Cụ thể, lỗ hổng định danh CVE-2024-2973, có điểm CVSS 10, cho thấy độ nghiêm trọng tối đa. Theo Juniper Networks, lỗ hổng chỉ ảnh hưởng đến các sản phẩm Session Smart Router hoặc Conductor của Juniper Networks đang chạy trong cấu hình dự phòng có độ khả dụng cao, cho phép kẻ tấn công bỏ qua xác thực và giành toàn quyền kiểm soát thiết bị.
Danh sách các thiết bị bị ảnh hưởng bao gồm:
- Session Smart Router (các phiên bản trước 5.6.15, từ 6.0 đến trước 6.1.9-lts và từ 6.2 đến trước 6.2.5-st)
- Session Smart Conductor (các phiên bản trước 5.6.15, từ 6.0 đến trước 6.1.9-lts và từ 6.2 đến trước 6.2.5-sts)
- WAN Assurance Router (các phiên bản 6.0 trước 6.1.9-lts và các phiên bản 6.2 trước 6.2.5-sts)
Công ty cho biết họ không phát hiện dấu hiệu nào cho thấy lỗ hổng này đang bị khai thác trong thực tế. Họ cũng đã phát hiện ra lỗ hổng trong quá trình thử nghiệm sản phẩm nội bộ và không có giải pháp thay thế nào khác để giải quyết vấn đề.
“Lỗ hổng đã được vá tự động trên các thiết bị bị ảnh hưởng đối với các bộ định tuyến MIST managed WAN Assurance được kết nối với Mist Cloud”, công ty cho biết. "Điều quan trọng cần lưu ý là bản sửa lỗi được áp dụng tự động trên các bộ định tuyến được quản lý bởi Conductor hoặc trên các bộ định tuyến WAN assurance không ảnh hưởng đến các chức năng data-plane của router".
Vào tháng 1/2024, công ty cũng đã triển khai các bản vá cho một lỗ hổng nghiêm trọng trong cùng sản phẩm (CVE-2024-21591, điểm CVSS: 9,8) có thể cho phép kẻ tấn công thực hiện từ chối dịch vụ (DoS) hoặc thực thi mã từ xa và giành được quyền root trên thiết bị.
Với nhiều lỗ hổng bảo mật ảnh hưởng đến firewall SRX và bộ chuyển mạch EX của công ty đã bị các tác nhân đe dọa lạm dụng vào năm ngoái, điều cần thiết là người dùng phải nhanh chóng áp dụng các bản vá để bảo vệ khỏi các mối đe dọa tiềm ẩn.
Juniper Networks là công ty sản xuất thiết bị mạng, được Hewlett Packard Enterprise (HPE) mua lại với giá khoảng 14 tỷ USD vào đầu năm nay.
Bá Phúc
14:00 | 02/07/2024
12:00 | 19/06/2024
08:00 | 06/06/2024
09:00 | 24/01/2025
Nhiều người dùng macOS cho rằng kiến trúc dựa trên Unix của nền tảng này và thị phần sử dụng thấp hơn so với Windows, khiến nó trở thành mục tiêu kém hấp dẫn đối với tội phạm mạng và do đó có khả năng ít bị lây nhiễm phần mềm độc hại. Mặc dù macOS có bao gồm các tính năng bảo mật mạnh mẽ như Gatekeeper, XProtect và sandbox, nhưng sự gia tăng hoạt động gần đây của phần mềm đánh cắp thông tin Banshee đóng vai trò như một lời nhắc nhở rằng không có hệ điều hành nào miễn nhiễm với các mối đe dọa.
15:00 | 23/01/2025
Một trong những cách hiệu quả nhất để các chuyên gia công nghệ thông tin (CNTT) phát hiện ra điểm yếu của công ty trước khi tin tặc tấn công là kiểm thử xâm nhập. Bằng cách mô phỏng các cuộc tấn công mạng trong thế giới thực, kiểm thử xâm nhập, đôi khi được gọi là pentest, cung cấp những hiểu biết vô giá về tình hình bảo mật của tổ chức, phát hiện ra những điểm yếu có khả năng dẫn đến vi phạm dữ liệu hoặc các sự cố bảo mật khác.
13:00 | 13/01/2025
Lừa đảo mạo danh đang là chiêu trò kẻ tấn công sử dụng trên không gian mạng Việt Nam và quốc tế. Lừa đảo qua email giả mạo dịch vụ bảo mật Windows và mạo danh doanh nghiệp bưu chính là 2 thủ đoạn vừa được các chuyên gia cảnh báo.
07:00 | 02/12/2024
Theo cảnh báo của Trung tâm Ứng cứu khẩn cấp không gian mạng Việt Nam (VNCERT/CC) thuộc Cục An toàn thông tin, Bộ Thông tin và Truyền thông, các thủ đoạn lừa đảo tài chính trực tuyến đang gia tăng tại Việt Nam, nhất là chiêu trò giả mạo tổ chức tài chính để mời chào người dân vay tiền, từ đó chiếm đoạt thông tin và tài sản.
Theo báo cáo bảo mật Android 2024 được Google công bố cuối tháng 1/2025 cho thấy hãng đã chặn 2,36 triệu ứng dụng vi phạm chính sách trước khi chúng được phát hành trên Play Store, cấm hơn 158.000 tài khoản của các nhà phát triển cố gắng phát hành ứng dụng có hại.
10:00 | 13/02/2025