Hơn 50% trong số 90.310 máy chủ được phát hiện đang triển khai dịch vụ Tinyproxy trên Internet dễ bị tấn công bởi một lỗ hổng bảo mật nghiêm trọng chưa được vá trong công cụ proxy HTTP/HTTPS.
Lỗ hổng có định danh CVE-2023-49606, điểm CVSS là 9,8 trên thang 10, được Cisco Talos mô tả là một lỗi use-after-free ảnh hưởng đến các phiên bản 1.10.0 và 1.11.1 (phiên bản mới nhất hiện có).
Trong một tư vấn bảo mật vào tuần trước, Talos cho biết: “Một tiêu đề (header) HTTP độc hại có thể kích hoạt việc sử dụng lại bộ nhớ đã giải phóng trước đó, dẫn đến gây hỏng bộ nhớ và có thể dẫn đến việc thực thi mã từ xa (RCE)”. “Kẻ tấn công không cần xác thực có thể kích hoạt lỗ hổng này”.
Nói cách khác, kẻ đe dọa chưa được xác thực có thể gửi một HTTP Connection header độc hại để kích hoạt lỗ hổng gây hỏng bộ nhớ, dẫn đến việc thực thi mã từ xa.
Theo dữ liệu được chia sẻ bởi công ty quản lý bề mặt tấn công Censys, tính đến ngày 3 tháng 5 năm 2024, trong số 90.310 máy chủ đang triển khai dịch vụ Tinyproxy trên Internet công cộng, có 52.000 (khoảng 57%) đang sử dụng phiên bản Tinyproxy dễ bị tấn công.
Phần lớn các máy chủ có thể truy cập công khai được đặt tại Mỹ (32.846), Hàn Quốc (18.358), Trung Quốc (7.808), Pháp (5.208) và Đức (3.680).
Talos, đơn vị đã báo cáo vấn đề từ ngày 22 tháng 12 năm 2023, đã phát hành bằng chứng khai thác (PoC) cho lỗ hổng, chỉ ra cách vấn đề phân tích cú pháp các kết nối HTTP Connection có thể bị lạm dụng để gây ra sự cố, hoặc dẫn đến việc thực thi mã trong một số trường hợp.
Tuy nhiên, những nhà bảo trì Tinyproxy không biết về báo cáo này do Talos đã gửi báo cáo đến một "địa chỉ email đã lỗi thời". Các nhà bảo trì cho biết rằng họ mới được nhà bảo trì phần mềm Debian Tinyproxy thông báo vấn đề này vào ngày 5 tháng 5 năm 2024.
Người dùng được khuyến nghị nên cập nhật lên phiên bản mới nhất ngay khi chúng có sẵn. Các nhà bảo trì cũng khuyến cáo rằng dịch vụ Tinyproxy không nên được mở công khai trên Internet.
Nguồn: thehackernews.com.
Các nhà chức trách đang điều tra một chiến thuật tội phạm mạng mới tinh vi sử dụng trí tuệ nhân tạo để mạo danh mọi người trong các cuộc gọi video trực tiếp.
Một báo cáo mới từ cơ quan giám sát người tiêu dùng tiết lộ rằng người Úc đã báo cáo số vụ lừa đảo kỷ lục vào năm ngoái, với tổng thiệt hại lên tới 2,7 tỷ USD. Báo cáo của ACCC dựa trên dữ liệu từ nhiều cơ quan bao gồm Scamwatch, ReportCyber, Sàn giao dịch tội phạm tài chính Úc, IDCARE và Ủy ban đầu tư và chứng khoán Úc.
Ngày 1/5, Công an TP Long Khánh (Đồng Nai) đã khởi tố vụ án, khởi tố bị can đối với Nguyễn Văn Quang (SN 1990, ngụ huyện Xuyên Mộc, tỉnh Bà Rịa - Vũng Tàu) để điều tra về tội lừa đảo chiếm đoạt tài sản thông qua hình thức mạo danh công an nhân nhân để tạo lòng tin.
Công an TP. Hà Nội ngày 15/4 cho biết, Cơ quan An ninh điều tra - Công an TP. Hà Nội đã khởi tố bị can đối với 6 đối tượng về tội "Lừa đảo chiếm đoạt tài sản" liên quan đến việc cấp chứng chỉ tiếng Anh.
Các đối tượng quảng cáo, nhắn tin, giả danh là nhân viên công ty xổ số kiến thiết Thủ đô, yêu cầu khách hàng nếu muốn được cung cấp số lô, số đề, phải chuyển tiền vào tài khoản kiểm soát viên do chúng cung cấp để chiếm đoạt.
Cơ quan thực thi pháp luật của Đức đã triệt phá 12 trung tâm cuộc gọi lừa đảo qua điện thoại đứng sau hàng nghìn cuộc gọi lừa đảo hàng ngày ở Albania, Bosnia và Herzegovina, Kosovo và Lebanon.
Chúng tôi sẽ sớm liên hệ với bạn để xác thực các thông tin & hoàn tất quá trình kiểm duyệt để cấp chứng nhận.
Cảm ơn bạn đã thực hiện đánh giá.
