404 Not Found
Writer
Một lỗ hổng nghiêm trọng vừa được phát hiện trong Xiaomi Interconnection Application, cho phép tin tặc truy cập thiết bị người dùng mà không cần xác thực. Lỗ hổng có mã định danh CVE-2024-45347, được chấm điểm CVSS 9.6 và có nguy cơ bị khai thác từ xa nếu không được vá kịp thời.
CVE-2024-45347 bắt nguồn từ lỗi trong cơ chế xác thực của giao thức kết nối thiết bị. Tin tặc có thể lợi dụng điểm yếu này để vượt qua các bước kiểm tra truy cập hợp lệ, gửi yêu cầu độc hại và chiếm quyền điều khiển thiết bị chạy phần mềm bị ảnh hưởng.
Khác với nhiều lỗi bảo mật yêu cầu tương tác người dùng, CVE-2024-45347 có thể bị khai thác từ xa nếu thiết bị đích nằm trong cùng mạng và có ứng dụng Xiaomi Interconnection Application cài phiên bản dễ bị tấn công. Việc khai thác thành công có thể dẫn đến mất kiểm soát hoàn toàn thiết bị, bao gồm truy cập dữ liệu cá nhân, cài phần mềm độc hại, hoặc duy trì quyền kiểm soát lâu dài.
Lỗ hổng ảnh hưởng đến phiên bản 3.1.895.10 của Xiaomi Interconnection Application – phần mềm trung tâm trong hệ sinh thái Xiaomi, đảm nhiệm kết nối và điều khiển các thiết bị thông minh như điện thoại, TV, camera, thiết bị IoT gia đình... Với vai trò quan trọng này, nếu bị khai thác, lỗ hổng có thể tạo ra hiệu ứng lan rộng trong toàn bộ hệ thống.
Ngay sau khi phát hiện, Xiaomi đã phát hành bản vá khẩn cấp trong phiên bản 3.1.921.10, khôi phục đầy đủ cơ chế xác thực và xử lý triệt để lỗ hổng CVE-2024-45347. Hãng đồng thời khuyến cáo người dùng và quản trị hệ thống ngay lập tức cập nhật phần mềm nếu đang sử dụng phiên bản cũ.
Trong bối cảnh thiết bị kết nối ngày càng phổ biến, việc đảm bảo an toàn cho lớp xác thực và truyền thông giữa thiết bị trở nên cấp thiết. Người dùng cần chủ động cập nhật phần mềm, thiết lập kiểm soát truy cập mạng nội bộ, đồng thời áp dụng các biện pháp phòng thủ bổ sung như tường lửa, xác thực hai lớp để giảm thiểu rủi ro từ các lỗ hổng tương tự.
CVE-2024-45347 bắt nguồn từ lỗi trong cơ chế xác thực của giao thức kết nối thiết bị. Tin tặc có thể lợi dụng điểm yếu này để vượt qua các bước kiểm tra truy cập hợp lệ, gửi yêu cầu độc hại và chiếm quyền điều khiển thiết bị chạy phần mềm bị ảnh hưởng.
Khác với nhiều lỗi bảo mật yêu cầu tương tác người dùng, CVE-2024-45347 có thể bị khai thác từ xa nếu thiết bị đích nằm trong cùng mạng và có ứng dụng Xiaomi Interconnection Application cài phiên bản dễ bị tấn công. Việc khai thác thành công có thể dẫn đến mất kiểm soát hoàn toàn thiết bị, bao gồm truy cập dữ liệu cá nhân, cài phần mềm độc hại, hoặc duy trì quyền kiểm soát lâu dài.
Lỗ hổng ảnh hưởng đến phiên bản 3.1.895.10 của Xiaomi Interconnection Application – phần mềm trung tâm trong hệ sinh thái Xiaomi, đảm nhiệm kết nối và điều khiển các thiết bị thông minh như điện thoại, TV, camera, thiết bị IoT gia đình... Với vai trò quan trọng này, nếu bị khai thác, lỗ hổng có thể tạo ra hiệu ứng lan rộng trong toàn bộ hệ thống.
Ngay sau khi phát hiện, Xiaomi đã phát hành bản vá khẩn cấp trong phiên bản 3.1.921.10, khôi phục đầy đủ cơ chế xác thực và xử lý triệt để lỗ hổng CVE-2024-45347. Hãng đồng thời khuyến cáo người dùng và quản trị hệ thống ngay lập tức cập nhật phần mềm nếu đang sử dụng phiên bản cũ.
Trong bối cảnh thiết bị kết nối ngày càng phổ biến, việc đảm bảo an toàn cho lớp xác thực và truyền thông giữa thiết bị trở nên cấp thiết. Người dùng cần chủ động cập nhật phần mềm, thiết lập kiểm soát truy cập mạng nội bộ, đồng thời áp dụng các biện pháp phòng thủ bổ sung như tường lửa, xác thực hai lớp để giảm thiểu rủi ro từ các lỗ hổng tương tự.
Theo WhiteHat.vn
Được phối hợp thực hiện bởi các chuyên gia của Bkav,
cộng đồng An ninh mạng Việt Nam WhiteHat
và cộng đồng Khoa học công nghệ VnReview