Cảnh báo lỗ hổng trên các thiết bị giải pháp đảm bảo an ninh hệ thống

Thành Luân19:39 07/07/2020

VSEC vừa phát đi cảnh báo lỗ hổng bảo mật trên thiết bị ADC của Big IP – bộ giải pháp đảm bảo an ninh hệ thống mà 90% các doanh nghiệp tài chính lớn trên thế giới đang sử dụng, trong đó có cả Việt Nam.

Các chuyên gia bảo mật vừa phát hiện được một lỗ hổng bảo mật nguy hiểm trên thiết bị ADC của Big IP

Theo Công ty cổ phần An ninh mạng việt nam VSEC, lỗ hổng có thể khiến toàn bộ hệ thống của doanh nghiệp lớn bị đánh sập chỉ với 1 cú nhấn chuột.

Lỗ hổng được gắn mã là CVE-2020-5902 với số điểm CVSSv3 là 10/10 điểm, điều này có nghĩa là lỗ hổng được các chuyên gia bảo mật và phân tích mã độc trên thế giới đánh giá mức độ nghiêm trọng đạt mức tối đa.

Cụ thể, Big IP là bộ giải pháp dùng để đảm bảo an ninh hệ thống của các doanh nghiệp lớn do F5 Networks cung cấp, trong đấy, phần mềm đang bị dính lỗ hổng bảo mật là ADC – một thiết bị được đặt giữa tường lửa và các máy chủ ứng dụng để cân bằng lưu lượng truy cập vào ứng dụng, chống tắc nghẽn khi số lượng truy cập ở một thời điểm quá cao.

Video đang HOT

Việc xuất hiện lỗ hổng bảo mật nghiêm trọng trên ADC cho phép kẻ tấn công giành quyền kiểm soát quản trị viên trên thiết bị, sau đấy thực hiện hành động tấn công xâm hại trên thiết bị bị xâm nhập.

F5 Networks vốn được biết đến với tiềm lực và uy tín hàng đầu thế giới về lĩnh vực mạng ứng dụng phân phối – Application Delivery Networking – AND. Đến nay, có đến 90% các công ty tài chính và viễn thông hàng đầu thế giới sử dụng sản phẩm và giải pháp của F5 Networks, như các chính phủ, doanh nghiệp, công ty trong danh sách Fortune 500, ngân hàng, nhà cung cấp dịch vụ và thương hiệu tiêu dùng bao gồm Microsoft, Oracle và Facebook…

Các đơn vị sử dụng giải pháp của F5 Networks đặt hoàn toàn sự tin tưởng vào dịch vụ của công ty này nên hầu như không chuẩn bị thêm phương án dự phòng. Vì thế, việc xuất hiện lỗ hổng bảo mật lần này gây hoang mang và điêu đứng cho hệ thống tất cả doanh nghiệp lớn trên thế giới.

“Bằng cách khai thác lỗ hổng này, kẻ tấn công sẽ có quyền truy cập vào tiện ích cấu hình Big IP, mà không cần xác thực, thực hiện các tác vụ điều khiển từ xa (RCE)”, ông Đào Minh Tuấn – đại diện Công ty cổ phần An ninh mạng Việt Nam giải thích.

Nguy hiểm hơn, lỗ hổng này có thể đánh sập một hệ thống lớn nhưng cách khai thác lại đơn giản, người dùng không rõ về kỹ thuật cũng có thể tấn công thông qua nó. Bằng cách sử dụng những mã khai thác có sẵn đã được công khai phổ biến trên internet, bất kỳ ai cũng có thể trở thành hacker. Chưa bao giờ các hệ thống lớn lại bị đe dọa trầm trọng như hiện tại.

Đây là lý do CVE-2020-5902 đạt mức nguy hiểm tối đa 10/10

Hiện tại, F5 Networks đã công bố bản vá, chuyên gia của VSEC khuyến nghị các doanh nghiệp nên cập nhật bản mới và sử dụng các phiên bản đám mây (ví dụ: AWS, Azure, GCP và Alibaba) để chuyển sang các phiên bản Big IP Virtual Edition (VE) 11.6.5.2, 12.1.5.2, 13.1.3.4, 14.1.2.6, 15.0.1.4 hoặc 15.1.0.4 (nếu có thể).

Lỗ hổng an ninh đe dọa hơn 1 tỉ smartphone Android

Lỗ hổng cho phép ứng dụng độc hại triển khai và giả dạng bất kỳ phần mềm được cài sẵn trên máy rồi hiển thị giao diện giả mạo để lừa lấy thông tin người dùng.

Strandhogg từng bị khai thác trên Android hồi cuối năm 2019

Các chuyên gia bảo mật người Na Uy đã phát hiện ra một lỗ hổng bảo mật nghiêm trọng tên Strandhogg (CVE-2020-0096) ảnh hưởng tới hệ điều hành Android, cho phép hacker triển khai nhiều dạng tấn công với các hình thức giả mạo khác nhau. Strandhogg từng được phát hiện lần đầu vào cuối năm 2019, được một số kẻ tấn công triển khai thành công trên máy nạn nhân để ăn cắp thông tin ngân hàng và nhiều tài khoản đăng nhập, đồng thời theo dõi hoạt động trên thiết bị.

Với tên gọi mới Standhogg 2.0, lỗ hổng bảo mật mới này ảnh hưởng tới hầu hết thiết bị chạy Android, chỉ trừ các máy chạy phiên bản mới nhất là Android 10 (Android Q). Tuy nhiên, nền tảng này mới chỉ có mặt trên khoảng 15-20% tổng số thiết bị sử dụng hệ điều hành di động của Google trên toàn cầu, đồng nghĩa có trên 1 tỉ máy có khả năng bị khai thác.

Strandhogg 1.0 tồn tại trong tính năng đa tác vụ của Android, trong khi phiên bản 2.0 về cơ bản là một lỗ hổng đặc quyền cho phép tin tặc có quyền truy cập vào hầu hết ứng dụng có trên máy.

Khi người dùng chạm vào biểu tượng một ứng dụng hợp pháp bất kỳ trên thiết bị, phần mềm độc hại sẽ khai thác lỗ hổng Strandhogg để chặn và hack thao tác này nhằm hiển thị một giao diện giả mạo cho người dùng thay vì mở ứng dụng thật.

Strandhogg 1.0 chỉ có thể tấn công một ứng dụng ở một thời điểm, trong khi 2.0 cho phép tin tặc chủ động tấn công gần như mọi phần mềm có trên máy chỉ bằng một thao tác chạm và không yêu cầu phải cấu hình trước cho mỗi chương trình mục tiêu.

Theo THN, Strandhogg 2.0 ẩn chứa nhiều nguy hiểm và đáng quan ngại bởi nạn nhân gần như không thể phát hiện ra cuộc tấn công. Lỗ hổng này có khả năng hack và giả mạo giao diện của hầu như mọi ứng dụng có mặt trên thiết bị mà không cần phải cấu hình, được sử dụng để yêu cầu mọi sự cấp phép trên máy. Bên cạnh đó, bản 2.0 sử dụng được trên mọi thiết bị Android (trừ phiên bản Android 10) mà không đòi quyền root máy và cũng chẳng yêu cầu bất kỳ sự cho phép nào để hoạt động.

Ngoài việc trộm thông tin tài khoản, phần mềm độc hại có thể gia tăng mức độ nguy hiểm bằng việc đánh lừa người dùng cấp quyền truy cập nhạy cảm trên thiết bị khi đóng giả là ứng dụng hợp pháp.

"Tin tặc có thể lợi dụng Strandhogg 2.0 để có quyền truy cập vào tin nhắn, hình ảnh riêng tư, trộm thông tin đăng nhập các tài khoản, theo dõi hoạt động GPS, thực hiện hoặc ghi lại cuộc gọi hay theo dõi thông qua camera và microphone của điện thoại. Trong khi đó các chương trình chống virus hay quét bảo mật rất khó để phát hiện ra ứng dụng độc hại để đưa ra cảnh báo cho người dùng", đại diện nhóm nghiên cứu cho biết.

Google tìm ra rất nhiều lỗ hổng của Apple Nhóm chuyên tìm lỗi Project Zero của Google đã phát hiện loạt lỗ hổng bảo mật "zero-click" trên iPhone và các sản phẩm phần cứng nhà Táo. Lỗ hổng được tìm thấy sau khi các nhà nghiên cứu truy cập vào framework Image I/O trên tất cả nền tảng của Apple, bao gồm iOS, macOS, watchOS và thậm chí cả tvOS. Image I/O...

Bạn thấy bài viết này có hữu ích không?

Có;

Không

Tin liên quan

Chủ đề: doanh nghiệp an ninh hệ thống lỗ hổng adc vsec doanh nghiệp tài chính big ip

Xem thêm Share

Xem nhiều

Video sốc: Chụp ảnh check in, thanh niên 20 tuổi bất ngờ bị sóng "nuốt gọn" ngay trước mắt bạn bè00:31

Thực hư tin Campuchia điều binh sĩ tới biên giới với Thái Lan sau vụ đối đầu08:43

Ngô Thanh Vân lộ video vòng 2 lùm lùm trong tiệc sinh nhật, có động thái che chắn nhưng không đáng kể!01:15

Xuân Hinh tái xuất, cất giọng "trợ giúp" Hoà Minzy đầy ấn tượng, netizen rầm rộ gọi "MV của năm"04:19

Vì sao Văn Toàn dễ dàng cho Hoà Minzy vay 4 tỷ nhưng lần thứ hai cô bạn thân hỏi vay tiếp thì say "No"?00:44

Xót xa tiếng khóc bất lực của nữ chủ quán Đà Nẵng khi chứng kiến toàn bộ phòng trà bị thiêu rụi ngay trước mắt00:25

Khoảnh khắc "tiên tử kết màn" gây bão của người đàn ông tóc xanh mặc đẹp số 1 Hàn Quốc05:14

Livestream làm trà sữa cho khách nhưng ngậm cả miệng vào cốc: Chủ quán khóc khi bị lan truyền, nghi ngờ bị "chơi xấu"00:59

Xung đột Nga - Ukraine trước bước ngoặt08:59

Clip 2 thanh niên tông trúng người đang dắt chó sang đường rồi luống cuống bỏ chạy, số phận nạn nhân khiến triệu người lo lắng00:37

Video: Va chạm giao thông, 2 người phụ nữ xô xát với người đàn ông lớn tuổi00:20

Tin đang nóng

Tin mới nhất

Nâng cao và biến đổi hình ảnh của bạn bằng trình chỉnh sửa video trực tuyến CapCut

15:45:56 16/01/2024

Đã đến lúc bỏ lại các công cụ chỉnh sửa cũ và chấp nhận giải pháp thay đổi cuộc chơi. Gặp gỡ Trình chỉnh sửa video trực tuyến CapCut - giải pháp sẽ nâng cao, nâng cao và cách mạng hóa thế giới sáng tạo nội dung trực quan của bạn

Cách đăng Facebook để có nhiều lượt thích và chia sẻ

22:01:27 21/12/2022

Chắc hẳn là ai trong chúng ta cũng luôn muốn các bài đăng trên Facebook có được nhiều lượt thích và chia sẻ. Tuy nhiên, làm thế nào để tối ưu bài đăng thì không phải ai cũng biết

Thêm nhiều bang của Mỹ cấm TikTok

21:03:46 21/12/2022

Louisiana và Tây Virginia là hai bang mới nhất cấm công chức sử dụng TikTok trên thiết bị công do lo ngại Trung Quốc có thể theo dõi người Mỹ và kiểm duyệt nội dung

Microsoft cấm khai thác tiền điện tử trên các dịch vụ đám mây để bảo vệ khách hàng

20:03:41 21/12/2022

Microsoft đã cập nhật thỏa thuận cấm khai thác tiền điện tử trên các dịch vụ trực tuyến của mình. Việc khai thác tiền điện tử trên dịch vụ của Microsoft cần có sự cho phép bằng văn bản của công ty, nhưng cũng chỉ nhằm mục đích thử nghiệ...

Facebook trấn áp hàng loạt công ty phần mềm gián điệp

20:01:24 21/12/2022

Meta (công ty mẹ của Facebook) cho biết họ đã ngăn chặn không dưới 200 hoạt động bí mật, trấn áp hàng loạt công ty phần mềm gián điệp kể từ năm 2017 tại khoảng 70 quốc gia

Meta đối mặt cáo buộc vi phạm các quy tắc chống độc quyền với mức phạt 11,8 tỷ đô

19:01:39 21/12/2022

Ủy ban Châu Âu - cơ quan điều hành của EU cho biết, đã phát hiện Meta vi phạm các quy tắc chống độc quyền của EU bằng cách bóp méo sự cạnh tranh trên thị trường quảng cáo trực tuyến. Meta có thể phải đối mặt với khoản tiền phạt lên tới ...

Không cần thăm dò, Musk nên sớm từ chức CEO Twitter

15:01:33 21/12/2022

Người dùng Twitter, các nhà đầu tư Tesla và chuyên gia phân tích trong ngành đều cho rằng Elon Musk nên sớm từ chức CEO Twitter

Đại lý Việt nhập iPhone 14 kiểu 'bia kèm lạc'

14:01:42 21/12/2022

Muốn nhập được các mẫu bán chạy như iPhone 14 Pro/Pro Max, các chuỗi đại lý bán lẻ ủy quyền của Apple bắt buộc phải nhập thêm hàng loạt phụ kiện đi kèm

Khai trương hệ thống vé điện tử và dịch vụ trải nghiệm thực tế ảo XR tại Quần thể Di tích Cố đô Huế

09:38:18 21/12/2022

Sáng 20/12, tại Ngọ Môn, Đại Nội Huế, Trung tâm Bảo tồn Di tích Cố đô Huế đã tổ chức Lễ Khai trương Hệ thống vé điện tử và dịch vụ trải nghiệm thực tế ảo XR

'Dở khóc dở cười' với tính năng trợ giúp người bị tai nạn ôtô của Apple

09:37:54 21/12/2022

Tính năng phát hiện tai nạn ôtô mới ra mắt trên Apple iPhone và Apple Watch sẽ tự động tìm kiếm sự trợ giúp từ bộ phận cấp cứu khi có nguy cơ xảy ra tai nạn