Dưới đây là mô tả ngắn gọn về hai lỗ hổng bảo mật:
- CVE-2024-20439 (Điểm CVSS: 9,8): Vấn đề tồn tại thông tin xác thực người dùng không được ghi nhận (undocumented static user) cho một tài khoản quản trị có thể cho phép kẻ tấn công khai thác để đăng nhập vào hệ thống bị ảnh hưởng
- CVE-2024-20440 (Điểm CVSS: 9,8): Lỗ hổng phát sinh do tệp log debug lưu trữ thông tin nhạy cảm, kẻ tấn công có thể truy cập các tệp này thông qua yêu cầu HTTP được tạo sẵn và lấy thông tin xác thực có thể được sử dụng để truy cập API.
Cisco lưu ý rằng những lỗ hổng này không thể khai thác được trừ khi tiện ích cấp phép thông minh của Cisco đã được người dùng khởi động và đang hoạt động .
Các lỗ hổng được phát hiện trong quá trình kiểm tra bảo mật nội bộ cũng không ảnh hưởng đến các sản phẩm Smart Software Manager On-Prem và Smart Software Manager Satellite.
Người dùng Cisco Smart License Utility phiên bản 2.0.0, 2.1.0 và 2.2.0 được khuyến nghị nên cập nhật lên bản phát hành đã sửa lỗi. Phiên bản 2.3.0 của phần mềm không bị ảnh hưởng bởi lỗi này.
Cisco cũng đã phát hành bản cập nhật để giải quyết lỗ hổng Command Injection trong Identity Services Engine (ISE) có thể cho phép kẻ tấn công cục bộ đã xác thực thực thi các lệnh tùy ý trên hệ điều hành cơ bản và leo thang quyền lên root. Lỗ hổng có định danh CVE-2024-20469 (điểm CVSS: 6.0) yêu cầu kẻ tấn công phải có quyền quản trị hợp lệ trên thiết bị bị ảnh hưởng.
Công ty cho biết: “Lỗ hổng phát sinh do xác thực không đầy đủ dữ liệu đầu vào do người dùng cung cấp. Kẻ tấn công có thể khai thác lỗ hổng này bằng cách gửi lệnh CLI được tạo sẵn. Một khai thác thành công có thể cho phép kẻ tấn công nâng cao đặc quyền lên root”.
Nó ảnh hưởng đến các phiên bản sau:
- Cisco ISE 3.2 (3.2P7 - Tháng 9/2024)
- Cisco ISE 3.3 (3.3P4 - Tháng 10/2024)
Công ty cũng cảnh báo về việc tồn tại mã khai thác (PoC) cho lỗ hổng, mặc dù họ chưa phát hiện bất kỳ hành vi khai thác nào liên quan đến lỗ hổng trong thực tế.
Khánh Vinh
14:00 | 08/07/2024
13:00 | 18/11/2024
07:00 | 07/11/2024
10:00 | 02/10/2024
09:00 | 10/06/2024
15:00 | 28/05/2024
16:00 | 13/09/2024
10:00 | 04/12/2024
Công ty an ninh mạng VulnCheck (Mỹ) vừa qua đã lên tiếng cảnh báo rằng, tin tặc có thể đang khai thác một lỗ hổng bảo mật nghiêm trọng trên các máy chủ ProjectSend, vốn đã được vá cách đây khoảng một năm.
13:00 | 11/11/2024
Theo trang TechSpot, FakeCall là một loại mã độc Android chuyên tấn công tài khoản ngân hàng khét tiếng trong những năm qua đã quay trở lại với 13 biến thể mới, sở hữu nhiều tính năng nâng cao, là mối đe dọa với người dùng toàn cầu.
07:00 | 22/10/2024
Một chiến dịch phần mềm độc hại mới nhắm vào lĩnh vực bảo hiểm và tài chính đã được phát hiện bằng cách sử dụng các liên kết GitHub trong các email lừa đảo như một cách để vượt qua các biện pháp bảo mật và phát tán Remcos RAT. Chiến dịch cho thấy phương pháp này đang được các tác nhân đe dọa ưa chuộng.
12:00 | 15/10/2024
Một làn sóng hành động thực thi pháp luật quốc tế mới với sự tham gia của 12 quốc gia đã bắt giữ 4 thành viên và phá hủy 9 máy chủ có liên quan đến hoạt động tống tiền LockBit (hay còn gọi là Bitwise Spider), đánh dấu đợt tấn công mới nhất nhằm vào băng nhóm tội phạm mạng từng có động cơ tài chính mạnh mẽ.
Trong thời đại kỹ thuật số, dữ liệu và thông tin cá nhân được xem như nguồn tài nguyên vô cùng quan trọng, đó là lý do tin tặc luôn tìm cách đánh cắp dữ liệu người dùng. Theo một báo cáo của công ty an ninh mạng CloudSEK (Ấn Độ), tin tặc đã đánh cắp lượng dữ liệu người dùng khổng lồ trong năm 2024.
12:00 | 14/01/2025