Phát hiện lỗ hổng trên phần mềm rConfig cho phép hacker khai thác, chiếm quyền điều khiển hệ thống mạng

ictnews Theo cảnh báo mới từ VSEC, lỗ hổng nguy hiểm có mã CVE-2019-16662 cho phép kẻ tấn công thực thi mã từ xa trên rConfig, tiện ích quản lý cấu hình mạng phổ biến thường gặp trong hệ thống mạng lớn, các doanh nghiệp cung cấp hạ tầng mạng và viễn thông.

Với mức độ nguy hiểm 9.8/10 theo nhận định từ Viện Tiêu chuẩn và Kỹ thuật quốc gia Hoa Kỳ (NIST), VSEC đánh giá đây là một lỗ hổng đặc biệt nghiêm trọng, ảnh hưởng trực tiếp đến nhiều doanh nghiệp Việt Nam.

Công ty cổ phần An ninh mạng Việt Nam (VSEC) ngày 6/11 đã phát đi cảnh báo về một lỗ hổng có mã "CVE-2019-16662" dẫn tới nguy cơ bị tấn công RCE (Remote Code Execution), cho phép kẻ tấn công truy cập vào rConfig, thực hiện chiếm quyền điều khiển và quyền người dùng khi chưa đăng nhập. Từ đó, ảnh hưởng trực tiếp tới cấu hình các thiết bị mạng nằm trong hệ thống mà ứng dụng quản trị.

Lỗ hổng bảo mật có mã “CVE-2019-16662” được phát hiện trên tất cả các phiên bản của hệ thống quản trị mạng nguồn mở phổ biến rConfig, bao gồm cả phiên bản rConfig mới nhất 3.9.2. Với mức độ nguy hiểm 9.8/10 theo nhận định từ Viện Tiêu chuẩn và Kỹ thuật quốc gia Hoa Kỳ (NIST), VSEC đánh giá đây là một lỗ hổng đặc biệt nghiêm trọng, ảnh hưởng trực tiếp đến nhiều doanh nghiệp Việt Nam.

Theo phân tích của các chuyên gia VSEC, trong mã nguồn của ứng dụng, file thực thi “/install/lib/ajaxHandlers/ajaxServerSettingsChk.php” tồn tại biến “rootUname” được truyền vào 2 chuỗi, sau đó được thực thi qua hàm “exec()” nhưng lại không có bất kỳ cơ chế chuẩn hóa dữ liệu truyền vào. Lợi dụng điều này, kẻ tấn công có thể nhúng các đoạn mã thực thi vào ứng dụng, dễ dàng chiếm quyền điều khiển máy chủ, từ đó kiểm soát được toàn bộ hệ thống mạng do tiện ích rConfig quản lý.

rConfig là một tiện ích mã nguồn mở được viết bằng ngôn ngữ lập trình PHP, quản lý cấu hình thiết bị mạng như Router, Switch, Firewall… Tiện ích này cho phép các kỹ sư mạng chọn lệnh quản trị viên muốn chạy với thiết bị và tạo snapshot cấu hình của các thiết bị mạng.

 

Theo thông tin từ trang chủ của rConfig, tiện ích này đang quản lý hơn 3,3 triệu thiết bị bao gồm các bộ chuyển mạch, bộ định tuyến, tường lửa, bộ cân bằng tải, tối ưu hóa mạng WAN và có hơn 7.000 người dùng hoạt động. 

Còn tại Việt Nam, theo nghiên cứu tại VSEC uớc tính có khoảng hơn 10.000 thiết bị thuộc hệ thống mạng lớn tại các doanh nghiệp cung cấp hạ tầng mạng, hạ tầng CNTT và viễn thông đang sử dụng tiện ích rConfig.

Thông tin từ VSEC cũng cho hay, thời điểm hiện tại, chưa có bản vá với lỗ hổng nghiêm trọng trên rConfig. Do đó, dể đảm bảo an toàn cho các tổ chức và doanh nghiệp Việt, VSEC khuyến cáo các đơn vị đang sử dụng rConfig nên giới hạn địa chỉ IP truy cập vào hệ thống, chặn truy cập module "ajaxServerSettingsChk.php" nếu không sử dụng tới, sử dụng "http authentication" với các trang quản trị hoặc sử dụng các giải pháp quản trị thay thế khác. Thêm vào đó, các quản trị viên cần theo dõi sát để có thể cập nhật bản vá ngay khi có thể.

Trước những tác động lớn có thể xảy ra từ lỗ hổng, đội ngũ chuyên gia VSEC dự kiến sẽ phối hợp đánh giá website miễn phí toàn bộ các doanh nghiệp Việt Nam đang sử dụng tiện ích rConfig để tìm ra các rủi ro tiềm ẩn trong hệ thống, từ đó đưa ra các cảnh báo và giải pháp khắc phục kịp thời.

 
List comment
 
Các bộ, tỉnh phải hoàn thành nền tảng chia sẻ dữ liệu LGSP trong tháng 10
icon

Chính phủ yêu cầu các bộ, ngành, địa phương hoàn thành việc xây dựng Nền tảng tích hợp, chia sẻ dữ liệu cấp bộ, tỉnh (LGSP) trong tháng 10/2020 và kết nối với nền tảng tích hợp, chia sẻ dữ liệu quốc gia.

 
Google có thể phải bán trình duyệt Chrome
icon

Các nhà lập pháp Mỹ đang lên kế hoạch kiềm chế sức mạnh của Google trước khi nộp đơn kiện công ty với cáo buộc cạnh tranh không lành mạnh.

 
MobiFone được công nhận Thương hiệu Quốc gia Việt Nam 2020
icon

Lần đầu tiên đăng ký tham gia chương trình, nhà mạng MobiFone đã xuất sắc được công nhận là Thương hiệu Quốc gia Việt Nam năm 2020 với những đóng góp và thành tựu nổi bật trong lĩnh vực công nghệ thông tin, viễn thông và chuyển đổi số.

 
Giải pháp chuyển đổi số toàn diện thúc đẩy nền kinh tế số
icon

Sự phát triển mạnh mẽ của nền kinh tế số trong những năm gần đây đã tạo nên sự biến đổi to lớn và nhanh chóng đối với kinh tế, xã hội và mọi mặt của đời sống con người.

 
Hưng Vlog xin lỗi vì làm video phản cảm
icon

Trong bài đăng mới nhất trên kênh YouTube, Hưng Vlog nói buồn và áp lực khi thành tâm điểm chỉ trích, xin lỗi mọi người và hứa sẽ thay đổi trong tương lai.

 
 
Thiếu niên đăng video đánh mẹ lên TikTok, khiến dân mạng phẫn nộ
icon

Một thiếu niên người Singapore đã khiến cư dân mạng phẫn nộ sau khi đăng tải một đoạn video lên TikTok, trong đó cho thấy thiếu niên này đã to tiếng quát mắng và thậm chí đánh cả mẹ của mình.

Từ dịch vụ chia sẻ video miễn phí, YouTube sắp thành 'trung tâm mua sắm'
icon

Bán hàng là một trong nhiều chiến lược mà YouTube đang theo đuổi để đa dạng hóa doanh thu cho người sáng tạo nội dung, bên cạnh quảng cáo.

Ghé thăm Apple Store độc nhất vô nhị trên thế giới: Không những bán iPhone mà còn bán cả quần áo trẻ em và mũ lưỡi trai
icon

Đây là những món đồ đặc biệt chỉ được bán tại Apple Store gần trụ sở chính của Apple tại Cupertino, California, Mỹ.

Facebook nhầm ảnh củ hành với nội dung khiêu dâm
icon

Trường hợp hy hữu này xảy ra với một công ty nông nghiệp sau khi đăng bài viết quảng cáo hạt giống trồng hành tây.

Những ứng dụng xử lý và biến hóa gương mặt siêu hài hước
icon

Bạn đã bao giờ tự hỏi gương mặt mình khi trở nên mập ú, khi về già hoặc thậm chí khi đã chuyển đổi giới tính…sẽ trông như thế nào? Những ứng dụng sau sẽ cho bạn câu trả lời theo một cách đầy hài hước.

 
123

Giấy phép hoạt động báo chí: Số 09/GP-BTTTT, Bộ Thông tin và Truyền thông cấp ngày 07/01/2019.

Tòa soạn: Tầng 7, Tòa nhà Cục Tần số Vô tuyến điện, 115 Trần Duy Hưng, Quận Cầu Giấy, Hà Nội

Điện thoại: 024 3 936 9966 - Fax: 024 3 936 9364

Hotline nội dung: 0888 911 911 - Email: toasoan@ictnews.vn

123