Phát hiện 2 lỗ hổng bảo mật cực kỳ nghiêm trọng trong rConfig, chưa có bản vá
Mới đây, nhà nghiên cứu bảo mật Mohammad Askar đã phát hiện ra hai lỗ hổng trên công cụ rConfig, tiện ích quản lý cấu hình mạng được sử dụng phổ biến. Hai lỗ hổng này được đánh giá là nghiêm trọng, ít nhất một lỗi trong đó có thể tạo điều kiện cho hacker xâm nhập vào các máy chủ mục tiêu và các thiết bị mạng được kết nối, sau đó chiếm quyền điều khiển thiết bị.
- Cảnh báo: Google Chrome đang dính lỗi bảo mật nghiêm trọng, cập nhật bản vá ngay
- Cảnh báo: Phát hiện lỗ hổng rất nghiêm trọng trong Cyberoam, hệ thống tường lửa phổ biến ở Việt Nam
Hai lỗ hổng này ảnh hưởng tới tất cả các phiên bản của rConfig, kể cả bản mới nhất 3.9.2. Theo đánh giá của NIST (Viện Tiêu chuẩn và Kỹ thuật quốc gia Mỹ), lỗ hổng rConfig được đánh giá mức nghiêm trọng 9.8/10. Hiện tại, vẫn chưa có bản vá bảo mật cho 2 lỗ hổng này.
Công ty An ninh mạng Việt Nam VSEC nhận định, nhiều doanh nghiệp Việt Nam sẽ bị ảnh hưởng trực tiếp từ lỗ hổng này. Hệ thống mạng do tiện ích rConfig quản lý có thể dễ dàng bị tin tặc tấn công và kiểm soát.
Tại Việt Nam, khoảng hơn 10.000 thiết bị thuộc hệ thống mạng lớn tại các doanh nghiệp đang sử dụng tiện ích rConfig.
Do chưa có bản vá, VSEC khuyến cáo các đơn vị sử dụng rConfig nên thực hiện những điều sau để tránh những sự cố đáng tiếc có thể xảy ra.
- Giới hạn địa chỉ IP truy cập vào hệ thống.
- Nếu không sử dụng tới, hãy chặn truy cập module ajaxServerSettingsChk.php hoặc sử dụng các giải pháp quản trị thay thế khác.
- Ngay khi bản vá được phát hành, hãy cập nhật ngay.
- Phát hiện lỗ hổng trong phần mềm Apache 2
- Phát hiện lỗ hổng trong bộ lọc của Hotmail và Yahoo
- Phát hiện hai lỗ hổng mới trong trình duyệt Internet Explorer
- Phát hiện lỗ hổng trong nhân Linux IEEE
- Phát hiện hai lỗ hổng trong PHP
- Phát hiện lỗ hổng trong Java phiên bản ĐTDĐ
- Phát hiện hai lỗ hổng trong sản phẩm bảo mật của Symantec
-
Messenger quay lại giao diện cũ chỉ sau vài giờ thử nghiệm giao diện mới
-
Sử dụng smartphone ở Triều Tiên, chỉ vào được Internet nội bộ, cài app phải ra cửa hàng
-
Microsoft tung ra ứng dụng học tiếng Trung Quốc với AI trên Google Play Store
-
Tumblr sẽ cấm và xóa hết tất cả những nội dung “người lớn” từ 17/12
-
Google sẽ chặn hoạt động đăng nhập từ các framework nhúng trong trình duyệt
-
Nữ kỹ sư khôi phục ảnh trên iPhone bị hỏng ngay cả khi Apple đã ‘bó tay’