Chuyên mục
Lỗ Hổng Bảo Mật

[Cảnh Báo] Máy chủ Windows chạy IIS dễ bị tấn công DDoS

Microsoft mới đây vừa xuất bản thông báo trên Trung tâm phản hồi bảo mật của mình, cho biết các máy chủ Windows Server và Windows 10 sử dụng dịch vụ Internet Information Services (IIS) có thể trở thành nạn nhân của các cuộc tấn công từ chối dịch vụ (DDoS)

[Cảnh Báo] Máy chủ Windows chạy IIS dễ bị tấn công DDoS - Cybersec365.org
[Cảnh Báo] Máy chủ Windows chạy IIS dễ bị tấn công DDoS – Cybersec365.org
Cụ thể, tất cả các máy chủ Windows Server 2016, Windows Server Version 1709,  Windows Server Version 1803, kể cả Windows 10 (versions 1607, 1703, 1709, và 1803) khi chạy dịch vụ IIS đều bị ảnh hưởng bởi vấn đề này.
Lỗ hổng này được Microsoft miêu tả có thể cho phép kẻ tấn công kích hoạt tình trạng DDoS bằng các tận dụng lỗi làm cạn kiệt tài nguyên của IIS. Khi kích hoạt, kẻ tấn công có thể khiến mức sử dụng CPU tăng đột biến lên 100% và làm tê liệt dịch vụ IIS.
Được biết, để kích hoạt lỗi này, tin tặc chỉ cần gởi các request HTTP/2 thủ công đến các máy chủ Windows đang chạy dịch vụ IIS.
Theo Microsoft, hiện không có giải pháp nào khác ngoài việc cài đặt các bản cập nhật bảo mật do họ công bố để hạn chế ảnh hưởng của lỗ hổng này. Thông tin tải về các bạn có thê xem tại đây.
[Cảnh Báo] Máy chủ Windows chạy IIS dễ bị tấn công DDoS - Cybersec365.org
[Cảnh Báo] Máy chủ Windows chạy IIS dễ bị tấn công DDoS – Cybersec365.org
Nguồn: bleepingcomputer
Chuyên mục
Lỗ Hổng Bảo Mật

[Cảnh Báo] Lại một lỗ hổng nghiệm trọng được phát hiện trong Drupal – hãy cập nhật website của bạn ngay khi có thể

Các nhà phát triển Drupal – một nền tảng quản lý nội dung mã nguồn mở được sử dụng bởi hàng triệu website trên thế giới, vừa phát hành một bản vá mới cho sản phẩm của mình để vá một lỗ hổng cực kỳ nghiêm trọng, có thể cho phép tin tặc tiến hành tấn công website từ xa.

[Cảnh Báo] Lại một lỗ hổng nghiệm trọng được phát hiện trong Drupal - hãy cập nhật website của bạn ngay khi có thể
[Cảnh Báo] Lại một lỗ hổng nghiệm trọng được phát hiện trong Drupal – hãy cập nhật website của bạn ngay khi có thể
Theo đó, lỗ hổng này – được đánh mã hiệu là CVE-2019-6340, là một lỗ hởng nằm trong Core của nền tảng Drupal, ảnh hưởng đến tất cả các phiên bản của nền tảng Drupal 7 và 8, có thể cho phép tin tặc thực thi mã lệnh PHP tuỳ ý trong một số trường hợp. 
Cụ thể, vấn đề này liên quan đến 2 module được tính hợp trong lõi của Drupal bao gồm RESTful Web Services (rest) và web services module.
Theo khuyến cáp từ các nhà phát triển Drupal, các dịch vụ web kể trên có thể xử lý không đúng các dữ liệu đầu vào của người dùng, dẫn đến khả năng bị tin tặc khai thác và chiếm quyền điều khiển website mà không cần bất kỳ lớp xác thưucj nào.
Hiện tại, nếu người dùng đang sử dụng Drupal 8.6.x và 8.x, hãy mau chóng cập nhật lên phiên bản Drupal 8.6.10 hoặc 8.5.11. Nếu đang sử dụng Drupal 7, bạn cần vô hiệu hóa tất cả các mô-đun dịch vụ web hoặc cấu hình máy chủ web của bạn để không cho phép các yêu cầu PUT / PATCH / POST đối với tài nguyên dịch vụ web
Nguồn: Drupal
Chuyên mục
Lỗ Hổng Bảo Mật

[Cảnh báo] Phát hiện lỗ hổng bảo mật nghiêm trọng trong tất cả các phiên bản WinRAR

Một lỗ hổng bảo mật nghiêm trọng tồn tại trong tất cả các phiên bản WinRAR được phát hành trong vòng 19 năm qua có thể ảnh hưởng đến hàng trăm triệu người dùng máy tính Windows trên toàn thế giới.

[Cảnh báo] Phát hiện lỗ hổng bảo mật nghiêm trọng trong tất cả các phiên bản WinRAR - Cybersec365.org
[Cảnh báo] Phát hiện lỗ hổng bảo mật nghiêm trọng trong tất cả các phiên bản WinRAR – Cybersec365.org
Cụ thể, các nhà nghiên cứu bảo mật thuộc hãng bảo mật CheckPoint cho biết vừa phát hiện một lỗ hổng bảo mật nghiêm trọng trong WinRAR – một ứng dụng nén file phổ biến trên Windows với hơn 500 triệu người dùng trên toàn thế giới, ảnh hưởng đến tất cả các phiên bản của phần mềm này được phát hành trong 19 năm qua.
Theo đó, lỗ hổng này nằm trong thư viện của một bên thứ ba, có tên gọi là UNACEV2.DLL, được sử dụng bởi phần mềm xử lý trích xuất dữ liệu từ các tập tin nén ACE.
Tuy nhiên, vì WinRAR phát hiện định dạng theo nội dung của tệp chứ không dựa trên phần mở rộng cho nên kẻ tấn công có thể thay đổi phần mở rộng .ace thành phần mở rộng .rar để làm cho nó trông giống như bình thường.
Ngoài ra, các nhà nghiên cứu cũng đã phát hiện ra một lỗi “Absolute Path Traversal” trong thư viện, cho phép kẻ tấn công thực thi mã lệnh tuỳ ý lên hệ thống mục tiêu. Lỗ hổng này có thể cho phép tin tặc trích xuất các tệp nén vào một thư mục do tin tặc chỉ định sẵn, bỏ qua lựa chọn của người dùng. Do đó, tin tặc hoàn toàn có thể trích xuất một tệp thực thi mã độc vào thư mục Start up của Windows để cấp quyền cho nó tự động khởi chạy vào lần khởi động máy tiếp theo.
Hiện tại, WinRAR đã loại bỏ thư viện UNACEV2.DLL ra khỏi mã nguồn của mình trong phiên bản WinRAR 5.70 beta 1. Và dĩ nhiên, phiên bản này không còn hỗ trợ định dạng ACE. Các nhà nghiên cứu khuyến cáo người dùng WIndows nên nhanh chóng cập nhật lên phiên bản WinRAR 5.70 beta 1 mới nhất càng sớm càng tốt
Nguồn: The Hacker News
Chuyên mục
Lỗ Hổng Bảo Mật

(Security365) Khai thác bảo mật mới khiến hơn 9.000 bộ định tuyến Cisco RV320 / RV325 có thể bị hack trên toàn thế giới

(Security365) Khai thác bảo mật mới khiến hơn 9.000 bộ định tuyến Cisco RV320 / RV325 có thể bị hack trên toàn thế giới

https://1.bp.blogspot.com/-XOZnlffGMP8/XE7nbFKrD-I/AAAAAAAAzKw/AdK-1PkPXhYWGCDD3VJTTez6LvgSa1uuACLcBGAs/s728-e100/hacking-cisco-routers.jpgNếu khả năng kết nối và bảo mật của tổ chức của bạn dựa trên bộ định tuyến Cisco RV320 hoặc RV325 Dual Gigabit VPN, thì bạn cần cài đặt ngay bản cập nhật firmware mới nhất do nhà cung cấp phát hành vào tuần trước.
Những kẻ tấn công mạngđã tích cực khai thác hai lỗ hổng bộ định tuyến nghiêm trọng mới được vá sau khi một nhà nghiên cứu bảo mật công bố mã khai thác chứng minh nghiên cứu của họ trên Internet vào cuối tuần trước.
Các lỗ hổng này là lỗ hổng tiêm lệnh (được gán nhãn CVE-2019-1652) và lỗ hổng tiết lộ thông tin (được gán nhãn CVE-2019-1653), và một sự kết hợp có thể cho phép kẻ tấn công từ xa kiểm soát hoàn toàn bộ định tuyến của Cisco bị ảnh hưởng.

Lỗ hổng đầu tiên tồn tại trong các bộ định tuyến VPN gigabit kép RV320 và RV325 chạy các phiên bản phần mềm 1.4.2.15 đến 1.4.2.19 và lỗi thứ hai ảnh hưởng đến các phiên bản phần mềm 1.4.2.15 và 1.4.2.17. Cả hai lỗ hổng, được phát hiện và báo cáo bởi công ty bảo mật RedTeam Pentesting của Đức, thực sự nằm trong giao diện quản lý dựa trên web được sử dụng cho các bộ định tuyến và có thể khai thác từ xa.

  • CVE-2019-1652 : Lỗ hổng này cho phép kẻ tấn công từ xa được xác thực với các đặc quyền quản trị trên thiết bị bị ảnh hưởng để thực thi các lệnh tùy ý trên hệ thống.
  • CVE-2019-1653 : Lỗ hổng này không yêu cầu bất kỳ xác thực nào để truy cập cổng quản lý dựa trên web của bộ định tuyến, cho phép kẻ tấn công lấy thông tin nhạy cảm bao gồm tệp cấu hình của bộ định tuyến chứa thông tin chẩn đoán băm MD5 và thông tin chẩn đoán.
Mã khai thác PoC nhắm vào mục tiêu là các bộ định tuyến Cisco RV320 / RV325 được xuất bản trên Internet trước tiên khai thác CVE-2019-1653 để lấy tệp cấu hình từ bộ định tuyến để lấy thông tin băm và sau đó khai thác CVE-2019-1652 để thực thi các lệnh tùy ý và giành quyền kiểm soát hoàn toàn của thiết bị bị ảnh hưởng.
Các nhà nghiên cứu từ công ty an ninh mạng Bad Packets cho biết họ đã tìm thấy ít nhất 9.657 bộ định tuyến của Cisco (6.247 RV320 và 3.410 RV325) trên toàn thế giới dễ bị tổn thương trước lỗ hổng tiết lộ thông tin, hầu hết ở Hoa Kỳ.
Công ty đã chia sẻ một bản đồ tương tác, hiển thị tất cả các bộ định tuyến Cisco RV320 / RV325 dễ bị tổn thương ở 122 quốc gia và trên mạng của 1.619 nhà cung cấp dịch vụ internet.
Bad Packets cho biết honeypot của họ đã phát hiện hoạt động quét cơ hội đối với các bộ định tuyến dễ bị tấn công từ nhiều máy chủ từ thứ Bảy, cho thấy tin tặc đang tích cực cố gắng khai thác lỗ hổng để kiểm soát hoàn toàn các bộ định tuyến dễ bị tấn công.

Cách tốt nhất để bảo vệ bạn khỏi trở thành mục tiêu của một cuộc tấn công như vậy là cài đặt bản phát hành phần mềm Cisco RV320 và RV325 mới nhất 1.4.2.20 càng sớm càng tốt.
Nguyễn Vinh (AnToanThongTin.Edu.Vn)