Theo bleepingcomputer, lỗ hổng có định danh CVE-2022-0778 (điểm CVSS: 7,5) liên quan đến quá trình phân tích cú pháp chứng chỉ bảo mật. Theo đó, các tin tặc có thể khai thác lỗ hổng này để kích hoạt tấn công từ chối dịch vụ (DoS) cũng như làm hư hỏng các thiết bị từ xa chưa được vá.
QNAP cho biết: “Một lỗ hổng vòng lặp vô hạn trong OpenSSL đã được báo cáo là ảnh hưởng đến một số thiết bị QNAP NAS nhất định. Nếu bị khai thác, lỗ hổng này sẽ cho phép tin tặc thực hiện các cuộc tấn công DoS. Hiện tại, chưa có biện pháp giảm thiểu nào đối với lỗ hổng này. Chúng tôi khuyên người dùng nên kiểm tra lại và cài đặt các bản cập nhật bảo mật ngay khi có thể”.
Theo chia sẻ của QNAP thì lỗ hổng sẽ ảnh hưởng đến các thiết bị chạy nhiều phiên bản QTS, QuTS hero và QuTScloud, cụ thể gồm:
“CVE-2022-0778 không quá khó để khai thác, nhưng hiện tại tác động của nó chỉ giới hạn ở mức tấn công từ chối dịch vụ. Trường hợp phổ biến nhất trong quá trình khai thác, đó là khi máy khách TLS truy cập vào một máy chủ độc hại và được cung cấp một chứng chỉ giả mạo. Đồng thời, máy chủ TLS cũng có thể bị ảnh hưởng nếu chúng đang sử dụng xác thực ứng dụng khách với một ứng dụng khách độc hại cố gắng kết nối với nó”, đại diện của OpenSSL cho biết.
Tin tặc có thể khai thác lỗ hổng này trong các cuộc tấn công, nếu chúng nhận thấy thiết bị NAS là mục tiêu lý tưởng, đặc biệt là việc có thể khai thác lỗ hổng trong các cuộc tấn công có độ phức tạp thấp mà không cần sự tương tác của người dùng.
Mặc dù một bản vá đã được phát hành cách đây hai tuần trước khi lỗ hổng được tiết lộ, tuy nhiên QNAP giải thích rằng khách hàng của họ nên đợi cho đến khi công ty phát hành bản cập nhật của riêng mình. Nhà sản xuất cũng kêu gọi khách hàng cài đặt bất kỳ bản vá bảo mật mới nhất ngay sau khi phát hành để chặn các cuộc tấn công tiềm ẩn có thể xảy ra.
Bên cạnh đó, QNAP cũng đang vá các lỗ hổng bảo mật nghiêm trọng của Linux có tên là Dirty Pipe, cho phép tin tặc có quyền truy cập cục bộ để có được đặc quyền root trên các thiết bị chạy phiên bản QTS 5.0.x, QuTScloud c5.0.x và QuTS hero h5.0.x.
Kể từ cảnh báo ban đầu, QNAP đã sửa lỗi Dirty Pipe cho các thiết bị chạy QuTS hero h5.0.0.1949 build 20220215 trở lên, nhà sản xuất này khẳng định sẽ phát hành các bản vá cho QTS và QuTS cloud trong thời gian sớm nhất.
Đinh Hồng Đạt
20:00 | 13/03/2022
08:00 | 29/06/2022
08:00 | 07/11/2022
17:00 | 01/04/2022
15:00 | 30/03/2022
09:00 | 13/12/2024
Mới đây, Chat GPT và hàng loạt dịch vụ của Meta gồm Facebook, Messenger, Instagram, WhatsApp không thể truy cập hoặc hoạt động chập chờn.
08:00 | 23/09/2024
Ngày 19/9, cơ quan cảnh sát quốc gia Hàn Quốc cho biết sẽ đầu tư 9,1 tỷ won (6,8 triệu USD) trong 3 năm tới để phát triển công nghệ phát hiện các loại hình tội phạm Deepfake, sao chép giọng nói và các nội dung bịa đặt khác.
15:00 | 28/05/2024
FIPS-140-3 là một tiêu chuẩn của Viện Tiêu chuẩn và Công nghệ Quốc gia Mỹ (NIST) đưa ra các yêu cầu bảo mật toàn diện cho các mô-đun mật mã, nhằm đảm bảo tính mạnh mẽ và đáng tin cậy của chúng. Tiêu chuẩn này yêu cầu cho quá trình phát triển các mô-đun mật mã từ giai đoạn thiết kế đến kiểm thử và triển khai để bảo vệ dữ liệu nhạy cảm trong nhiều ứng dụng khác nhau. Bài báo sẽ nghiên cứu, phân tích tác động của FIPS-140-3, khám phá các vấn đề bảo mật chính và cung cấp góc nhìn về cách tiêu chuẩn này định hình quá trình phát triển mô-đun mật mã trong bối cảnh công nghệ phát triển hiện nay.
10:00 | 13/05/2024
Cùng với sự phát triển của khoa học kỹ thuật có ngày càng nhiều những cuộc tấn công vào phần cứng và gây ra nhiều hậu quả nghiêm trọng. Nhiều giải pháp để bảo vệ phần cứng được đưa ra, trong đó, hàm không thể sao chép vật lý PUF (Physically Unclonable Functions) đang nổi lên như là một trong số những giải pháp bảo mật phần cứng rất triển vọng mạnh mẽ. RO-PUF (Ring Oscillator Physically Unclonable Function) là một kỹ thuật thiết kế PUF nội tại điển hình trong xác thực hay định danh chính xác thiết bị. Bài báo sẽ trình bày một mô hình ứng dụng RO-PUF và chứng minh tính năng xác thực của PUF trong bảo vệ phần cứng FPGA.