Vào ngày 23/9/2024, Nhà nghiên cứu bảo mật Simone Margaritelli công bố báo cáo tiết lộ lỗ hổng thực thi lệnh từ xa chưa được xác thực ảnh hưởng đến tất cả các hệ thống GNU/Linux. Lỗ hổng được đánh giá là nghiêm trọng và có điểm CVSS là 9,9.
Margaritelli cho biết: “Kẻ tấn công từ xa không được xác thực có thể bí mật thay thế các URL IPP của máy in hiện có (hoặc cài đặt máy in mới) bằng một URL độc hại, dẫn đến việc thực thi lệnh tùy ý (trên máy tính) khi bắt đầu công việc in (từ máy tính đó)”.
Được biết, CUPS là hệ thống in mã nguồn mở dành cho Linux và các hệ điều hành Unix khác, bao gồm ArchLinux, Debian, Fedora, Red Hat Enterprise Linux (RHEL), ChromeOS, FreeBSD, NetBSD, OpenBSD, openSUSE và SUSE Linux. Các lỗ hổng được gắn mã định danh như sau: CVE-2024-47176, CVE-2024-47076, CVE-2024-47175 và CVE-2024-47177.
Hậu quả tất yếu của những lỗ hổng này là chúng có thể bị những kẻ tấn công lạm dụng thành một chuỗi khai thác, cho phép chúng tạo ra một thiết bị in giả độc hại trên hệ thống Linux chạy CUPS thông qua mạng và thực thi lệnh từ xa khi gửi lệnh in.
Công ty bảo mật mạng Ontinue (Mỹ) chia sẻ: “Các lỗ hổng xuất phát từ việc xác thực dữ liệu mạng không đầy đủ, cho phép kẻ tấn công cài đặt trình điều khiển máy in độc hại vào hệ thống dễ bị tấn công, sau đó gửi lệnh in đến trình điều khiển đó để kích hoạt thực thi mã độc hại. Sau đó mã độc được thực thi với quyền của người dùng lp, không phải root”.
Red Hat cho biết tất cả các phiên bản của hệ điều hành đều bị ảnh hưởng bởi bốn lỗ hổng trên, nhưng lưu ý rằng chúng không dễ bị tấn công trong cấu hình mặc định. “Bằng cách liên kết nhóm lỗ hổng này lại với nhau, kẻ tấn công có khả năng thực thi mã từ xa, từ đó có thể dẫn đến đánh cắp dữ liệu nhạy cảm”, Red Hat nhấn mạnh.
Công ty an ninh mạng Rapid7 (Mỹ) chỉ ra rằng các hệ thống bị ảnh hưởng có thể bị khai thác từ mạng Internet công cộng hoặc trên các phân đoạn mạng, chỉ khi cổng UDP 631 có thể truy cập được và dịch vụ dễ bị tấn công đang mở.
Hãng bảo mật Palo Alto Networks (Mỹ) tiết lộ không có sản phẩm và dịch vụ đám mây nào của họ chứa các gói phần mềm liên quan đến CUPS đã đề cập ở trên và do đó không bị ảnh hưởng bởi các lỗ hổng này.
Các bản vá cho các lỗ hổng hiện đang được phát triển và dự kiến sẽ được phát hành trong những thời gian tới. Cho đến lúc đó, người dùng nên tắt và xóa dịch vụ cups-browsed nếu không cần thiết và chặn hoặc hạn chế lưu lượng truy cập đến cổng UDP 631.
Satnam Narang, nhà nghiên cứu bảo mật tại hãng bảo mật Tenable (Mỹ), đánh giá những lỗ hổng này không ở mức độ như Log4Shell hay Heartbleed. “Thực tế là trong nhiều phần mềm, dù là mã nguồn mở hay đóng, vẫn tồn tại vô số lỗ hổng chưa được phát hiện và tiết lộ”, Narang cho biết.
Hồng Đạt
(Tổng hợp)
08:00 | 26/09/2024
16:00 | 13/09/2024
14:00 | 17/09/2024
14:00 | 11/10/2024
Các nhà nghiên cứu bảo mật đến từ công ty an ninh mạng Forescout (Mỹ) đã phát hiện 14 lỗ hổng bảo mật được đánh giá nghiêm trọng trên bộ định tuyến DrayTek.
17:00 | 10/10/2024
Các trang web cửa hàng trực tuyến sử dụng Adobe Commerce và Magento đang là mục tiêu của các cuộc tấn công mạng có tên là CosmicSting với tốc độ đáng báo động, trong đó kẻ tấn công đã tấn công khoảng 5% tổng số cửa hàng.
13:00 | 30/09/2024
Cơ quan Cơ sở hạ tầng và An ninh mạng Hoa Kỳ (CISA) đã thêm 5 lỗ hổng vào danh mục Các lỗ hổng đã biết bị khai thác (KEV), trong đó có lỗ hổng thực thi mã từ xa (RCE) ảnh hưởng đến Apache HugeGraph-Server.
14:00 | 20/08/2024
Theo Cisco Talos, một viện nghiên cứu trực thuộc chính phủ Đài Loan chuyên về điện toán và các công nghệ liên quan đã bị nhóm tin tặc có mối liên kết với Trung Quốc tấn công.
Trong tháng 9/2024, Trung tâm Giám sát an toàn không gian mạng quốc gia (Cục An toàn thông tin, Bộ TT&TT) đã ghi nhận 125.338 địa chỉ website giả mạo các cơ quan, tổ chức tăng hơn 100 địa chỉ so với tháng 8 trước đó.
14:00 | 24/10/2024