Lỗ hổng nghiêm trọng nhất định danh CVE-2022-20699, có điểm CVSS là 10.0, cho phép tin tặc có thể từ xa thực thi mã tùy ý trên thiết bị tồn tại lỗ hổng. Lỗ hổng xảy ra do việc kiểm tra giá trị biên không đầy đủ trong quá trình xử lý các yêu cầu HTTP cụ thể.
Cisco cho biết: “Tin tặc có thể khai thác lỗ hổng này bằng cách gửi các yêu cầu HTTP độc hại đến thiết bị bị ảnh hưởng đang hoạt động như một Cổng VPN SSL. Việc khai thác thành công có thể cho phép tin tặc thực thi mã với đặc quyền root”.
Ngoài ra, Cisco cũng phát hành bản vá cho 3 lỗ hổng khác trong giao diện quản lý nền tảng web của bộ định tuyến RV dành cho doanh nghiệp nhỏ, có thể cho phép tấn công leo thang đặc quyền lên root và thực hiện các lệnh tùy ý trên thiết bị, bao gồm: CVE-2022-20700, CVE-2022-20701, CVE-2022-20702.
Một lỗ hổng nghiêm trọng khác được tìm thấy trong tính năng xác minh hình ảnh phần mềm của bộ định tuyến dành cho doanh nghiệp nhỏ là CVE-2022-20703 có điểm CVSS 9.3, cho phép tin tặc cài đặt và khởi động hình ảnh phần mềm độc hại hoặc thực thi các tệp nhị phân chưa được đánh dấu trên thiết bị bị ảnh hưởng mà không cần xác thực.
Lỗ hổng CVE-2022-20708 có điểm CVSS 10.0, ảnh hưởng đến giao diện quản lý nền tảng web, có thể bị lợi dụng để chèn và thực thi các lệnh từ xa trên thiết bị mà không cần xác thực. Hai lỗ hổng tương tự khác cũng được giải quyết là CVE-2022-20707 và CVE-2022-20749, đều có điểm CVSS 7.3.
Trong khuyến cáo của Cisco còn mô tả nhiều lỗ hổng có mức độ nghiêm trọng cao và trung bình khác trong các bộ định tuyến dòng RV. Các lỗ hổng có thể bị khai thác để chèn và thực hiện các lệnh tùy ý, chiếm một phần đặc quyền quản trị, xem hoặc thay đổi thông tin được chia sẻ với các thiết bị khác, ghi đè lên các tệp nhất định, tải lên tệp tùy ý, tạo điều kiện để tấn công từ chối dịch vụ hoặc thực thi mã tùy ý.
Cisco đã phát hành các bản cập nhật phần mềm để giải quyết các lỗ hổng trong bộ định tuyến RV340 và RV345. Các bản cập nhật cho bộ định tuyến RV160 và RV260 dự kiến sẽ được phát hành trong tháng 2. Bên cạnh đó, Cisco cũng cảnh báo về sự xuất hiện công khai của những mã khai thác đang nhắm vào những lỗ hổng này.
M.H
09:00 | 23/11/2021
14:00 | 03/03/2022
08:00 | 28/04/2022
18:00 | 16/08/2022
12:00 | 27/10/2021
09:00 | 06/10/2021
13:00 | 27/04/2022
12:00 | 12/08/2022
16:00 | 03/02/2023
Mới đây, hãng nghiên cứu bảo mật Dr.Web (Nga) đã phát hiện hàng loạt ứng dụng lừa đảo đang được phát tán trên Google Play Store, trong đó có những ứng dụng đã có tới hàng chục triệu lượt tải về.
08:00 | 10/01/2023
Neil Rerup - Chủ tịch và kiến trúc sư trưởng tại ECSA International từng chia sẻ: “An ninh mạng đúng nghĩa là sự chuẩn bị cho điều sắp tới, không phải là giải quyết những việc đã qua. Việc cập nhật, nâng cấp những sản phẩm và giải pháp phù hợp, cần thiết cho tổ chức/doanh nghiệp luôn được ưu tiên trong thời kỳ chuyển đổi số. Bên cạnh đó, việc biết được hệ thống bảo mật đang gặp những rủi ro gì, đánh giá, xếp hạng và quản lý được những rủi ro bảo mật mà tổ chức sắp đối mặt cũng không kém phần quan trọng và là sự chuyển đổi cần thiết. SecurityScorecard chính là cuộc cách mạng về đánh giá rủi ro cho các tổ chức.
21:00 | 14/07/2022
Đó là chủ đề của ngày hội công nghệ Netpoleon Technology Day 2022 được tổ chức bởi nhà phân phối Netpoleon tại Hà Nội vào sáng ngày 14/7. Đây là ngày hội công nghệ được mong chờ trong năm nhằm giúp các tổ chức, doanh nghiệp có cái nhìn rõ nét hơn về các xu hướng công nghệ bảo mật mới và các giải pháp chuyển đổi số.
15:00 | 27/06/2022
Khi được yêu cầu xác thực tài khoản ví điện tử, nhiều người dùng tỏ ra ngần ngại bởi vì họ cho rằng phải mất nhiều thời gian và phải đến trực tiếp để xác thực. Tuy nhiên, hiện nay với công nghệ xác thực tài khoản hiện đại, người dùng chỉ cần thực hiện vài thao tác trên điện thoại và làm được ở bất kỳ đâu. Công nghệ đó là eKYC hay còn được gọi là xác thực tài khoản điện tử.
16:00 | 09/11/2022 | Tin tức sản phẩm
08:00 | 07/11/2022 | GP ATM
10:00 | 19/09/2022|An toàn thông tin
15:00 | 16/09/2022|Tin tức sản phẩm
Sáng ngày 17/3/2023, tại Hà Nội đã diễn ra lễ phát động cuộc thi “Học sinh với An toàn thông tin” năm 2023 trên toàn quốc lần thứ hai. Cuộc thi do Hiệp hội An toàn thông tin Việt Nam chủ trì, phối hợp với các cơ quan, đơn vị có liên quan tổ chức. Năm nay, cuộc thi được sự bảo trợ của Bộ Giáo dục và Đào tạo, Bộ Thông tin và Truyền thông, Bộ Lao động - Thương binh và Xã hội; đồng hành trực tiếp là Vụ Giáo dục chính trị Công tác học sinh, sinh viên (Bộ GD&ĐT), Cục ATTT (Bộ TT&TT) và Cục Trẻ em (Bộ LĐTB&XH).
15:00 | 17/03/2023
