404 Not Found
Writer
Cơ quan An ninh mạng và Cơ sở hạ tầng Hoa Kỳ (CISA) vừa phát cảnh báo về một lỗ hổng bảo mật nghiêm trọng trên một số mẫu bộ định tuyến không dây TP-Link. Lỗ hổng này cho phép kẻ tấn công thực thi các lệnh hệ thống tùy ý, đe dọa bảo mật hàng triệu thiết bị trên toàn cầu.
Lỗ hổng này mang mã định danh CVE-2023-33538, với điểm số CVSS là 8,8, thuộc dạng lỗi chèn lệnh (command injection). Kẻ tấn công có thể lợi dụng lỗi này để thực thi các lệnh hệ thống tùy ý bằng cách gửi yêu cầu HTTP GET đặc biệt chứa tham số ssid1 được thiết kế để khai thác.
Theo CISA, nguyên nhân là do thành phần /userRpm/WlanNetworkRpm trên các thiết bị này chứa điểm yếu cho phép khai thác lỗ hổng. Đáng chú ý, một số thiết bị bị ảnh hưởng có thể đã hết vòng đời (EoL) hoặc ngừng được hỗ trợ cập nhật (EoS).
Lỗ hổng ảnh hưởng đến các mẫu router phổ biến của TP-Link như TL-WR940N V2/V4, TL-WR841N V8/V10 và TL-WR740N V1/V2. Dù chưa có thông tin chi tiết về cách thức khai thác lỗ hổng này trong thực tế, nhưng do tính chất nghiêm trọng của lỗi chèn lệnh (command injection), CISA khuyến cáo người dùng nên nhanh chóng ngừng sử dụng hoặc cập nhật thiết bị nếu có bản vá phù hợp để tránh nguy cơ bị tấn công.
Ngoài TP-Link, một lỗ hổng nghiêm trọng khác trên tường lửa Zyxel cũng đang bị khai thác thực tế, theo cảnh báo từ công ty phân tích mối đe dọa GreyNoise. Lỗ hổng CVE-2023-28771 có điểm CVSS 9,8, cũng thuộc dạng lỗi chèn lệnh hệ điều hành tương tự. Lỗ hổng này cho phép kẻ tấn công không cần xác thực thực thi các lệnh tùy ý bằng cách gửi các yêu cầu được thiết kế đặc biệt tới thiết bị dễ bị tổn thương.
Theo chuyên gia WhiteHat: Lỗ hổng chèn lệnh trên các thiết bị mạng phổ biến như TP-Link và Zyxel là nguy cơ rất lớn vì chúng cho phép kẻ tấn công có thể chiếm quyền điều khiển thiết bị từ xa mà không cần xác thực. Đặc biệt, khi nhiều thiết bị đã hết hỗ trợ chính thức, người dùng càng dễ bị tổn thương do không còn được cập nhật bảo mật. Việc cập nhật firmware kịp thời và thay thế thiết bị cũ là giải pháp cần thiết để giảm thiểu rủi ro bị khai thác. Ngoài ra, các tổ chức cần tăng cường giám sát mạng để phát hiện sớm hành vi bất thường, kịp thời phản ứng và ngăn chặn tấn công.
Để phòng tránh nguy cơ từ hai lỗ hổng trên, người dùng và quản trị viên mạng cần:
Lỗ hổng này mang mã định danh CVE-2023-33538, với điểm số CVSS là 8,8, thuộc dạng lỗi chèn lệnh (command injection). Kẻ tấn công có thể lợi dụng lỗi này để thực thi các lệnh hệ thống tùy ý bằng cách gửi yêu cầu HTTP GET đặc biệt chứa tham số ssid1 được thiết kế để khai thác.
Theo CISA, nguyên nhân là do thành phần /userRpm/WlanNetworkRpm trên các thiết bị này chứa điểm yếu cho phép khai thác lỗ hổng. Đáng chú ý, một số thiết bị bị ảnh hưởng có thể đã hết vòng đời (EoL) hoặc ngừng được hỗ trợ cập nhật (EoS).
Lỗ hổng ảnh hưởng đến các mẫu router phổ biến của TP-Link như TL-WR940N V2/V4, TL-WR841N V8/V10 và TL-WR740N V1/V2. Dù chưa có thông tin chi tiết về cách thức khai thác lỗ hổng này trong thực tế, nhưng do tính chất nghiêm trọng của lỗi chèn lệnh (command injection), CISA khuyến cáo người dùng nên nhanh chóng ngừng sử dụng hoặc cập nhật thiết bị nếu có bản vá phù hợp để tránh nguy cơ bị tấn công.
Ngoài TP-Link, một lỗ hổng nghiêm trọng khác trên tường lửa Zyxel cũng đang bị khai thác thực tế, theo cảnh báo từ công ty phân tích mối đe dọa GreyNoise. Lỗ hổng CVE-2023-28771 có điểm CVSS 9,8, cũng thuộc dạng lỗi chèn lệnh hệ điều hành tương tự. Lỗ hổng này cho phép kẻ tấn công không cần xác thực thực thi các lệnh tùy ý bằng cách gửi các yêu cầu được thiết kế đặc biệt tới thiết bị dễ bị tổn thương.
Theo chuyên gia WhiteHat: Lỗ hổng chèn lệnh trên các thiết bị mạng phổ biến như TP-Link và Zyxel là nguy cơ rất lớn vì chúng cho phép kẻ tấn công có thể chiếm quyền điều khiển thiết bị từ xa mà không cần xác thực. Đặc biệt, khi nhiều thiết bị đã hết hỗ trợ chính thức, người dùng càng dễ bị tổn thương do không còn được cập nhật bảo mật. Việc cập nhật firmware kịp thời và thay thế thiết bị cũ là giải pháp cần thiết để giảm thiểu rủi ro bị khai thác. Ngoài ra, các tổ chức cần tăng cường giám sát mạng để phát hiện sớm hành vi bất thường, kịp thời phản ứng và ngăn chặn tấn công.
Để phòng tránh nguy cơ từ hai lỗ hổng trên, người dùng và quản trị viên mạng cần:
- Cập nhật firmware các thiết bị TP-Link và Zyxel lên phiên bản mới nhất có bản vá bảo mật.
- Kiểm tra trạng thái hỗ trợ của thiết bị, nếu đã hết vòng đời nên xem xét thay thế.
- Giám sát hoạt động mạng để phát hiện các hành vi bất thường hoặc có dấu hiệu tấn công.
- Hạn chế để thiết bị kết nối trực tiếp với mạng Internet không an toàn hoặc mạng công cộng.
Theo whitehat.vn
Được phối hợp thực hiện bởi các chuyên gia của Bkav,
cộng đồng An ninh mạng Việt Nam WhiteHat
và cộng đồng Khoa học công nghệ VnReview