An toàn thông tin

Mikrotik muộn màng vá lỗ hổng RouterOS bị khai thác

Hạnh Tâm 10:30 25/05/2023

MikroTik, công ty công nghệ chuyên về bộ định tuyến và hệ thống ISP không dây, đã vá một lỗ hổng bảo mật lớn trong sản phẩm RouterOS của mình sau 5 tháng kể từ khi lỗ hổng này bị khai thác tại sự kiện Pwn2Own Toronto.

Nhà sản xuất thiết bị mạng Latvian MikroTik đã gửi bản vá lỗi bảo mật lớn trong sản phẩm RouterOS của mình và xác nhận lỗ hổng này đã bị khai thác cách đây 5 tháng tại cuộc thi hack Pwn2Own Toronto.

Trong một tài liệu tư vấn về lỗ hổng CVE-2023-32154, Mikrotik đã xác nhận rằng sự cố này ảnh hưởng đến các thiết bị chạy MikroTik RouterOS phiên bản v6.xx và v7.xx có kích hoạt tính năng nhận quảng cáo IPv6.

a2.jpg

Theo ZDI, nhà tổ chức sự kiện khai thác phần mềm Pwn2Own, lỗ hổng cho phép những kẻ tấn công mạng thực thi mã tùy ý trên các bản cài đặt Mikrotik RouterOS bị ảnh hưởng. “Lỗ hổng tồn tại trong Router Advertisement Daemon, là sự cố thiếu xác thực hợp lệ dữ liệu do người dùng cung cấp dẫn đến việc ghi vào phần cuối bộ đệm được phân bổ. Kẻ tấn công có thể lợi dụng lỗ hổng này để thực thi mã trong ngữ cảnh root”.

Ban tổ chức Pwn2Own đã quyết định đưa ra khuyến nghị tới công chúng trước khi có các bản vá sau 5 tháng chờ đợi để MikroTik xác nhận và khắc phục lỗ hổng bảo mật đã bị khai thác.

ZDI cho biết đã báo cáo vấn đề với MikroTik trong sự kiện vào tháng 12/2022 và yêu cầu cập nhật vào tháng 5 năm nay. Vào ngày 10 tháng 5, ZDI cho biết họ “tiết lộ lại báo cáo theo yêu cầu của nhà cung cấp” và cho công ty thêm một tuần để cung cấp các bản vá.

Đáp lại, MikroTik cho biết họ không tìm thấy hồ sơ tiết lộ vào tháng 12 từ ZDI và họ đã không có mặt tại sự kiện Toronto vào tháng 12 để thảo luận về việc khai thác.

Các lỗi bảo mật trong bộ định tuyến MikroTik đã xuất hiện trong danh sách phải vá của CISA và trước đây lỗi này đã từng được sử dụng để xây dựng các mạng botnet độc hại./.

Bài liên quan
Nổi bật Tạp chí Thông tin & Truyền thông
Đừng bỏ lỡ
  • Ngành TT&TT vươn mình trong kỷ nguyên mới
    Theo Bộ trưởng Bộ TT&TT Nguyễn Mạnh Hùng, các xếp hạng lĩnh vực TT&TT của Việt Nam đang có thứ hạng cao và nhiều thứ hạng trong top đầu thế giới. Do vậy, Ngành TT&TT cần tiếp tục phát huy trong kỷ nguyên vươn mình của dân tộc.
  • Bộ TT&TT hướng dẫn đầu tư CNTT sử dụng nguồn vốn ngân sách Nhà nước
    Việc ban hành 2 Thông tư, hành lang pháp lý cho hoạt động đầu tư ứng dụng công nghệ thông tin, thuê dịch vụ công nghệ thông tin sử dụng nguồn vốn ngân sách Nhà nước cơ bản đầy đủ, tạo thuận lợi cho các bộ, ngành, địa phương, cơ quan, đơn vị đẩy mạnh chuyển đổi số trong giai đoạn tới.
  • Các dự đoán về AI năm 2025
    Năm 2024, chúng ta thấy trí tuệ nhân tạo (AI) đã chuyển từ giai đoạn thí điểm sang ứng dụng thương mại. Sang năm 2025, AI sẽ mở rộng triển khai toàn diện tại các doanh nghiệp.
  • Xu thế công nghệ trong An ninh mạng năm 2025
    Giám đốc công nghệ VSEC - Ông Phan Hoàng Giáp nhận định “Trong bức tranh của năm 2025, các xu thế như trí tuệ nhân tạo (AI) và nền tảng bảo mật Cloud Native (Cloud Native Application Protection Platform - CNAPP) được dự báo sẽ chi phối ngành an ninh mạng”.
  • Báo chí - Truyền thông Việt Nam 2024: Nhìn từ hai thái cực
    Năm 2024, báo chí - truyền thông Việt Nam tiếp tục đứng trước những cơ hội và thách thức mang tính bước ngoặt.
  • FPT tự động hóa quy trình ngân hàng bằng robot ảo cho VietinBank
    VietinBank và FPT đã chính thức khởi động dự án triển khai tự động hóa các quy trình nghiệp vụ bằng giải pháp akaBot. Hợp tác đánh dấu sự chuyển mình của VietinBank trong việc ứng dụng các công nghệ tiên tiến như Robotics và AI.
  • VNPT ra mắt các gói cước Internet tốc độ x3
    Các gói cước mới nhưng giá không đổi được áp dụng từ 1/1/2025 đáp ứng hiệu quả nhu cầu ngày càng cao của khách hàng như tích hợp truyền hình, di động, công nghệ mở rộng vùng phủ WiFi Mesh, AI Camera an ninh thông minh...
  • 5 năm chuyển đổi số quốc gia
    Việt Nam là một quốc gia đầu tiên trên thế giới ban hành chương trình chuyển đổi số quốc gia, đưa Việt Nam trở thành quốc gia có nhận thức về chuyển đổi số, song hành cùng các quốc gia tiên tiến.
  • Giáo sư người Việt làm tổng biên tập tạp chí khoa học hàng đầu thế giới
    GS Dương Quang Trung là người Việt đầu tiên được Hiệp hội Điện, Điện tử quốc tế (IEEE) bổ nhiệm tổng biên tập một tạp chí khoa học uy tín bậc nhất.
  • Chuyển đổi ngành công nghiệp viễn thông bằng trí tuệ nhân tạo
    Việc triển khai AI trên quy mô lớn và chuyển đổi sang các tổ chức gốc AI có thể là chìa khóa để thúc đẩy tăng trưởng và đổi mới cho các công ty viễn thông
Mikrotik muộn màng vá lỗ hổng RouterOS bị khai thác
POWERED BY ONECMS - A PRODUCT OF NEKO