Phát hiện lỗ hổng trên phần mềm rConfig cho phép hacker khai thác, chiếm quyền điều khiển hệ thống mạng

ictnews Theo cảnh báo mới từ VSEC, lỗ hổng nguy hiểm có mã CVE-2019-16662 cho phép kẻ tấn công thực thi mã từ xa trên rConfig, tiện ích quản lý cấu hình mạng phổ biến thường gặp trong hệ thống mạng lớn, các doanh nghiệp cung cấp hạ tầng mạng và viễn thông.

Với mức độ nguy hiểm 9.8/10 theo nhận định từ Viện Tiêu chuẩn và Kỹ thuật quốc gia Hoa Kỳ (NIST), VSEC đánh giá đây là một lỗ hổng đặc biệt nghiêm trọng, ảnh hưởng trực tiếp đến nhiều doanh nghiệp Việt Nam.

Công ty cổ phần An ninh mạng Việt Nam (VSEC) ngày 6/11 đã phát đi cảnh báo về một lỗ hổng có mã "CVE-2019-16662" dẫn tới nguy cơ bị tấn công RCE (Remote Code Execution), cho phép kẻ tấn công truy cập vào rConfig, thực hiện chiếm quyền điều khiển và quyền người dùng khi chưa đăng nhập. Từ đó, ảnh hưởng trực tiếp tới cấu hình các thiết bị mạng nằm trong hệ thống mà ứng dụng quản trị.

Lỗ hổng bảo mật có mã “CVE-2019-16662” được phát hiện trên tất cả các phiên bản của hệ thống quản trị mạng nguồn mở phổ biến rConfig, bao gồm cả phiên bản rConfig mới nhất 3.9.2. Với mức độ nguy hiểm 9.8/10 theo nhận định từ Viện Tiêu chuẩn và Kỹ thuật quốc gia Hoa Kỳ (NIST), VSEC đánh giá đây là một lỗ hổng đặc biệt nghiêm trọng, ảnh hưởng trực tiếp đến nhiều doanh nghiệp Việt Nam.

Theo phân tích của các chuyên gia VSEC, trong mã nguồn của ứng dụng, file thực thi “/install/lib/ajaxHandlers/ajaxServerSettingsChk.php” tồn tại biến “rootUname” được truyền vào 2 chuỗi, sau đó được thực thi qua hàm “exec()” nhưng lại không có bất kỳ cơ chế chuẩn hóa dữ liệu truyền vào. Lợi dụng điều này, kẻ tấn công có thể nhúng các đoạn mã thực thi vào ứng dụng, dễ dàng chiếm quyền điều khiển máy chủ, từ đó kiểm soát được toàn bộ hệ thống mạng do tiện ích rConfig quản lý.

rConfig là một tiện ích mã nguồn mở được viết bằng ngôn ngữ lập trình PHP, quản lý cấu hình thiết bị mạng như Router, Switch, Firewall… Tiện ích này cho phép các kỹ sư mạng chọn lệnh quản trị viên muốn chạy với thiết bị và tạo snapshot cấu hình của các thiết bị mạng.

Theo thông tin từ trang chủ của rConfig, tiện ích này đang quản lý hơn 3,3 triệu thiết bị bao gồm các bộ chuyển mạch, bộ định tuyến, tường lửa, bộ cân bằng tải, tối ưu hóa mạng WAN và có hơn 7.000 người dùng hoạt động. 

Còn tại Việt Nam, theo nghiên cứu tại VSEC uớc tính có khoảng hơn 10.000 thiết bị thuộc hệ thống mạng lớn tại các doanh nghiệp cung cấp hạ tầng mạng, hạ tầng CNTT và viễn thông đang sử dụng tiện ích rConfig.

Thông tin từ VSEC cũng cho hay, thời điểm hiện tại, chưa có bản vá với lỗ hổng nghiêm trọng trên rConfig. Do đó, dể đảm bảo an toàn cho các tổ chức và doanh nghiệp Việt, VSEC khuyến cáo các đơn vị đang sử dụng rConfig nên giới hạn địa chỉ IP truy cập vào hệ thống, chặn truy cập module "ajaxServerSettingsChk.php" nếu không sử dụng tới, sử dụng "http authentication" với các trang quản trị hoặc sử dụng các giải pháp quản trị thay thế khác. Thêm vào đó, các quản trị viên cần theo dõi sát để có thể cập nhật bản vá ngay khi có thể.

Trước những tác động lớn có thể xảy ra từ lỗ hổng, đội ngũ chuyên gia VSEC dự kiến sẽ phối hợp đánh giá website miễn phí toàn bộ các doanh nghiệp Việt Nam đang sử dụng tiện ích rConfig để tìm ra các rủi ro tiềm ẩn trong hệ thống, từ đó đưa ra các cảnh báo và giải pháp khắc phục kịp thời.

Yếu tố nào để doanh nghiệp sản xuất camera Việt Nam có lợi thế cạnh tranh?

Quy mô thị trường đủ lớn và các chính sách hỗ trợ cúa Nhà nước là hai yếu tố giúp kích thích sản xuất và mang lại lợi thế cạnh tranh cho doanh nghiệp sản xuất camera Việt Nam.

'Like dạo' có thể khiến người Trung Quốc bị phạt

Kể từ ngày 15/12, bấm thích các bài đăng "bất hợp pháp" trên mạng xã hội có thể tương đương với hành vi vi phạm pháp luật ở Trung Quốc.

Có gì bên trong trái bóng vừa khiến Ronaldo mất bàn thắng

Các cảm biến bên trong trái bóng Ah Rihla thu thập và truyền dữ liệu thời gian thực bổ sung cho VAR và các chương trình đánh giá việt vị.

Sản phẩm AI của VNG được Mỹ chứng nhận tiêu chuẩn nhận diện gương mặt

Định danh người dùng với công nghệ AI thuộc VNG được iBeta chứng nhận về công nghệ xác định người thật chỉ từ một bức hình đơn.

Đà Nẵng sẽ xây dựng cơ chế riêng giải "cơn khát" nhân lực chuyển đổi số

Trong giai đoạn 2022 - 2025 Đà Nẵng cần bổ sung tối thiểu 7.500 nhân lực công nghệ thông tin/năm; giai đoạn 2026 - 2030, con số này là 8.000 nhân lực/năm.

Nhận quả đắng từ tín dụng đen, startup vay ngang hàng Việt dìu nhau tránh thị trường đổ vỡ

Sau khi “hớt váng”, các công ty Trung Quốc dần rút khỏi thị trường và để lại không ít hậu quả cho thị trường Fintech Việt Nam.

Nhà mạng tận dụng thế mạnh hạ tầng để sản xuất camera

Dịch vụ camera gần giống như một dịch vụ viễn thông do phải có kết nối đường truyền, lưu trữ trên cloud... Doanh nghiệp nước ngoài sẽ không có được sự kết nối với nhà mạng như các doanh nghiệp sản xuất camera trong nước.

Chuyển tiền quốc tế từ Hàn Quốc về Việt Nam trên Zalo

Người Việt Nam và người nước ngoài sinh sống tại Hàn Quốc có thể gửi tiền về Việt Nam trực tiếp trên cửa sổ chat Zalo.

Địa chỉ xem trực tiếp World Cup 2022, Ả Rập Xê Út vs Mexico, 2h00 ngày 1/12

Kênh VTV2 để xem trận đấu giữa Ả Rập Xê Út và Mexico hôm nay có trên những hệ thống truyền hình trực tuyến như VTV News, VTV Go, VTVcab ON, hay cả FPT Play, TV360...

Địa chỉ xem trực tiếp World Cup 2022, Argentina vs Ba Lan, 2h00 ngày 1/12

Kênh VTV3 để xem trận đấu giữa Ba Lan và Argentina hôm nay có trên những hệ thống truyền hình trực tuyến như VTV News, VTV Go, VTVcab ON, hay cả FPT Play, TV360...

Đang cập nhật dữ liệu !