Phát hiện lỗ hổng bảo mật trong thiết bị lưu trữ dữ liệu của D-link

Tạ Lê Trúc Quỳnh18:29 25/09/2019

CyStack cho biết đã phát hiện lỗ hổng bảo mật nguy hiểm ảnh hưởng tới nhiều thiết bị DNS-320 ShareCenter giúp kẻ xấu có thể truy cập vào toàn bộ dữ liệu của người dùng.

Cách thức kẻ tấn công đăng nhập vào thiết bị với quyền cao nhất.

Thông tin từ Công ty CyStack cho hay, đơn vị này đã phát hiện một lỗ hổng bảo mật nguy hiểm ảnh hưởng tới nhiều thiết bị DNS-320 ShareCenter. Đây là một giải pháp lưu trữ và chia sẻ dữ liệu phổ biến, thường dùng trong các doanh nghiệp và hộ gia đình do D-Link sản xuất. Lỗ hổng cho phép kẻ xấu có thể dễ dàng truy cập vào toàn bộ dữ liệu được lưu trữ trên thiết bị.

Ngay sau khi nhận được báo cáo của CyStack, D-Link đã thông báo cho người dùng về việc cập nhật bản vá mới nhất cho sản phẩm DNS-320 để khắc phục lỗ hổng này .

Video đang HOT

Chuyên gia Nguyễn Hữu Trung, người tìm ra lỗ hổng cho biết: “DNS-320 là một thiết bị lưu trữ mạng phổ biến do mức giá rẻ và hỗ trợ nhiều tính năng chia sẻ tiện ích. Tuy nhiên, cũng chính vì thế mà nhiều tập tin riêng tư của người dùng có nguy cơ bị xâm hại. Tại thời điểm nhóm nghiên cứu của CyStack phát hiện ra lỗ hổng này, có ít nhất 800 thiết bị đang chịu ảnh hưởng.”

Thiết bị DNS-320 ShareCenter tồn tại lỗ hổng bảo mật nguy hiểm tới dữ liệu người dùng.

Lỗ hổng đã được gắn mã CVE là CVE-2019-16057, một loại mã để định danh các lỗ hổng bảo mật được phát hiện trong các sản phẩm công nghệ phổ biến trên thế giới, được cung cấp bởi MITRE (một đơn vị được bảo trợ bởi Cơ quan An ninh nội địa Mỹ). Theo Viện tiêu chuẩn và kỹ thuật quốc gia Hoa Kỳ (NIST) thì lỗ hổng này được đánh giá ở mức độ nghiêm trọng cao nhất ( critical), với điểm số CVSS V2.0 là 10/10, CVSS V3.1 là 9.8/10.

“Nhóm nghiên cứu bảo mật tại CyStack tìm thấy lỗ hổng trong quá trình nghiên cứu về tính bảo mật của các thiết bị mạng của doanh nghiệp, bao gồm cả DNS-320 ShareCenter của D-link,” anh Trung chia sẻ. “Chúng tôi phát hiện ra điểm yếu bảo mật ở module đăng nhập của thiết bị, cụ thể là ở tính năng SSL Login.”

“Bằng một vài thủ thuật thay đổi tham số, kẻ tấn công có thể đánh lừa hệ thống và đăng nhập thành công vào thiết bị với quyền cao nhất (root permission). Khi đó, toàn bộ dữ liệu lưu trữ trong thiết bị của người dùng, bao gồm phim, ảnh, nhạc, tài liệu,… đều có thể bị kẻ xấu truy cập,” đại diện CyStack cho biết.

Theo VietNamPlus

D-Link chấp nhận kiểm tra lại toàn bộ hệ thống bảo mật của công ty

D-Link đã chấp nhận một vài điều kiện để có thể giải quyết một vụ kiện 2 năm được Ủy ban Thương mại Liên bang Mỹ (FTC) đệ trình, về tính bảo mật không đủ trên các sản phẩm của họ.

D-Link chấp nhận yêu cầu về đánh giá bảo mật từ FTC

Theo Engadget, để bắt đầu, công ty được yêu cầu thực hiện chương trình bảo mật phần mềm toàn diện, bao gồm kiểm tra các sản phẩm để tìm lỗ hổng trước khi chúng được phát hành, giám sát liên tục các sản phẩm để giải quyết các lỗi bảo mật, cập nhật bảo mật tự động và chấp nhận báo cáo lỗ hổng từ các nhà nghiên cứu bảo mật.

FTC đã đưa D-Link ra tòa vào năm 2017 về vấn đề bảo mật trong bộ định tuyến và camera IP. FTC cho biết công ty đã không giải quyết được các lỗi bảo mật có thể phòng ngừa được, chẳng hạn như lưu trữ mật khẩu trên ứng dụng của mình ở dạng văn bản thuần và sử dụng thông tin đăng nhập được mã hóa cứng cho các thiết bị của mình với tên người dùng và mật khẩu dễ đoán. Tòa án đã bác bỏ những yêu cầu đó một lần, bởi vì FTC đã không nộp đủ bằng chứng để chứng minh chúng.

Mặc dù FTC rõ ràng có thể mở lại vụ kiện, D-Link nói rằng họ không thấy có trách nhiệm cho bất kỳ vi phạm nào bị cáo buộc. Tòa án cũng đưa ra quyết định rằng D-Link không tham gia vào bất kỳ tuyên bố hoặc hoạt động tiếp thị lừa đảo nào. Thêm vào đó, D-Link nói rằng họ sẽ chỉ tiếp tục chương trình bảo mật phần mềm toàn diện hiện tại như là một phần của điều khoản giải quyết.

Cuối cùng, D-Link cũng được yêu cầu trải qua các đánh giá của bên thứ ba về chương trình bảo mật phần mềm của mình trong 10 năm. FTC phải phê duyệt đánh giá của bên thứ ba mà D-Link chọn, và đánh giá cần đảm bảo phát hiện vô tư và chính xác.

Theo Thanh Niên

Google thay khóa bảo mật Bluetooth vì có khả năng bị hack Google vừa phát hiện vấn đề bảo mật có thể cung cấp cho kẻ tấn công quyền truy cập vào thiết bị của người dùng, thông qua một công cụ bản chất là để giữ an toàn cho thiết bị. Ảnh: CNBC Theo CNBC, Google tiết lộ hôm nay 16.5 rằng hãng sẽ cung cấp thay thế miễn phí Bluetooth Low Energy Titan...

Bạn thấy bài viết này có hữu ích không?

Có;

Không

Tin liên quan

Xem thêm Share

Xem nhiều

Rộ clip 31 giây nghi là nguyên nhân Ngọc Trinh nghỉ chơi với Vũ Khắc Tiệp01:26

Phản ứng của Ngọc Trinh sau khi Vũ Khắc Tiệp xác nhận bị đàn em nghỉ chơi01:26

Nội bộ Mỹ mâu thuẫn về Ukraine?08:24

Nga liên lạc với 'lực lượng mạnh nhất' ở Syria14:18

Cảnh ái nữ cựu Chủ tịch "tám" với Chu Thanh Huyền ngỡ bình thường bỗng bị hội mẹ chồng online vào phán xét 1 điều00:43

Em trai Sơn Tùng và Thiều Bảo Trâm "đụng mặt", chỉ nói đúng 1 câu khiến Hải Tú ngay lập tức bị réo tên00:20

Hoa hậu Thuỳ Tiên ngượng ngùng khi có hành động tình cảm với 1 Anh Trai, Hoà Minzy "cứu nguy" mà chiếm luôn spotlight02:11

Sự thật clip cô dâu Sóc Trăng thất thần trước mâm quả sơ sài của nhà trai00:38

Thảm đỏ khủng hôm nay: Thùy Tiên đọ sắc 2 Hoa hậu quốc tế, Ý Nhi lại gây chú ý hậu "dao kéo"01:20

Chi nghìn USD đến Việt Nam, khách Tây ngồi rửa bát, tự nhóm bếp củi nấu cơm01:24

Tài xế công nghệ chở cô gái ngã nhào ra đường ở TPHCM nghi bị ép xe01:07

Tin đang nóng

Tin mới nhất

Nâng cao và biến đổi hình ảnh của bạn bằng trình chỉnh sửa video trực tuyến CapCut

15:45:56 16/01/2024

Đã đến lúc bỏ lại các công cụ chỉnh sửa cũ và chấp nhận giải pháp thay đổi cuộc chơi. Gặp gỡ Trình chỉnh sửa video trực tuyến CapCut - giải pháp sẽ nâng cao, nâng cao và cách mạng hóa thế giới sáng tạo nội dung trực quan của bạn

Cách đăng Facebook để có nhiều lượt thích và chia sẻ

22:01:27 21/12/2022

Chắc hẳn là ai trong chúng ta cũng luôn muốn các bài đăng trên Facebook có được nhiều lượt thích và chia sẻ. Tuy nhiên, làm thế nào để tối ưu bài đăng thì không phải ai cũng biết

Thêm nhiều bang của Mỹ cấm TikTok

21:03:46 21/12/2022

Louisiana và Tây Virginia là hai bang mới nhất cấm công chức sử dụng TikTok trên thiết bị công do lo ngại Trung Quốc có thể theo dõi người Mỹ và kiểm duyệt nội dung

Microsoft cấm khai thác tiền điện tử trên các dịch vụ đám mây để bảo vệ khách hàng

20:03:41 21/12/2022

Microsoft đã cập nhật thỏa thuận cấm khai thác tiền điện tử trên các dịch vụ trực tuyến của mình. Việc khai thác tiền điện tử trên dịch vụ của Microsoft cần có sự cho phép bằng văn bản của công ty, nhưng cũng chỉ nhằm mục đích thử nghiệ...

Facebook trấn áp hàng loạt công ty phần mềm gián điệp

20:01:24 21/12/2022

Meta (công ty mẹ của Facebook) cho biết họ đã ngăn chặn không dưới 200 hoạt động bí mật, trấn áp hàng loạt công ty phần mềm gián điệp kể từ năm 2017 tại khoảng 70 quốc gia

Meta đối mặt cáo buộc vi phạm các quy tắc chống độc quyền với mức phạt 11,8 tỷ đô

19:01:39 21/12/2022

Ủy ban Châu Âu - cơ quan điều hành của EU cho biết, đã phát hiện Meta vi phạm các quy tắc chống độc quyền của EU bằng cách bóp méo sự cạnh tranh trên thị trường quảng cáo trực tuyến. Meta có thể phải đối mặt với khoản tiền phạt lên tới ...

Không cần thăm dò, Musk nên sớm từ chức CEO Twitter

15:01:33 21/12/2022

Người dùng Twitter, các nhà đầu tư Tesla và chuyên gia phân tích trong ngành đều cho rằng Elon Musk nên sớm từ chức CEO Twitter

Đại lý Việt nhập iPhone 14 kiểu 'bia kèm lạc'

14:01:42 21/12/2022

Muốn nhập được các mẫu bán chạy như iPhone 14 Pro/Pro Max, các chuỗi đại lý bán lẻ ủy quyền của Apple bắt buộc phải nhập thêm hàng loạt phụ kiện đi kèm

Khai trương hệ thống vé điện tử và dịch vụ trải nghiệm thực tế ảo XR tại Quần thể Di tích Cố đô Huế

09:38:18 21/12/2022

Sáng 20/12, tại Ngọ Môn, Đại Nội Huế, Trung tâm Bảo tồn Di tích Cố đô Huế đã tổ chức Lễ Khai trương Hệ thống vé điện tử và dịch vụ trải nghiệm thực tế ảo XR

'Dở khóc dở cười' với tính năng trợ giúp người bị tai nạn ôtô của Apple

09:37:54 21/12/2022

Tính năng phát hiện tai nạn ôtô mới ra mắt trên Apple iPhone và Apple Watch sẽ tự động tìm kiếm sự trợ giúp từ bộ phận cấp cứu khi có nguy cơ xảy ra tai nạn