day trong VPN đang bị khai thác trong các cuộc tấn công nhằm giành quyền truy cập từ xa vào tường lửa để xâm nhập mạng công ty.
15:00 | 03/06/2024
Nhà cung cấp dịch vụ doanh nghiệp nổi tiếng Zoom đã công bố triển khai mã hóa đầu cuối hậu lượng tử, nhằm nâng cấp bảo mật cho các cuộc họp trên nền tảng Zoom, với sự hỗ trợ cho Zoom Phone và Zoom Rooms trong tương lai.
08:00 | 08/05/2024
Microsoft đã xác nhận rằng các bản cập nhật bảo mật Windows tháng 4/2024 đã gây ra các sự cố kết nối VPN trên nền tảng máy khách và máy chủ.
Ngày 3/9, Cơ quan Bảo vệ dữ liệu Hà Lan (DPA) tuyên bố phạt công ty trí tuệ nhân tạo (AI) chuyên về nhận dạng khuôn mặt tự động Clearview AI số tiền 30,5 triệu Euro (khoảng 33,7 triệu USD), vì đã tạo cơ sở dữ liệu bất hợp pháp.
10:00 | 06/09/2024