HPE Aruba Networking đã phát hành tư vấn bảo mật tháng 4 năm 2024, công bố chi tiết các lỗ hổng thực thi mã từ xa (RCE) nghiêm trọng ảnh hưởng đến nhiều phiên bản hệ điều hành ArubaOS.
Tư vấn bảo mật liệt kê 10 lỗ hổng, 4 trong số đó là các lỗ hổng nghiêm trọng (CVSS v3.1: 9.8) liên quan đến sự cố tràn bộ đệm, có thể dẫn đến việc thực thi mã từ xa (RCE) mà không cần xác thực.
Các sản phẩm bị ảnh hưởng bởi lỗ hổng bao gồm:
- HPE Aruba Networking Mobility Conductor, Mobility Controllers, WLAN Gateways, và SD-WAN Gateway do Aruba Central quản lý.
- ArubaOS phiên bản từ 10.5.1.0 trở xuống, 10.4.1.0 trở lên, 8.11.2.1 trở xuống và 8.10.0.10 trở lên.
- Tất cả các phiên bản ArubaOS và SD-WAN đã lỗi thời (EoL), bao gồm các phiên bản ArubaOS trước 10.3, 8.9, 8.8, 8.7, 8.6, 6.5.4 và phiên bản SD-WAN từ 2.3.0 đến 8.7.0.0 và 2.2 đến 8.6.0.4.
Bốn lỗ hổng RCE nghiêm trọng gồm:
CVE-2024-26305 – Lỗ hổng trong daemon Utility của ArubaOS cho phép kẻ tấn công không cần xác thực thực thi mã tùy ý từ xa bằng cách gửi các gói tin (packet) độc hại tới cổng UDP PAPI (giao thức quản lý điểm truy cập của Aruba) (cổng 8211).
CVE-2024-26304 – Lỗ hổng trong dịch vụ L2/L3 Management, cho phép kẻ tấn công không cần xác thực thực thi mã tùy ý thông qua các packet độc hại được gửi đến cổng PAPI UDP.
CVE-2024-33511 – Lỗ hổng trong dịch vụ Báo cáo tự động (Automatic Reporting) cho phép thực thi mã tùy ý mà không cần xác thực, có thể bị khai thác bằng cách gửi các packet độc hại đến cổng giao thức PAPI.
CVE-2024-33512 – Lỗ hổng cho phép kẻ tấn công chưa được xác thực thực thi mã bằng cách khai thác lỗi tràn bộ đệm trong dịch vụ Local User Authentication Database được truy cập thông qua giao thức PAPI.
Để giảm thiểu các lỗ hổng, nhà cung cấp khuyến nghị kích hoạt tính năng Bảo mật PAPI nâng cao và nâng cấp lên các phiên bản đã được vá lỗi cho ArubaOS.
Các phiên bản mới nhất cũng giải quyết sáu lỗ hổng khác, tất cả đều được xếp hạng nghiêm trọng ở mức "trung bình" (CVSS v3.1: 5.3 – 5.9), có thể cho phép những kẻ tấn công không được xác thực thực hiện tấn công từ chối dịch vụ trên các thiết bị dễ bị tấn công và gây ra sự gián đoạn hoạt động.
Các lỗ hổng trên đã được giải quyết trong các phiên bản:
- ArubaOS 10.6.0.0 trở lên
- ArubaOS 10.5.1.1 trở lên
- ArubaOS 10.4.1.1 trở lên
- ArubaOS 8.11.2.2 trở lên
- ArubaOS 8.10.0.11 trở lên
Tại thời điểm hiện tại, HPE Aruba Networking không phát hiện bất kỳ trường hợp khai thác trong thực tế nào hoặc sự tồn tại của mã khai thác (PoC) cho các lỗ hổng đã được đề cập.
Tuy nhiên, quản trị viên hệ thống nên áp dụng các bản cập nhật bảo mật có sẵn càng sớm càng tốt để giảm thiểu các nguy cơ tiềm ẩn liên quan đến các lỗ hổng.
Nguồn: bleepingcomputer.com.
Deepfake đã trở thành mối đe dọa đối với không gian mạng tại Việt Nam, nơi tội phạm mạng thường sử dụng các cuộc gọi video Deepfake để mạo danh một cá nhân và vay mượn người thân, bạn bè của họ những khoản tiền lớn cho những trường hợp cấp bách.
Vào dịp lễ 30/4, 01/5 sắp tới, nhu cầu sử dụng các dịch vụ của người dân tăng cao, lợi dụng thời điểm này, tội phạm lừa đảo có thể sẽ xuất hiện với nhiều "chiêu lừa" mới.
Thời gian gần đây, một số nhà hàng và dịch vụ nấu ăn trên địa bàn thành phố bị các đối tượng lừa đảo, chiếm đoạt hàng trăm triệu đồng bằng chiêu trò đặt tiệc, nhờ mua rượu, thực phẩm cho khách sử dụng…
Cisco cảnh báo về một chiến dịch ép buộc thông tin xác thực quy mô lớn nhắm vào các dịch vụ VPN và SSH trên các thiết bị Cisco, CheckPoint, Fortinet, SonicWall và Ubiquiti trên toàn thế giới.
Chương trình Phát triển Liên Hợp Quốc (UNDP) đang điều tra một cuộc tấn công mạng sau khi các tác nhân đe dọa vi phạm hệ thống CNTT của mình để đánh cắp dữ liệu nguồn nhân lực.
Tín nhiệm mạng | Mới đây, Cisco đã cảnh báo rằng các tin tặc [được nhà nước hậu thuẫn] đã khai thác hai lỗ hổng zero-day trong tường lửa Adaptive Security Appliance và Firepower Threat Defense kể từ tháng 11 năm 2023 để xâm nhập các hệ thống mạng của chính phủ trên toàn thế giới.
Chúng tôi sẽ sớm liên hệ với bạn để xác thực các thông tin & hoàn tất quá trình kiểm duyệt để cấp chứng nhận.
Cảm ơn bạn đã thực hiện đánh giá.
