Được đặt tên là "Ripple20" - gồm tập hợp 19 lỗ hổng nằm trong thư viện giao thức TCP/IP cấp thấp do Treck phát triển. Nếu khai thác thành công, các lỗ hổng này có thể cho phép kẻ tấn công từ xa kiểm soát hoàn toàn các thiết bị nhắm mục tiêu mà không cần bất kỳ tương tác người dùng nào.
Theo công ty an ninh mạng của Israel, các thiết bị bị ảnh hưởng đang được sử dụng trong các ngành công nghiệp khác nhau, từ thiết bị gia dụng, tiêu dùng đến y tế, trung tâm dữ liệu, doanh nghiệp, viễn thông, dầu khí, hạt nhân, giao thông vận tải và nhiều thiết bị trên cơ sở hạ tầng quan trọng. Một vài ví dụ về sự tấn công: dữ liệu có thể bị đánh cắp khỏi máy in; thiết bị điều khiển công nghiệp có thể bị trục trặc; che dấu mã độc trong các thiết bị nhúng...
Cụ thể, có 4 lỗ hổng nghiêm trọng trong ngăn xếp Treck TCP/IP với điểm cơ sở CVSS trên 9 có thể cho phép kẻ tấn công thực thi mã tùy ý trên các thiết bị được nhắm mục tiêu từ xa và một lỗi nghiêm trọng ảnh hưởng đến giao thức DNS.
15 lỗ hổng còn lại ở mức độ nghiêm trọng khác nhau với điểm CVSS dao động từ 3,1 đến 8,2 cho phép tấn công từ chối dịch vụ đến thực thi mã từ xa tiềm năng.
Một số lỗ hổng Ripple20 đã được vá bởi Treck hoặc các nhà sản xuất thiết bị trong nhiều năm, do thay đổi mã và cấu hình Stack. Cũng vì lý do tương tự, nhiều lỗ hổng có một số biến thể dường như sẽ không được vá ngay cho đến khi các nhà cung cấp thực hiện đánh giá rủi ro toàn diện có thể kể đến như:
CVE-2020-11896 (CVSS v3 là 10.0): Xử lý không đúng việc không thống nhất của tham số độ dài trong thành phần IPv4/UDP khi xử lý gói được gửi bởi kẻ tấn công mạng trái phép. Lỗ hổng này có thể dẫn đến việc thực thi mã từ xa.
CVE-2020-11897 (CVSS v3 là 10.0): Xử lý không đúng sự không thống nhất của tham số độ dài trong thành phần IPv6 khi xử lý gói được gửi bởi kẻ tấn công mạng trái phép. Lỗ hổng này có thể dẫn đến việc ghi đè ngoài giới hạn.
CVE-2020-11898 (CVSS v3 là 9,8): Xử lý không đúng sự không thống nhất của tham số độ dài trong thành phần IPv4/ICMPv4 khi xử lý gói được gửi bởi kẻ tấn công mạng trái phép; dẫn đến việc rò rỉ thông tin nhạy cảm.
CVE-2020-11899 (CVSS v3 là 9,8): Xác thực đầu vào không đúng trong thành phần IPv6 khi xử lý gói được gửi bởi kẻ tấn công mạng trái phép. Lỗ hổng này có thể cho phép tiếp xúc với thông tin nhạy cảm.
CVE-2020-11900 (CVSS v3 là 9,3): Có thể miễn phí gấp đôi trong thành phần đường hầm IPv4 khi xử lý gói tin được gửi bởi kẻ tấn công mạng; dẫn đến việc thực thi mã từ xa.
CVE-2020-11901 (CVSS v3 là 9.0): Xác thực đầu vào không đúng trong thành phần trình phân giải DNS khi xử lý gói được gửi bởi kẻ tấn công mạng trái phép. Lỗ hổng này có thể dẫn đến việc thực thi mã từ xa.
Các nhà nghiên cứu an ninh mạng tại JSOF (có trụ sở tại Israel) có trách nhiệm báo cáo kết quả của họ cho công ty Treck. Song song, họ đã vá hầu hết các lỗ hổng với việc phát hành TCP/IP phiên bản 6.0.1.67 trở lên.
Các nhà nghiên cứu cũng đã liên hệ với hơn 500 nhà cung cấp sản xuất thiết bị và bán dẫn bị ảnh hưởng, bao gồm: HP, Schneider Electric, Intel, Rockwell Automatic, Caterpillar, Baxter và Quadros. Nhiều người trong số họ đã thừa nhận lỗ hổng và phần còn lại vẫn đang đánh giá sản phẩm của họ trước đó khi công khai thông tin.
Quốc Trung
(Theo Thehackernews)
14:00 | 09/06/2020
17:00 | 02/07/2020
14:00 | 02/06/2020
08:00 | 30/03/2020
21:00 | 26/01/2025
Trong vài năm qua, nhóm tin tặc Lazarus đã phân phối phần mềm độc hại bằng cách khai thác các cơ hội việc làm giả mạo nhắm vào nhân viên trong nhiều ngành công nghiệp khác nhau, bao gồm quốc phòng, hàng không vũ trụ, tiền điện tử và các lĩnh vực toàn cầu khác. Chiến dịch tấn công này được gọi là DeathNote và cũng được gọi là “Operation DreamJob”. Bài viết sẽ cung cấp tổng quan về những thay đổi đáng kể trong chuỗi lây nhiễm của Lazarus và khám phá cách chúng kết hợp việc sử dụng các mẫu phần mềm độc hại mới và cũ để điều chỉnh các cuộc tấn công.
13:00 | 06/01/2025
Trong thời đại công nghệ phát triển nhanh chóng hiện nay, việc bảo vệ ứng dụng web và dịch vụ mạng trước các mối đe dọa đang trở nên ngày càng quan trọng. Một trong những mối đe dọa phổ biến nhất mà các nhà phát triển và quản trị viên hệ thống phải đối mặt là kỹ thuật tấn công từ chối dịch vụ biểu thức chính quy (Regular Expression Denial of Service - ReDoS). ReDoS là một loại tấn công mạng có thể làm cho các ứng dụng web và dịch vụ mạng trở nên không khả dụng hoặc rất chậm bằng cách tận dụng các biểu thức chính quy phức tạp. Bài viết sẽ giới thiệu tới độc giả kỹ thuật ReDoS, đưa ra giải pháp phát hiện và ngăn chặn trên các ứng dụng Web và dịch vụ mạng.
13:00 | 17/12/2024
Các chuyên gia cảnh báo về một chiến dịch lừa đảo mới sử dụng các tài liệu Microsoft Office và tệp ZIP bị lỗi để vượt qua các giải pháp bảo mật như phần mềm diệt virus hay bộ lọc email.
13:00 | 18/11/2024
Cisco đã xử lý lỗ hổng nghiêm trọng định danh CVE-2024-20418 cho phép kẻ tấn công thực thi lệnh với quyền root trên các điểm truy cập Ultra-Reliable Wireless Backhaul (URWB) dễ bị tấn công.
Theo báo cáo bảo mật Android 2024 được Google công bố cuối tháng 1/2025 cho thấy hãng đã chặn 2,36 triệu ứng dụng vi phạm chính sách trước khi chúng được phát hành trên Play Store, cấm hơn 158.000 tài khoản của các nhà phát triển cố gắng phát hành ứng dụng có hại.
10:00 | 13/02/2025