Bộ phát wifi mắc lỗi bảo mật nghiêm trọng

www.tuoitre.vn -   11/04/2013 07:00:00 2861

Một lỗ hổng bảo mật được xác định vào cuối tuần trước trong bộ định tuyến Linksys EA2700 Network Manager N600 Wireless-N của Cisco vừa được các chuyên gia bảo mật lên tiếng cảnh báo.

Bộ phát wifi mắc lỗi bảo mật nghiêm trọng

Linksys - một lựa chọn phổ biến cho gia đình và doanh nghiệp nhỏ

Thiết bị này đã có mặt trên thị trường hơn một năm và là một lựa chọn phổ biến không chỉ cho người dùng gia đình mà cả đối với các doanh nghiệp nhỏ.

Nghiên cứu được thực hiện bởi nhà nghiên cứu bảo mật Phil Purviance bằng cách xem xét các tính năng quản trị qua giao diện web được nhúng trong thiết bị. Các lỗ hổng mà ông tìm thấy không chỉ được cho là nghiêm trọng mà còn có thể khai thác một cách khá đơn giản.

Theo Phil Purviance, trong thử nghiệm của mình, ông chỉ cần 30 phút là có thể kiểm soát hoàn toàn một hệ thống mạng chạy trên bộ định tuyến EA2700.

Lỗi bảo mật trong bộ phát wifi

Chỉ cần 30 phút là có thể kiểm soát hoàn toàn hệ thống mạng trên EA2700

Lỗ hổng được xác định là một lỗi XSS (cross-site scripting) đã được tìm thấy trong tập tin “apply.cgi” của router. Lỗi này cho phép kẻ tấn công truy cập vào thiết bị, thay đổi cài đặt hoặc tải phần mềm sửa đổi mà không cần thông qua giai đoạn xác thực.

Ngoài ra, ông còn tìm thấy một lỗ hổng có thể cho phép kẻ tấn công có thể thay đổi thông tin đăng nhập và quản lý từ xa các phần cứng trên cùng một mạng. Ông cho biết, một kẻ tấn công từ xa cũng có thể khai thác lỗ hổng tương tự bằng cách thu hút người dùng đến một trang web lưu trữ mã độc.

Theo Phil Purviance, ông đã báo cáo phát hiện này của mình cho Cisco vào ngày 5.3 nhưng đến này vẫn chưa có bản vá lỗi nào được đưa ra. Trong khi đó, Cisco đã không trả lời yêu cầu bình luận về vụ này.

Bộ định tuyến Linksys

Phần lớn người dùng cũng sẽ không bao giờ tìm hiểu về bản vá lỗi bộ định tuyến

Ngoài ra, Purviance còn cho biết, bản vá Cisco phát hành vào tháng 1.2013 để bịt lỗ hổng XSS trong các bộ định tuyến Linksys WRT54GL là không đầy đủ và chỉ vá một lỗ hổng không liên quan. Bằng chứng là phiên bản mới nhất của bộ định tuyến này (4.30.16) vẫn có thể bị tấn công theo cách mà ông đã trình bày năm ngoái tại Black Hat và AppSec ở Mỹ.

Gần đây, các nhà nghiên cứu bảo mật phát hiện và cảnh báo xu hướng tấn công mới mà mục tiêu nhắm vào khai thác lỗ hổng trong các bộ định tuyến nhúng dựa trên Linux như Linksys, D-Link, Netgear,...

Theo Tod Beardsley, quản lý kỹ thuật tại Rapid7, sự khác biệt lớn giữa các lỗ hổng này so với các lỗ hổng trên máy tính truyền thống (chẳng hạn như lỗ hổng Java hay Windows) là tiến độ phát hành các bản vá lỗi trên các thiết bị này thường rất chậm. Thậm chí nhiều nhà sản xuất hầu như rất ít quan tâm.

Ngay cả khi các nhà cung cấp phát hành firmware vá lỗi cho các thiết bị, phần lớn người dùng cũng sẽ không bao giờ tìm hiểu về chúng. Trong khi đó, các thiết bị này hầu hết đều không có chức năng cập nhật tự động. Và dĩ nhiên, các phần mềm chống virus lại càng không thể chạy được trên các thiết bị này. Kết quả là, các lỗ hổng tồn tại rất lâu dài và các thiết bị này có nguy cơ bị biến thành thành mảnh đất màu mỡ cho tội phạm mạng.

Theo Lao Động

TIN CÙNG CHUYÊN MỤC

Nhiều trang web chống virus giả mạo này ...

31/05/2024 08:00:00 153
Các chuyên gia bảo mật đã quan sát thấy các tác nhân đe dọa sử dụng các trang web giả mạo giả dạng g...

Top mười từ khóa trên Google không nên t...

31/05/2024 12:00:00 125
Dưới đây là những từ khóa được khuyến cáo không nên tìm kiếm trên Google.

Các nhà nghiên cứu phát hiện hoạt động k...

30/05/2024 08:00:00 125
Các nhà nghiên cứu an ninh mạng đã cảnh báo rằng nhiều lỗ hổng bảo mật có mức độ nghiêm trọng cao tr...

Nội dung của người dùng sẽ bị Facebook t...

30/05/2024 12:00:00 107
Nội dung công khai của người dùng – không phải tin nhắn riêng tư – sẽ được Meta sử dụng để đào tạo v...

Microsoft cảnh báo về sự gia tăng các cu...

29/05/2024 08:00:00 112
Microsoft đã nhấn mạnh sự cần thiết phải bảo mật các thiết bị công nghệ vận hành (OT) có kết nối int...

Elon Musk tố dữ liệu người dùng trên Wha...

29/05/2024 12:00:00 72
Elon Musk tuyên bố rằng WhatsApp xuất tất cả dữ liệu người dùng mỗi đêm, vi phạm quyền riêng tư nghi...
Xem thêm

TAGS

LIÊN HỆ

Thông tin liên hệ