Phát hiện lỗ hổng bảo mật nguy hiểm trong thiết bị lưu trữ dữ liệu của D-Link

ictnews Công ty an toàn thông tin CyStack vừa cho biết mới đây đã công bố một lỗ hổng bảo mật nguy hiểm ảnh hưởng tới nhiều thiết bị DNS-320 ShareCenter do D-Link sản xuất. Lỗ hổng này cho phép kẻ xấu có thể dễ dàng truy cập vào toàn bộ dữ liệu được lưu trữ trên thiết bị.

Nhấn mạnh sản phẩm công nghệ dù lớn hay nhỏ đều tồn tại những lỗ hổng bảo mật và các lỗ hổng này có thể đang hoặc sẽ bị khai thác bởi các nhóm tin tặc, chuyên gia CyStack khuyến nghị, để tránh gây thiệt hại cho tổ chức và người dùng sản phẩm, doanh nghiệp cần tìm ra các lỗ hổng này trước khi tin tặc phát hiện và khai thác (Ảnh minh họa: Internet)

Thiết bị DNS-320 ShareCenter là một giải pháp lưu trữ và chia sẻ dữ liệu phổ biến, thường dùng trong các doanh nghiệp và hộ gia đình.

Thông tin từ CyStack cũng cho hay, ngay sau khi nhận được cảnh báo của CyStack, D-Link đã thông báo cho người dùng về việc cập nhật bản vá mới nhất cho sản phẩm DNS-320 để khắc phục lỗ hổng này.

“DNS-320 là một thiết bị lưu trữ mạng phổ biến do mức giá rẻ và hỗ trợ nhiều tính năng chia sẻ tiện ích. Tuy nhiên, cũng chính vì thế mà nhiều files riêng tư của người dùng có nguy cơ bị xâm hại. Tại thời điểm nhóm nghiên cứu của CyStack phát hiện ra lỗ hổng này, có ít nhất 800 thiết bị đang chịu ảnh hưởng”, chuyên gia CyStack Nguyễn Hữu Trung, người phát hiện ra lỗ hổng cho biết.

Lỗ hổng trên thiết bị lưu trữ dữ liệu của D-Link được gắn mã CVE là CVE-2019-16057, một loại mã để định danh các lỗ hổng bảo mật được phát hiện trong các sản phẩm công nghệ phổ biến trên thế giới, được cung cấp bởi MITRE - một đơn vị được bảo trợ bởi Cơ quan An ninh nội địa Mỹ. Theo Viện tiêu chuẩn và kỹ thuật quốc gia Hoa Kỳ (NIST) thì lỗ hổng này được đánh giá ở mức độ nghiêm trọng cao nhất, với điểm số CVSS V2.0 là 10/10, CVSS V3.1 là 9.8/10.

“Nhóm nghiên cứu bảo mật tại CyStack tìm thấy lỗ hổng trong quá trình nghiên cứu về tính bảo mật của các thiết bị mạng của doanh nghiệp, bao gồm cả DNS-320 ShareCenter của D-link. Chúng tôi phát hiện ra điểm yếu bảo mật ở module đăng nhập của thiết bị, cụ thể là ở tính năng SSL Login”, chuyên gia Nguyễn Hữu Trung chia sẻ.

Theo phân tích của chuyên gia CyStack, bằng một vài thủ thuật thay đổi tham số ‘port', kẻ tấn công có thể đánh lừa hệ thống và đăng nhập thành công vào thiết bị với quyền cao nhất (root permission). Khi đó, toàn bộ dữ liệu lưu trữ trong thiết bị của người dùng, bao gồm phim, ảnh, nhạc, tài liệu... đều có thể bị kẻ xấu truy cập.

Chia sẻ thêm về vấn đề trên, ông Nguyễn Hữu Trung cho biết: “Sản phẩm công nghệ dù lớn hay nhỏ đều tồn tại những lỗ hổng bảo mật. Các lỗ hổng này có thể đang và sẽ bị khai thác bởi các nhóm tin tặc. Để tránh gây thiệt hại cho tổ chức và người dùng sản phẩm, doanh nghiệp cần tìm ra các lỗ hổng này trước khi tin tặc phát hiện và khai thác”.

Startup giải mã gen dựa trên dữ liệu lớn của người Việt thắng giải VietChallenge

Dịch vụ xét nghiệm gen dựa trên bộ dữ liệu lớn dành riêng cho người Việt của GeneStory đã giành chiến thắng tại VietChallenge 2022.

Vụ mã độc Schoolyard Bully đánh cắp tài khoản: Người dùng Facebook Việt cần làm gì?

Ngoài việc xóa ngay ứng dụng phát tán mã độc Schoolyard Bully, chuyên gia NCS khuyến nghị những người dùng Facebook bị ảnh hưởng cần đăng xuất tài khoản khỏi mọi thiết bị và đổi mật khẩu.

Bài toán khó của các hãng chip: Chọn Mỹ hay Trung Quốc?

Các nhà sản xuất bán dẫn hoan nghênh đạo luật tài trợ chip mới của Mỹ, song chấp nhận các ưu đãi này đồng nghĩa họ bị “trói buộc” khi muốn đầu tư tại Trung Quốc.

Quyết định táo bạo đã nâng vị thế Samsung như thế nào?

Quý II năm nay, Samsung đạt lợi nhuận cao nhất kể từ năm 2018 nhờ vào bán dẫn. Song ít ai biết rằng, gần 50 năm trước, quyết định sản xuất bán dẫn của hãng không hề được ủng hộ.

Xem trực tiếp World Cup 2022, Hà Lan vs Mỹ, 22h00 ngày 3/12

Kênh VTV2 để xem trận đấu giữa Hà Lan và Mỹ hôm nay có trên những hệ thống truyền hình trực tuyến như VTV News, VTV Go, VTVcab ON, hay cả FPT Play, TV360...

Xem trực tiếp World Cup 2022, Argentina vs Australia, 2h00 ngày 4/12

Kênh VTV3 để xem trận đấu giữa Argentina và Australia hôm nay có trên những hệ thống truyền hình trực tuyến như VTV News, VTV Go, VTVcab ON, hay cả FPT Play, TV360...

Trojan đánh cắp hơn 300.000 tài khoản Facebook, chủ yếu tại Việt Nam

Hơn 300.000 người dùng Android, chủ yếu tại Việt Nam, là nạn nhân của chiến dịch đánh cắp tài khoản Facebook bằng trojan Schoolyard Bully.

Nội dung thù địch tăng mạnh sau khi Elon Musk tiếp quản Twitter

Bất chấp Elon Musk tuyên bố nội dung thù địch trên Twitter đã giảm, sự thật dường như ngược lại hoàn toàn.

Elon Musk sắp cấy chip vào não người, EU cảnh báo Twitter Icon

Elon Musk sắp cấy chip vào não người; EU cảnh báo Twitter;... là những thông tin nổi bật trong bản tin Công nghệ thứ 7 tuần này.

Sẽ dừng vận hành các hệ thống không đáp ứng đủ quy định về an toàn thông tin

Cục An toàn thông tin đề xuất, từ tháng 1/2024, sẽ cho dừng vận hành các hệ thống thông tin không đáp ứng đầy đủ các quy định của pháp luật về an toàn thông tin mạng.

Đang cập nhật dữ liệu !