Cisco phát hành bản vá khắc phục lỗ hổng nghiêm trọng

05:25 | 18/03/2019

Hãng Cisco cho biết, bản vá lỗ hổng CVE-2019-1663 đã được phát hành sẵn sàng cho người dùng. Lỗ hổng này được đánh giá mức độ 9.8/ 10 điểm của thang đánh giá mức độ nghiêm trọng lỗ hổng CVSS, cho phép kẻ tấn công từ xa vượt qua lớp xác thực và có thể thực thi mã tùy ý.

Lỗ hổng CVE-2019-1663 được phát hiện bởi các nhà nghiên cứu bảo mật Yu Zhang, Haoliang Lu và T. Shiomitsu của Pen Test Partners (Anh). Lỗ hổng này ảnh hưởng đến các thiết bị Cisco RV110W Wireless-N VPN Firewall, Cisco RV130W Wireless-N Multifunction VPN Router và Cisco RV215W Wireless-N VPN Router. Các bộ định tuyến này thường được cách doanh nghiệp nhỏ sử dụng để kết nối mạng không dây trong các văn phòng có diện tích nhỏ hoặc các văn phòng tại nhà.

CVE-2019-1663 tồn tại trong trình quản lý thiết bị sử dụng giao diện web. Thông qua giao diện quản lý, các thiết bị cho phép kết nối bằng mạng LAN hoặc tính năng quản lý từ xa để cấu hình thiết bị. Lỗ hổng CVE-2019-1663 xuất phát từ cơ chế không kiểm tra hai lần tính chính xác dữ liệu do người dùng cung cấp gửi đến. Vì vậy, kẻ tấn công có thể gửi các yêu cầu HTTP độc hại đến các thiết bị bị ảnh hưởng bởi và thực thi mã tùy ý. Nghiêm trọng hơn, kẻ tấn công có thể truy cập từ xa mà không cần xác thực.

Theo phân tích của chuyên gia Ryan Seguin của Tenable (Mỹ), lỗ hổng được phát hiện là do các trường nhập dữ liệu của người dùng được xác thực không đúng thông qua giao diện quản lý người dùng HTTP/HTTPS. Cisco đã gắn thẻ lỗ hổng này là CWE-119 - ký hiệu cho lỗ hổng tràn bộ đệm. Điều này có nghĩa, trường nhập dữ liệu của người dùng đã xác thực trên các thiết bị này có thể thực hiện thao tác chèn mã vào bộ nhớ của thiết bị, sau đó thực thi ở cấp hệ thống. Tính năng quản lý từ xa theo mặc định không được kích hoạt trên các bộ định tuyến. Nhưng quản trị viên có thể kiểm tra bằng cách chọn Cài đặt cơ bản/Quản lý từ xa trong giao diện web của bộ định tuyến.

Mặc dù Cisco không đưa ra thông tin chi tiết về việc lỗ hổng này có bị khai thác trong thực tế hay không, nhưng Cisco đã phát hành bản cập nhật firmware cho các thiết bị bị ảnh hưởng bởi lỗ hổng để giải quyết nó. Các phiên bản phần mềm được vá là: RV110W Wireless-N VPN Firewall phiên bản 1.2.2.1, RV130W Wireless-N Multifunction VPN Router phiên bản 1.0.3.45 và RV215W Wireless-N VPN Router phiên bản 1.3.1.1.

Đây không phải là lần đầu tiên thiết bị của Cisco trở thành đích nhắm của tin tặc. Trước đó, vào tháng 1 đã phát hiện các hoạt động dò quét độc hại nhắm đến các thiết bị Cisco cho các doanh nghiệp nhỏ  RV320 và RV325 Dual Gigabit WAN VPN routers, mặc dù các thiết bị trên vừa được vá các lỗ hổng bảo mật. Tháng 11/2018, phát hiện một số kẻ tấn công đã khai thác lỗ hổng zero-day (CVE-2018-15454) trong một số sản phẩm bảo mật của Cisco, gây ra tình trạng từ chối dịch vụ (DoS).