Lỗ hổng có định danh CVE-2024-40766 (điểm CVSS 9,3), được mô tả có liên quan đến vấn đề kiểm soát truy cập không đúng cách.
Công ty này cho biết trong một thông báo: “Một lỗ hổng kiểm soát truy cập không đúng cách đã được phát hiện trong giao diện quản lý của SonicWall SonicOS, có khả năng dẫn đến truy cập tài nguyên trái phép trong một số điều kiện nhất định, có thể khiến tường lửa gặp sự cố. Sự cố này ảnh hưởng đến các thiết bị SonicWall Firewall Gen 5 và Gen 6, cũng như các thiết bị Gen 7 chạy SonicOS 7.0.1-5035 và các phiên bản cũ hơn”.
Vấn đề đã được SonicWall giải quyết trong các phiên bản: SOHO (Gen 5 Firewalls) - 5.9.2.14-13o; Gen 6 Firewalls - 6.5.2.8-2n (dành cho SM9800, NSsp 12400 và NSsp 12800) và 6.5.4.15.116n (dành cho các thiết bị Gen 6 Firewall khác).
SonicWall cho biết lỗ hổng không ảnh hưởng đến các phiên bản phần mềm SonicOS cao hơn 7.0.1-5035, nhưng người dùng vẫn được khuyến nghị nên cài đặt phần mềm mới nhất.
Nhà cung cấp thiết bị này không đề cập đến việc lỗ hổng có đang bị khai thác trong thực tế hay không. Tuy nhiên, người dùng cần nhanh chóng áp dụng các bản vá để được bảo vệ trước các mối đe dọa tiềm ẩn. Nếu không thể áp dụng bản vá ngay lập tức, người dùng cần hạn chế quyền truy cập quản lý tường lửa hoặc vô hiệu hóa quyền truy cập quản lý WAN tường lửa từ các nguồn Internet.
Năm ngoái, Mandiant thuộc sở hữu của Google tiết lộ rằng một tác nhân đe dọa bị tình nghi có liên quan đến Trung Quốc có tên UNC4540 đã nhắm mục tiêu vào các thiết bị SonicWall Secure Mobile Access (SMA) 100 chưa được vá để triển khai Tiny SHell.
Nhiều nhóm tin tặc hoạt động liên quan đến Trung Quốc ngày càng chuyển hướng hoạt động sang tập trung vào cơ sở hạ tầng biên để xâm phạm mục tiêu và duy trì quyền truy cập từ xa mà không thu hút bất kỳ sự chú ý nào.
Điều này bao gồm một bộ xâm nhập có tên Velvet Ant được phát hiện gần đây đang khai thác lỗ hổng zero-day trên các thiết bị Cisco Switch để phát tán phần mềm độc hại mới có tên VELVETSHELL, một phiên bản tùy chỉnh lai giữa Tiny SHell và 3proxy.
Nguyễn Loan
07:00 | 16/09/2024
10:00 | 23/08/2024
09:00 | 08/10/2024
09:00 | 15/08/2024
10:00 | 19/08/2024
09:00 | 24/01/2025
Mới đây, vụ kiện liên quan đến trợ lý ảo Siri của Apple đã làm dấy lên những nghi vấn nghiêm trọng về việc smartphone có thể đang âm thầm ghi lại các cuộc trò chuyện của người dùng để phục vụ mục đích quảng cáo hay không.
12:00 | 14/01/2025
Đầu tháng 01/2025, MediaTek đã thông báo một loạt các lỗ hổng bảo mật ảnh hưởng đến các chipset của hãng, bao gồm các sản phẩm từ điện thoại thông minh, máy tính bảng cho đến các thiết bị IoT và TV thông minh.
13:00 | 26/12/2024
Garante - Cơ quan bảo vệ dữ liệu của Italy đã phạt nhà sản xuất ChatGPT, OpenAI số tiền 15 triệu euro (15,66 triệu đô la) vì cách ứng dụng dữ liệu cá nhân trong đào tạo trí tuệ nhân tạo.
10:00 | 28/11/2024
Sau thời gian thử nghiệm dành riêng cho người dùng trả phí, OpenAI chính thức cung cấp ChatGPT Search miễn phí cho tất cả người dùng.
ByteDance - công ty mẹ TikTok vừa giới thiệu mô hình trí tuệ nhân tạo (AI) mới có tên OmniHuman-1, có khả năng sản xuất video deepfake mà người dùng thông thường gần như không thể phân biệt với video thật.
08:00 | 07/02/2025