fdfsdfsdfsd
Chào mừng đến với Mạng Thông tin Khoa học và Công nghệ TP. Cần Thơ - WWWW.CASTI.VN
Tìm kiếm Liên hệ En
Tin học [ Đăng ngày (01/06/2024) ]
Phát hiện lỗ hổng zero-day RCE trong bộ định tuyến D-Link EXO AX4800
Bộ định tuyến D-Link EXO AX4800 (DIR-X4860) dễ bị tấn công bởi lỗ hổng thực thi lệnh từ xa không yêu cầu xác thực. Điều này có thể dẫn đến việc những kẻ tấn công có quyền truy cập vào cổng HNAP và chiếm đoạt quyền kiểm soát thiết bị.

D-Link DIR-X4860 là bộ định tuyến Wi-Fi 6 hiệu suất cao với tốc độ lên ​​tới 4.800 Mbps và các tính năng bổ sung như OFDMA, MU-MIMO và BSS Coloring giúp nâng cao hiệu quả và giảm nhiễu. Thiết bị này đặc biệt phổ biến ở Canada, được bán trên thị trường toàn cầu và vẫn đang được nhà cung cấp hỗ trợ.

Mới đây, nhóm nghiên cứu của nhóm SSD Secure Disclosure thông báo rằng họ đã phát hiện ra các lổ hỗng trong các thiết bị DIR-X4860 chạy phiên bản firmware mới nhất, DIRX4860A1_FWV1.04B03, cho phép thực thi lệnh từ xa (RCE) mà không cần xác thực. "Các lỗ hổng bảo mật trong DIR-X4860 cho phép những kẻ tấn công không được xác thực có thể truy cập vào cổng HNAP để có được các đặc quyền nâng cao và thực thi các lệnh với quyền root. Bằng cách kết hợp bỏ qua xác thực với thực thi lệnh, thiết bị có thể bị xâm phạm hoàn toà", tiết lộ của SSD cho biết.

Việc truy cập cổng Giao thức quản trị mạng gia đình (HNAP) trên bộ định tuyến D-Link DIR-X4860 tương đối đơn giản trong hầu hết các trường hợp, vì cổng này thường có thể truy cập HTTP (cổng 80) hoặc HTTPS (cổng 443) thông qua giao diện quản lý từ xa của bộ định tuyến.

Quá trình khai thác

Các nhà phân tích SSD đã chia sẻ bước khai thác cho các lỗ hổng mà họ phát hiện, mã khai thác cho lỗ hổng cũng đã được công khai.

Cuộc tấn công bắt đầu bằng việc gửi một yêu cầu đăng nhập HNAP độc hại tới giao diện quản lý của bộ định tuyến, bao gồm một tham số có tên "PrivateLogin" được đặt thành "Username" và một username (tên người dùng) là "Admin".

Bộ định tuyến phản hồi với một thử thách, cookie và khóa công khai (public key), những giá trị này được sử dụng để tạo mật khẩu đăng nhập hợp lệ cho tài khoản "Admin".

Yêu cầu đăng nhập tiếp theo có tiêu đề HNAP_AUTH và LoginPassword (mật khẩu đăng nhập) đã được tạo được gửi đến thiết bị mục tiêu, về cơ bản là bỏ qua xác thực.

Với quyền truy cập được xác thực, kẻ tấn công sau đó khai thác lỗ hổng command injection trong chức năng "SetVirtualServerSettings".

SSD cho biết đã liên hệ với D-Link ba lần để chia sẻ về những phát hiện của họ với nhà sản xuất bộ định tuyến trong 30 ngày qua, nhưng mọi nỗ lực thông báo đều không thành công, khiến các lỗ hổng hiện vẫn chưa được khắc phục.

Cho đến khi bản cập nhật bảo mật firmware được phát hành, người dùng DIR-X4860 nên tắt giao diện quản lý truy cập từ xa của thiết bị để ngăn chặn việc khai thác và áp dụng bản cập nhật ngay khi nó có sẵn.
Hà Phương
Theo Tạp chí An toàn thông tin (nhahuy)
In bài viết  
Bookmark
Ý kiến của bạn

Sắp diễn ra Ngày hội khởi nghiệp đổi mới sáng tạo thành phố Cần Thơ năm 2024 – Techfest Cantho 2024 với chủ đề “Khởi nghiệp Tây Đô – Hành trình khát vọng”
Ngày hội khởi nghiệp đổi mới sáng tạo thành phố Cần Thơ năm 2024 – Techfest Cantho 2024 với chủ đề “Khởi nghiệp Tây Đô – Hành trình khát vọng” sẽ diễn ra vào ngày 24/12/2024, tại Ballroom, khách sạn Sheraton (209 Đường 30 Tháng 4, phường Xuân Khánh, quận Ninh Kiều, TP. Cần Thơ).
Khóa tập huấn “Hướng dẫn kỹ thuật vận hành, quản lý hiệu quả hệ thống xử lý nước thải”
Nhằm giới thiệu và hướng dẫn áp dụng các quy định hiện hành của Nhà nước về quản lý và xử lý nước thải, cũng như cung cấp các kiến thức liên quan đến kỹ thuật vận hành hệ thống xử lý nước thải tại các đơn vị. Trung tâm Thông tin Khoa học và Công nghệ thành phố Cần Thơ tổ chức khóa tập huấn “Hướng dẫn kỹ thuật vận hành, quản lý hiệu quả hệ thống xử lý nước thải” từ ngày 21-22/11/2024 tại Hội trường của Trung tâm.
Bế mạc Chợ công nghệ và thiết bị chuyên ngành Nông nghiệp Cần Thơ 2024 – Tech4Agri CanTho 2024
Sáng ngày 5/11/2024, sau năm ngày diễn ra sôi nổi với nhiều hoạt động ý nghĩa, Chợ công nghệ và thiết bị chuyên ngành Nông nghiệp Cần Thơ 2024 – Tech4Agri CanTho 2024 đã chính thức khép lại.
Khai mạc Chợ công nghệ và thiết bị chuyên ngành Nông nghiệp Cần Thơ 2024 – Tech4Agri CanTho 2024
Sáng ngày 01 tháng 11 năm 2024, tại thành phố Cần Thơ đẽ diễn ra Lễ khai mạc Chợ công nghệ và thiết bị chuyên ngành Nông nghiệp Cần Thơ 2024 – Tech4Agri CanTho 2024 tại Trung tâm Xúc tiến Đầu tư - Thương mại và Hội chợ Triển lãm (Số 108A, Lê Lợi, phường Cái Khế, quận Ninh Kiều, thành phố Cần Thơ). Sự kiện này là một phần quan trọng trong khuôn khổ Hội chợ Nông nghiệp Quốc tế Việt Nam 2024, với chủ đề “Khoa học, công nghệ và đổi mới sáng tạo – Đánh thức nền nông nghiệp đa giá trị”.
Lãnh đạo thành phố tham quan, trải nghiệm các công nghệ, thiết bị tại Tech4Agri CanTho 2024
Trong khuôn khổ Hội chợ Nông nghiệp Quốc tế Việt Nam tại Cần Thơ diễn ra từ ngày 1 đến ngày 5-11, ông Trần Việt Trường, Chủ tịch UBND TP Cần Thơ; ông Nguyễn Ngọc Hè, Phó Chủ tịch UBND thành phố cùng các sở ngành hữu quan vừa đến thăm các hoạt động trưng bày, triển lãm tại “Chợ công nghệ và thiết bị chuyên ngành Nông nghiệp Cần Thơ 2024 - Tech4Agri CanTho 2024” với chủ đề “Khoa học, công nghệ và đổi mới sáng tạo - Đánh thức nền nông nghiệp đa giá trị”.
Thiết bị điều khiển máy bơm qua mạng 4G E-PUMP
Thiết bị điều khiển máy bơm qua mạng 4G E-PUMP là một giải pháp hiện đại giúp quản lý và điều khiển máy bơm từ xa qua mạng di động 4G. Đây là thiết bị thông minh, cho phép người dùng theo dõi và điều chỉnh hoạt động của máy bơm thông qua ứng dụng trên điện thoại hoặc máy tính, mang lại nhiều lợi ích và tiện ích cho người sử dụng.

Xem nhiều

Giải thưởng nhà nước cho công trình: “Nạn đói năm 1945 ở Việt Nam - Những chứng tích lịch sử”
Cần cách mạng “xanh” trong sản xuất nông nghiệp
Chính quyền thuộc địa ở Việt Nam trước cách mạng tháng Tám 1945 : Cơ sở lịch sử - xã hội Việt Nam thời kỳ thực dân Pháp thống trị
Bệnh viện Đa khoa Hoàn Mỹ Cửu Long tổ chức hội nghị khoa học phẫu thuật nội soi
Những mẫu USB hub thú vị và ấn tượng
Nga đề xuất bắn rơi tiểu hành tinh có tên 1999 RQ36
Kiểm tra tiến độ thực hiện đề tài “Đánh giá tải lượng chất ô nhiễm của một số loại hình công nghiệp chính. Đề xuất các biện pháp giảm thiểu và công nghệ xử lý các loại chất thải công nghiệp này tại th...
MobiFone khuyến cáo thuê bao tránh "dính" cước roaming ở vùng biên
Chương trình KH&CN đồng bằng sông Cửu Long: cần sự liên kết vùng
Bệnh viện Đa khoa TP Cần Thơ tổ chức hội nghị khoa học công nghệ - sáng kiến cải tiến kỹ thuật năm 2011
Sơ kết chương trình tam nông khu vực ĐBSCL
Chính thức hủy bỏ hai dự luật SOPA và PIPA
10 sự kiện môi trường Việt Nam nổi bật năm 2011
Israel gia nhập tổ chức nghiên cứu hạt nhân Châu Âu
Phó hiệu trưởng ĐH Cần Thơ đạt danh hiệu lãnh đạo CNTT tiêu biểu Đông Nam Á

Tiêu điểm

CASTI Awards 2024 - Tôn vinh sản phẩm khoa học, công nghệ và đổi mới sáng tạo
Thông cáo báo chí Hội thảo “Phát triển hệ sinh thái số về nguồn tin khoa học, công nghệ và đổi mới sáng tạo phục vụ phát triển kinh tế - xã hội thành phố Cần Thơ”
Khai mạc Chợ công nghệ và thiết bị chuyên ngành Nông nghiệp Cần Thơ 2024 – Tech4Agri CanTho 2024
Lãnh đạo thành phố tham quan, trải nghiệm các công nghệ, thiết bị tại Tech4Agri CanTho 2024
Các ứng dụng AI trong nông nghiệp
Hành trình Tech4Agri CanTho 2024 – với chủ đề “Khoa học, công nghệ và đổi mới sáng tạo – Đánh thức nền nông nghiệp đa giá trị”
Gần 300 công nghệ, thiết bị và sản phẩm dự kiến trưng bày, giới thiệu tại Tech4Agri CanTho 2024
Thông cáo báo chí “Chợ công nghệ và thiết bị chuyên ngành nông nghiệp Cần Thơ 2024 – Tech4Agri CanTho 2024”
Sắp diễn ra Chợ công nghệ và thiết bị chuyên ngành nông nghiệp Cần Thơ 2024 – Tech4Agri Can Tho 2024
Sơn làm mát bức xạ thụ động làm mát môi trường xung quanh
PII – Định vị đổi mới sáng tạo trong phát triển kinh tế - xã hội thành phố Cần Thơ và hướng tới thúc đẩy đổi mới sáng tạo vùng đồng bằng sông Cửu Long
Phát triển đào tạo nhân lực khoa học, công nghệ và đổi mới sáng tạo trình độ quốc tế tại TP. Cần Thơ
Thông cáo báo chí hội thảo khoa học “PII – Định vị đổi mới sáng tạo trong phát triển kinh tế - xã hội thành phố Cần Thơ và hướng tới thúc đẩy đổi mới sáng tạo vùng đồng bằng sông Cửu Long”
Thông cáo báo chí hội thảo “Phát triển đào tạo nhân lực khoa học, công nghệ và đổi mới sáng tạo trình độ quốc tế tại thành phố Cần Thơ”
Sự kiện nổi bật trung tuần tháng bảy tại thành phố Cần Thơ
Siêu thị số  
 
Bản cập nhật mới của Windows gây sự cố kết nối VPN
Microsoft đã xác nhận rằng các bản cập nhật bảo mật Windows tháng 4/2024 đã gây ra các sự cố kết nối VPN trên nền tảng máy khách và máy chủ.

 
Công nghệ 4.0  
 
Sử dụng trí tuệ nhân tạo chẩn đoán đột quỵ chính xác hơn
Một nhóm nghiên cứu của Đại học Alberta sẽ sử dụng trí tuệ nhân tạo để chẩn đoán và điều trị bệnh nhân đột quỵ nhanh chóng và dễ dàng hơn, giúp bệnh nhân có khả năng được cứu sống.

 
Điện tử  
 
Vì sao một thiết bị Bluetooth trên Trái đất có thể kết nối thành công với vệ tinh ở khoảng cách 600 km?
Mạng Hubble đã đặt cho mình mục tiêu đầy tham vọng là tạo ra một mạng vệ tinh toàn cầu có khả năng kết nối với mọi thiết bị Bluetooth.

 
Tin học  
 
Bản cập nhật mới của Windows gây sự cố kết nối VPN
Microsoft đã xác nhận rằng các bản cập nhật bảo mật Windows tháng 4/2024 đã gây ra các sự cố kết nối VPN trên nền tảng máy khách và máy chủ.

 
Nghiên cứu
Tự nhiên
Nông-Lâm-Ngư
Xã hội-Nhân văn
Công nghệ
Cơ khí chế tạo
Môi trường
Sức khỏe
Thông tin
Tin học
Điện tử
Truyền thông

Kinh tế - Xã hội
Đời sống
Pháp luật
Kinh doanh
Sở hữu trí tuệ
Hoạt động
Văn bản
SHTT và Cuộc sống
Năng lượng
Thành tựu mới
Văn bản
Sản phẩm xanh
Chợ công nghệ
Sự kiện
Chào bán
Tìm mua
Ứng dụng
Công nghiệp
Nông nghiệp
Xây dựng
Hợp tác
Trong nước
Quốc tế
Địa phương
Giải trí
Đố vui khoa học
Xe
Thể thao
© Copyright 2020 Trung tâm Thông tin Khoa học và Công nghệ - Sở Khoa học & Công nghệ TP. Cần Thơ
Địa chỉ: 118/3 Trần Phú - Phường Cái Khế - Quận Ninh Kiều - thành phố Cần Thơ
Giấy phép số: 05/ GP-TTĐT, do Sở Thông tin và Truyền Thông thành phố Cần Thơ cấp ngày 23/5/2017
Trưởng Ban biên tập: Ông Vũ Minh Hải - Giám Đốc Trung tâm Thông tin Khoa học và Công nghệ - Sở Khoa học & Công nghệ TP. Cần Thơ
Ghi rõ nguồn www.trithuckhoahoc.vn khi bạn sử dụng lại thông tin từ website này
-->