Cảnh báo lỗ hổng trên các Thiết bị lưu trữ mạng không còn được hỗ trợ bởi D-Link NAS

Hiện có hơn 92,000 thiết bị lưu trữ mạng D-Link NAS không còn được hỗ trợ bởi D-Link đang bị tấn công mạnh mẽ trực tuyến và chưa được vá lỗi nghiêm trọng về thực thi mã từ xa (RCE) zero-day.

• • • Lỗ hổng bảo mật này (CVE-2024-3273) bao gồm một backdoor được tạo ra thông qua một tài khoản cố định (tên người dùng “messagebus” với mật khẩu trống) và chèn lệnh thông qua tham số “system”. Kẻ tấn công hiện đang kết hợp hai lỗ hổng bảo mật này để triển khai một biến thể của phần mềm độc hại Mirai (skid.x86), có thể tham gia vào các cuộc tấn công từ chối dịch vụ phân tán quy mô lớn (DDoS).

Ảnh hưởng

Khi lỗ hổng này được khai thác thành công, kẻ tấn công có thể thực thi các lệnh tùy ý trên hệ thống, tiềm ẩn nguy cơ truy cập trái phép vào thông tin nhạy cảm, sửa đổi cấu hình hệ thống hoặc gây ra tình trạng từ chối dịch vụ.

Các thiết bị bị ảnh hưởng bao gồm DNS-340L, DNS-320L, DNS-327L, và DNS-325, cùng thiết bị khác.

Khuyến nghị khắc phục

D-Link đã thông báo rằng họ không còn hỗ trợ các thiết bị NAS này và khuyến cáo người dùng nên thay thế chúng bằng các sản phẩm nhận cập nhật firmware.

Các thiết bị NAS không nên được truy cập internet vì chúng thường bị mục tiêu trong các cuộc tấn công ransomware để đánh cắp hoặc mã hóa dữ liệu.

Các lỗ hổng được theo dõi

CVE-2024-27198 (CVSS: 9,8) và CVE-2024-27199 (CVSS: 7.3), đã được xử lý trong phiên bản 2023.11.4. Chúng ảnh hưởng đến tất cả các phiên bản TeamCity On-Premises đến 2023.11.3. JetBrains công bố hôm thứ Hai: “Các lỗ hổng có thể cho phép kẻ tấn công không được xác thực có quyền truy cập HTTP(S) vào máy chủ TeamCity để vượt qua các bước kiểm tra xác thực và giành quyền kiểm soát quản trị của máy chủ TeamCity đó”.

Các phiên bản TeamCity Cloud đã được cung cấp để vá hai lỗ hổng này. Rapid7, công ty đã phát hiện và báo cáo sự cố vào ngày 20 tháng 2 năm 2024, cho biết CVE-2024-27198 là một trường hợp vượt qua xác thực cho phép kẻ tấn công không được xác thực từ xa xâm phạm hoàn toàn máy chủ.

Việc xâm phạm máy chủ TeamCity cho phép kẻ tấn công có toàn quyền kiểm soát tất cả các dự án, bản dựng, agent và artifact của TeamCity và đó là một cách phù hợp để định vị kẻ tấn công thực hiện chuỗi tấn công.

CVE-2024-27199, cũng là một lỗ hổng bỏ qua xác thực, xuất phát từ lỗ hổng path traversal có thể cho phép kẻ tấn công không được xác thực thay thế chứng chỉ HTTPS trong máy chủ TeamCity bằng chứng chỉ mà chúng chọn thông qua “/app/https/settings/ uploadCertificate” và thậm chí thay đổi số cổng mà dịch vụ HTTPS lắng nghe nhằm thực hiện từ chối dịch vụ đối với máy chủ TeamCity hoặc bằng cách tải lên chứng chỉ làm hỏng quá trình xác thực phía máy khách. Ngoài ra, chứng chỉ đã tải lên có thể được sử dụng cho các trường hợp tấn công adversary-in-the-middle nếu chứng chỉ đó được client tin cậy. Ngoài ra, kẻ tấn công có thể lợi dụng lỗ hổng này để sửa đổi một số cài đặt hệ thống có giới hạn trên máy chủ, cũng như làm lộ một lượng thông tin nhạy cảm.

Nguồn: VNCERT/CC