Một nhà nghiên cứu có nickname là 'Watchful IP' đã cảnh báo về một lỗ hổng zero-click trong trong một số sản phẩm của Hikvision, nhà sản xuất Trung Quốc có thương hiệu camera lớn nhất thế giới.
Lỗ hổng có mã CVE-2021-36260 (điểm CVSS:9.8), được đánh giá ở mức độ nghiêm trọng, cho phép kẻ tấn công thực thi mã từ xa (RCE) mà không yêu cầu bất kỳ thông tin xác thực nào. Tấn công thành công giúp kẻ tấn giành được toàn quyền truy cập vào thiết bị và có thể xâm nhập vào bên trong mạng nội bộ.
Kẻ tấn công có thể đọc nội dung file /etc/password và tạo người dùng mới có quyền root
Kẻ tấn công có thể tắt xác thực web để tấn công vào các trang web quản trị camera
Đây là một lỗ hổng rất nghiêm trọng - ảnh hưởng đến số lượng lớn camera Hikvision.
"Việc triển khai các camera này tại các địa điểm nhạy cảm, như cơ sở hạ tầng quan trọng có thể gặp phải nhiều rủi ro về an ninh."
Nhà nghiên cứu cho biết firmware đã dễ bị tấn công kể từ năm 2016 trở lại đây.
Hikvision đã ghi nhận những phát hiện và đã khắc phục sự cố. Công ty cũng đã phát hành một tư vấn bảo mật nêu chi tiết danh sách các phiên bản sản phẩm bị ảnh hưởng.
Nguyên nhân lỗ hổng này là "Do thiếu xác thực dữ liệu đầu vào, kẻ tấn công có thể khai thác lỗ hổng để thực hiện tấn công command injection bằng cách gửi lên dữ liệu có chứa các lệnh độc hại."
Để tránh các nguy cơ bị tấn công, người dùng nên theo dõi và cập nhật phiên bản mới nhất của firmware từ nhà sản xuất cho thiết bị của mình.
Nguồn: portswigger.net.
Tín nhiệm mạng | Nhà nghiên cứu bảo mật người Tây Ban Nha, Jose Rodriguez đã tiết lộ cách vượt qua màn hình khóa của iPhone cho phép Kẻ tấn công truy cập vào ứng dụng ghi chú của người dùng và thực hiện nhiều hành vi khác.
Tín nhiệm mạng | Google đã thông báo rằng tính năng bảo vệ quyền riêng tư của Android mới được phát hành gần đây sẽ được triển khai cho hàng tỷ thiết bị chạy các phiên bản Android vào cuối năm nay.
Tín nhiệm mạng | Nhóm Hacker Anonymous đã xâm nhập và đánh cắp cơ sở dữ liệu của Epik, một nhà cung cấp dịch vụ lưu trữ web và đăng ký tên miền cho nhiều trang web
Tín nhiệm mạng | FBI đang cảnh báo về xu hướng gia tăng đột biến của các vụ lừa đảo tình cảm trực tuyến trong năm nay đã khiến người Mỹ thiệt hại hơn 113 triệu đô la kể từ đầu năm 2021.
Tín nhiệm mạng | Vấn đề máy in yêu cầu thông tin đăng nhập của quản trị viên sau khi cài đặt bản vá PrintNightmare có thể giải quyết bằng cách đảm bảo các máy chủ in và máy khách cài đặt cùng phiên bản driver.
Tín nhiệm mạng | Hai nhà lập pháp hàng đầu trong hội đồng bảo vệ người tiêu dùng của Ủy ban Thương mại Thượng viện đang tiến hành một cuộc điều tra đối với Facebook sau khi The Wall Street Journal đưa tin rằng Facebook biết rằng Instagram có thể gây hại đối với các trẻ vị thành niên.