Phát hiện lỗ hổng trên phần mềm rConfig cho phép hacker khai thác, chiếm quyền điều khiển hệ thống mạng

ictnews Theo cảnh báo mới từ VSEC, lỗ hổng nguy hiểm có mã CVE-2019-16662 cho phép kẻ tấn công thực thi mã từ xa trên rConfig, tiện ích quản lý cấu hình mạng phổ biến thường gặp trong hệ thống mạng lớn, các doanh nghiệp cung cấp hạ tầng mạng và viễn thông.

Với mức độ nguy hiểm 9.8/10 theo nhận định từ Viện Tiêu chuẩn và Kỹ thuật quốc gia Hoa Kỳ (NIST), VSEC đánh giá đây là một lỗ hổng đặc biệt nghiêm trọng, ảnh hưởng trực tiếp đến nhiều doanh nghiệp Việt Nam.

Công ty cổ phần An ninh mạng Việt Nam (VSEC) ngày 6/11 đã phát đi cảnh báo về một lỗ hổng có mã "CVE-2019-16662" dẫn tới nguy cơ bị tấn công RCE (Remote Code Execution), cho phép kẻ tấn công truy cập vào rConfig, thực hiện chiếm quyền điều khiển và quyền người dùng khi chưa đăng nhập. Từ đó, ảnh hưởng trực tiếp tới cấu hình các thiết bị mạng nằm trong hệ thống mà ứng dụng quản trị.

Lỗ hổng bảo mật có mã “CVE-2019-16662” được phát hiện trên tất cả các phiên bản của hệ thống quản trị mạng nguồn mở phổ biến rConfig, bao gồm cả phiên bản rConfig mới nhất 3.9.2. Với mức độ nguy hiểm 9.8/10 theo nhận định từ Viện Tiêu chuẩn và Kỹ thuật quốc gia Hoa Kỳ (NIST), VSEC đánh giá đây là một lỗ hổng đặc biệt nghiêm trọng, ảnh hưởng trực tiếp đến nhiều doanh nghiệp Việt Nam.

Theo phân tích của các chuyên gia VSEC, trong mã nguồn của ứng dụng, file thực thi “/install/lib/ajaxHandlers/ajaxServerSettingsChk.php” tồn tại biến “rootUname” được truyền vào 2 chuỗi, sau đó được thực thi qua hàm “exec()” nhưng lại không có bất kỳ cơ chế chuẩn hóa dữ liệu truyền vào. Lợi dụng điều này, kẻ tấn công có thể nhúng các đoạn mã thực thi vào ứng dụng, dễ dàng chiếm quyền điều khiển máy chủ, từ đó kiểm soát được toàn bộ hệ thống mạng do tiện ích rConfig quản lý.

rConfig là một tiện ích mã nguồn mở được viết bằng ngôn ngữ lập trình PHP, quản lý cấu hình thiết bị mạng như Router, Switch, Firewall… Tiện ích này cho phép các kỹ sư mạng chọn lệnh quản trị viên muốn chạy với thiết bị và tạo snapshot cấu hình của các thiết bị mạng.

Theo thông tin từ trang chủ của rConfig, tiện ích này đang quản lý hơn 3,3 triệu thiết bị bao gồm các bộ chuyển mạch, bộ định tuyến, tường lửa, bộ cân bằng tải, tối ưu hóa mạng WAN và có hơn 7.000 người dùng hoạt động. 

Còn tại Việt Nam, theo nghiên cứu tại VSEC uớc tính có khoảng hơn 10.000 thiết bị thuộc hệ thống mạng lớn tại các doanh nghiệp cung cấp hạ tầng mạng, hạ tầng CNTT và viễn thông đang sử dụng tiện ích rConfig.

Thông tin từ VSEC cũng cho hay, thời điểm hiện tại, chưa có bản vá với lỗ hổng nghiêm trọng trên rConfig. Do đó, dể đảm bảo an toàn cho các tổ chức và doanh nghiệp Việt, VSEC khuyến cáo các đơn vị đang sử dụng rConfig nên giới hạn địa chỉ IP truy cập vào hệ thống, chặn truy cập module "ajaxServerSettingsChk.php" nếu không sử dụng tới, sử dụng "http authentication" với các trang quản trị hoặc sử dụng các giải pháp quản trị thay thế khác. Thêm vào đó, các quản trị viên cần theo dõi sát để có thể cập nhật bản vá ngay khi có thể.

Trước những tác động lớn có thể xảy ra từ lỗ hổng, đội ngũ chuyên gia VSEC dự kiến sẽ phối hợp đánh giá website miễn phí toàn bộ các doanh nghiệp Việt Nam đang sử dụng tiện ích rConfig để tìm ra các rủi ro tiềm ẩn trong hệ thống, từ đó đưa ra các cảnh báo và giải pháp khắc phục kịp thời.

CEO Tim Cook: Lập trình cần được đưa vào giáo dục tiểu học

CEO Apple Tim Cook khẳng định kỹ năng lập trình là thiết yếu và cần được đưa vào chương trình giảng dạy từ cấp tiểu học.

Lại mạo danh TikTok, VPBank để lừa đảo

Kẻ xấu tiếp tục sử dụng tin nhắn SMS giả mạo ngân hàng và các công ty lớn để lừa đảo hòng chiếm đoạt tiền của người dân.

Trí tuệ nhân tạo tái hiện khuôn mặt người nổi tiếng qua đời từ khi còn trẻ

Những ngôi sao nổi tiếng thế giới qua đời cách đây hàng chục năm sẽ có dung nhan như thế nào nếu họ vẫn sống ở hiện tại? Một nghệ sĩ với sự trợ giúp của trí tuệ nhân tạo đã giúp tìm ra câu trả lời.

Quản lý AI tại các thành phố lớn

New York, London, Barcelona và các thành phố lớn trên thế giới đang nỗ lực thiết lập quy định đối với việc sử dụng trí tuệ nhân tạo (AI).

5G Ấn Độ sẽ rẻ nhất thế giới

Đây là khẳng định của tài phiệt Mukesh Ambani, ông chủ tập đoàn công nghiệp Reliance Industries.

TikTok gặp khó trong mở rộng thị trường mua sắm trực tiếp

Mua sắm trực tiếp (live-shoping), sự kết hợp giữa mua sắm và phát trực tiếp (livestream) là một miếng bánh béo bở nhưng không hề dễ dàng đối với TikTok tại các thị trường ngoài châu Á.

Trào lưu tóm tắt phim trên TikTok bắt đầu tấn công ra nước ngoài

Chỉ dài vài phút, những video tóm tắt nội dung phim kiểu “mì ăn liền” thu tiền về cho chủ kênh, nhưng gây hại cho nhà phát hành.

Chi 6 triệu đồng chuộc lại iPhone bị trộm ở TP.HCM

Sau khi trộm cướp iPhone, đa phần các đối tượng sẽ rã máy bán linh kiện. Người dùng trong câu chuyện này chuộc được lại chiếc iPhone 13 Pro của mình với giá 6 triệu đồng.

Gỡ "nút thắt cổ chai" cho đầu tư khởi nghiệp đổi mới sáng tạo

Dù đã có đầy đủ khung pháp lý cho các doanh nghiệp đổi mới sáng tạo và hoạt động đầu tư khởi nghiệp, nhưng để cạnh tranh với các nước trong khu vực thì vẫn còn nhiều điểm cần tháo gỡ mới có được môi trường phù hợp.

Ứng dụng AI cải thiện chất lượng không khí tại các thành phố lớn

Nhờ trí tuệ nhân tạo (AI), vấn đề ô nhiễm không khí có thể được giải quyết hiệu quả hơn. AI được sử dụng để để giám sát, đo lường, dự báo, tư vấn và quản lý chất lượng không khí ở các thành phố lớn.

Đang cập nhật dữ liệu !