Synology đã phát hành các bản cập nhật bảo mật để giải quyết một lỗ hổng nghiêm trọng ảnh hưởng đến máy chủ VPN Plus, có thể bị khai thác để chiếm quyền kiểm soát các hệ thống bị ảnh hưởng.
Có định danh CVE-2022-43931, điểm CVSS 10 trên thang 10, lỗ hổng đặc biệt nghiêm trọng liên qua đến vấn đề truy cập ghi ngoài giới hạn (out-of-bounds write) trong chức năng điều khiển máy tính từ xa (remote desktop) trong Synology VPN Plus Server.
Công ty cho biết khai thác thành công lỗ hổng có thể "cho phép kẻ tấn công thực thi các lệnh tùy ý". Lỗ hổng đã được phát hiện nội bộ bởi Nhóm ứng phó sự cố bảo mật (PSIRT) của họ.
Người dùng VPN Plus Server cho Synology Router Manager (SRM) 1.2 và VPN Plus Server cho SRM 1.3 nên cập nhật lên phiên bản 1.4.3-0534 và 1.4.4-0635 tương ứng.
Trong một tư vấn bảo mật gần đây, Synology cũng cảnh báo về một số lỗ hổng trong SRM có thể cho phép kẻ tấn công từ xa thực thi các lệnh tùy ý, tấn công từ chối dịch vụ hoặc đọc các tệp tùy ý.
Thông tin chi tiết về các lỗ hổng vẫn chưa được tiết lộ để tránh bị các tác tác nhân đe dọa lạm dụng khai thác. Người dùng SRM được khuyến nghị nâng cấp lên các phiên bản 1.2.5-8227-6 và 1.3.1-9346-3 để giảm thiểu các mối đe dọa tiềm ẩn.
Nhà nghiên cứu Gaurav Baruah, Lukas Kupczyk của CrowdStrike, Orange Tsai của DEVCORE và công ty bảo mật Computest đã được ghi nhận là đã báo cáo các lỗ hổng.
Đáng chú ý, một số lỗ hổng trong số này đã được chứng minh và báo cáo tại cuộc thi Pwn2Own 2022 được tổ chức vào tháng 12 năm 2022 tại Toronto, Canada.
Baruah đã nhận được 20.000 đô la tiền thưởng cho thử nghiệm tấn công thực thi lệnh (command injection) vào giao diện WAN của Synology RT6600ax. Computest cũng giành được 5.000 đô cho thử nghiệm khai thác command injection root shell trong giao diện LAN của Synology RT6600ax.
Nguồn: thehackernews.com.
Tín nhiệm mạng | Một vụ rò rỉ dữ liệu được mô tả là có chứa địa chỉ email của hơn 200 triệu người dùng Twitter đã được công bố trên một diễn đàn tội phạm mạng.
Tín nhiệm mạng | Qualcomm phát hành các bản vá bảo mật để giải quyết nhiều lỗ hổng trong chipset của họ. Các lỗ hổng cũng ảnh hưởng đến máy tính Lenovo ThinkPad X13s, khiến nhà sản xuất Lenovo phải phát hành các bản cập nhật BIOS để vá các lỗ hổng.
Tín nhiệm mạng | Các trang web WordPress đang bị nhắm mục tiêu bởi một họ phần mềm độc hại Linux mới. Mã độc này khai thác các lỗ hổng trong khoảng ba mươi plugin và theme để xâm phạm các hệ thống dễ bị tấn công.
Tín nhiệm mạng | Nhiều người dùng ví điện tử BitKeep bị mất sạch tiền trong ví trong dịp Giáng sinh sau khi tin tặc kích hoạt các giao dịch không yêu cầu xác minh.
Tín nhiệm mạng | Zerobot đã bổ sung các khai thác mới và khả năng tấn công từ chối dịch vụ, mở rộng phạm vi nhắm mục tiêu vào các thiết bị IoT.
Tín nhiệm mạng | Một kẻ đe dọa đang rao bán dữ liệu của 400 triệu người dùng Twitter được thu thập vào năm 2021 thông qua lỗ hổng API hiện đã được vá.
Chúng tôi sẽ sớm liên hệ với bạn để xác thực các thông tin & hoàn tất quá trình kiểm duyệt để cấp chứng nhận.
Cảm ơn bạn đã thực hiện đánh giá.
