Được đặt tên là "Ripple20" - gồm tập hợp 19 lỗ hổng nằm trong thư viện giao thức TCP/IP cấp thấp do Treck phát triển. Nếu khai thác thành công, các lỗ hổng này có thể cho phép kẻ tấn công từ xa kiểm soát hoàn toàn các thiết bị nhắm mục tiêu mà không cần bất kỳ tương tác người dùng nào.
Theo công ty an ninh mạng của Israel, các thiết bị bị ảnh hưởng đang được sử dụng trong các ngành công nghiệp khác nhau, từ thiết bị gia dụng, tiêu dùng đến y tế, trung tâm dữ liệu, doanh nghiệp, viễn thông, dầu khí, hạt nhân, giao thông vận tải và nhiều thiết bị trên cơ sở hạ tầng quan trọng. Một vài ví dụ về sự tấn công: dữ liệu có thể bị đánh cắp khỏi máy in; thiết bị điều khiển công nghiệp có thể bị trục trặc; che dấu mã độc trong các thiết bị nhúng...
Cụ thể, có 4 lỗ hổng nghiêm trọng trong ngăn xếp Treck TCP/IP với điểm cơ sở CVSS trên 9 có thể cho phép kẻ tấn công thực thi mã tùy ý trên các thiết bị được nhắm mục tiêu từ xa và một lỗi nghiêm trọng ảnh hưởng đến giao thức DNS.
15 lỗ hổng còn lại ở mức độ nghiêm trọng khác nhau với điểm CVSS dao động từ 3,1 đến 8,2 cho phép tấn công từ chối dịch vụ đến thực thi mã từ xa tiềm năng.
Một số lỗ hổng Ripple20 đã được vá bởi Treck hoặc các nhà sản xuất thiết bị trong nhiều năm, do thay đổi mã và cấu hình Stack. Cũng vì lý do tương tự, nhiều lỗ hổng có một số biến thể dường như sẽ không được vá ngay cho đến khi các nhà cung cấp thực hiện đánh giá rủi ro toàn diện có thể kể đến như:
CVE-2020-11896 (CVSS v3 là 10.0): Xử lý không đúng việc không thống nhất của tham số độ dài trong thành phần IPv4/UDP khi xử lý gói được gửi bởi kẻ tấn công mạng trái phép. Lỗ hổng này có thể dẫn đến việc thực thi mã từ xa.
CVE-2020-11897 (CVSS v3 là 10.0): Xử lý không đúng sự không thống nhất của tham số độ dài trong thành phần IPv6 khi xử lý gói được gửi bởi kẻ tấn công mạng trái phép. Lỗ hổng này có thể dẫn đến việc ghi đè ngoài giới hạn.
CVE-2020-11898 (CVSS v3 là 9,8): Xử lý không đúng sự không thống nhất của tham số độ dài trong thành phần IPv4/ICMPv4 khi xử lý gói được gửi bởi kẻ tấn công mạng trái phép; dẫn đến việc rò rỉ thông tin nhạy cảm.
CVE-2020-11899 (CVSS v3 là 9,8): Xác thực đầu vào không đúng trong thành phần IPv6 khi xử lý gói được gửi bởi kẻ tấn công mạng trái phép. Lỗ hổng này có thể cho phép tiếp xúc với thông tin nhạy cảm.
CVE-2020-11900 (CVSS v3 là 9,3): Có thể miễn phí gấp đôi trong thành phần đường hầm IPv4 khi xử lý gói tin được gửi bởi kẻ tấn công mạng; dẫn đến việc thực thi mã từ xa.
CVE-2020-11901 (CVSS v3 là 9.0): Xác thực đầu vào không đúng trong thành phần trình phân giải DNS khi xử lý gói được gửi bởi kẻ tấn công mạng trái phép. Lỗ hổng này có thể dẫn đến việc thực thi mã từ xa.
Các nhà nghiên cứu an ninh mạng tại JSOF (có trụ sở tại Israel) có trách nhiệm báo cáo kết quả của họ cho công ty Treck. Song song, họ đã vá hầu hết các lỗ hổng với việc phát hành TCP/IP phiên bản 6.0.1.67 trở lên.
Các nhà nghiên cứu cũng đã liên hệ với hơn 500 nhà cung cấp sản xuất thiết bị và bán dẫn bị ảnh hưởng, bao gồm: HP, Schneider Electric, Intel, Rockwell Automatic, Caterpillar, Baxter và Quadros. Nhiều người trong số họ đã thừa nhận lỗ hổng và phần còn lại vẫn đang đánh giá sản phẩm của họ trước đó khi công khai thông tin.
Quốc Trung
(Theo Thehackernews)
14:00 | 09/06/2020
17:00 | 02/07/2020
14:00 | 02/06/2020
08:00 | 30/03/2020
09:00 | 06/03/2024
Tác nhân đe dọa liên quan đến Trung Quốc có tên là Mustang Panda đã nhắm mục tiêu vào nhiều quốc gia châu Á bằng cách sử dụng một biến thể mới của backdoor PlugX có tên là DOPLUGS.
09:00 | 29/01/2024
Các nhà nghiên cứu đến từ hãng bảo mật Fortinet (Mỹ) phát hiện một biến thể mới của Trojan truy cập từ xa có tên Bandook đang được phân phối thông qua các cuộc tấn công lừa đảo nhằm mục đích xâm nhập vào các máy tính Windows. Bài viết sẽ phân tích hành vi của Bandook, cung cấp thông tin chi tiết về các thành phần được sửa đổi trong biến thể mới và giải mã một số ví dụ về cơ chế giao tiếp máy chủ ra lệnh và điều khiển (C2) của phần mềm độc hại này.
08:00 | 19/01/2024
Các nhà nghiên cứu bảo mật đến từ Công ty an ninh mạng Security Joes (Israel) đã mô tả một cách chi tiết về một biến thể mới của kỹ thuật chiếm quyền điều khiển thứ tự tìm kiếm thư viện liên kết động (DLL) mà các tin tặc có thể sử dụng để vượt qua các cơ chế bảo mật và thực thi mã độc trên các hệ thống chạy Windows 10 và Windows 11.
07:00 | 08/01/2024
Mới đây, các nhà nghiên cứu an ninh mạng tới từ công ty bảo mật di động ThreatFabric (Hà Lan) cho biết một phiên bản cập nhật mới của Trojan ngân hàng Android có tên là Chameleon đang mở rộng mục tiêu nhắm tới người dùng ở Anh và Ý. Trojan này được phân phối thông qua Zombinder - một loại phần mềm Dropper dưới dạng dịch vụ (DaaS). Bài viết này sẽ tập trung phân tích biến thể mới của Chameleon với khả năng đặc biệt vượt qua tính năng xác thực sinh trắc học.
Trong một chiến dịch tấn công gần đây, các tác nhân đe dọa đã lạm dụng chức năng tìm kiếm của GitHub và sử dụng các kho lưu trữ được thiết kế đặc biệt để phát tán phần mềm độc hại nhằm đánh cắp các khoản thanh toán bằng tiền điện tử.
09:00 | 28/04/2024