Visual Tools DVR mắc lỗ hổng nghiêm trọng cho phép tin tặc tấn công từ xa

www.tuoitre.vn -   26/10/2021 12:00:00 369

Các chuyên gia đã tìm ra một lỗ hổng khá nghiêm trọng trong Visual Tools DVR gây ảnh hưởng tới độ bảo mật của người dùng. Theo như quan sát, khai thác lỗ hổng này cho phép tin tặc có thể tấn công bằng cách thực thi code từ xa (RCE), tệ hơn là lỗ hổng này đã bị khai thác trước khi có bất kỳ bản vá nào được tung ra.

Visual Tools DVR mắc lỗ hổng nghiêm trọng cho phép tin tặc tấn công từ xa

Các chuyên gia từ công ty bảo mật Swascan của Ý đã phát hiện ra một lỗ hổng nghiêm trọng trong Visual Tools DVR. Visual Tools là một sản phẩm ghi hình và giám sát của công ty công nghệ AX Solutions.

Lỗ hổng này tồn tại trong firmware VX16 phiên bản 4.2.28.0, các chuyên gia đã phát hiện lỗ hổng này trong khi kiểm thử xâm nhập. Họ phát hiện rằng có một lỗ hổng chèn lệnh (command injection flaw) cho phép kẻ tấn công có thể thực thi code tùy ý thông qua một thiết bị từ xa chưa được phép nhắm vào hệ thống chạy hệ điều hành Linux của mục tiêu. Như đã nêu trong báo cáo của họ: “ Trong Visual Tools DVR VX16 4.2.28, kẻ tấn công có thể chiếm quyền điều khiển từ xa thông qua các siêu ký tự đặc biệt (shell metacharacters) cgi-bin/slogin/login.py trong chuỗi nhận dạng người dùng HTTP (User-Agent HTTP)”.

Lỗ hổng được đặt mã CVE-2021-42071 này được đánh giá là cực kỳ nghiêm trọng với 9,8 điểm CVSS. Các chuyên gia cũng đã chia sẻ mã khai thác mẫu PoC trong báo cáo của họ.

Ngay sau phát hiện này vào tháng 6/2020, Swascan đã liên lạc với các nhà cung cấp để báo cáo về vấn đề này. Tuy nhiên, sau một năm thì lỗ hổng này vẫn chưa được vá và điều này buộc các chuyên gia phải công bố rộng rãi về lỗ hổng này.

Trong khi sự im lặng từ các nhà cung cấp về lỗ hổng này là rất tệ, nó đã thu hút sự chú ý của những kẻ xấu. Với việc lỗ hổng này vẫn chưa được vá vào thời điểm của bài viết này, người dùng nên cẩn trọng với thiết bị DVR của họ. Swascan khuyến cáo người dùng sử dụng VPN như một cách để phòng tránh.

Theo Thehackernews

TIN CÙNG CHUYÊN MỤC

Hacker lừa người dùng tải Windows 11 giả...

19/05/2022 08:00:00 25
Các miền gian lận giả danh cổng tải xuống Windows 11 của Microsoft đang cố gắng lừa người dùng triển...

Hơn 200 ứng dụng trên Cửa hàng Google Pl...

17/05/2022 08:00:00 13
Hơn 200 ứng dụng Android giả mạo là ứng dụng thể dục, chỉnh sửa ảnh và giải đố đã được phát hiện lây...

Các nhà nghiên cứu khám phá cách hacker ...

16/05/2022 08:00:00 18
Một phân tích bảo mật đầu tiên về chức năng iOS Find My đã xác định được một cách tấn công mới khiến...

Android và Chrome sẽ sớm tạo thẻ ứng dụn...

14/05/2022 08:00:00 18
Google đã tham dự hội nghị nhà phát triển hàng năm của mình để công bố một loạt các cập nhật về quyề...

Hàng nghìn trang web WordPress bị hack c...

13/05/2022 08:00:00 16
Các nhà nghiên cứu an ninh mạng đã tiết lộ một chiến dịch lớn chịu trách nhiệm đưa mã JavaScript độc...

Châu Âu đề xuất quy tắc mới cho các công...

12/05/2022 08:00:00 14
Ủy ban châu Âu hôm thứ Tư đề xuất quy định mới yêu cầu các công ty công nghệ quét tài liệu lạm dụng ...
Xem thêm

TAGS

LIÊN HỆ

Thông tin liên hệ