Cục Điều tra Liên bang Mỹ cảnh báo lỗ hổng zero-day của FatPipe VPN đang bị khai thác

10:10, 30/11/2021

Cục Điều tra Liên bang Mỹ (FBI) vừa cảnh báo một lỗ hổng chưa từng công khai trước đây trong các thiết bị mạng FatPipe MPVPN ít nhất kể từ tháng 5/2021 và duy trì quyền truy cập liên tục vào các hệ thống mạng tồn tại lỗ hổng.

Lỗ hổng bảo mật này cho phép những kẻ tấn công có chủ đích (APT) có quyền truy cập không bị hạn chế vào chức năng upload tập tin để tải lên web shell nhằm chiếm quyền root, leo thang đặc quyền và thực hiện các hoạt động khác. Việc khai thác lỗ hổng này được coi là điểm khởi đầu cho những kẻ tấn công APT tiến hành các hoạt động khai thác khác.

Cụ thể, lỗ hổng zero-day này cho phép kẻ tấn công từ xa upload tập tin lên bất kỳ vị trí nào trên hệ thống tập tin của thiết bị bị ảnh hưởng. Lỗ hổng này ảnh hưởng đến giao diện quản lý nền web của bộ định tuyến FatPipe WARP, MPVPN, IPVPN và các thiết bị cân bằng tải VPN sử dụng phiên bản phần mềm trước 10.1.2r60p93 và 10.2.2r44p1.​

FBI cảnh báo rằng kẻ tấn công đã tận dụng web shell và tấn công cơ sở hạ tầng mạng của Hoa Kỳ bằng cách thiết lập một dịch vụ SSH độc hại, theo sau là một số bước được thiết kế để che giấu các cuộc xâm nhập và bảo vệ việc khai thác để truy cập lại về sau.

FatPipe cho biết, lỗ hổng bắt nguồn từ việc thiếu cơ chế xác thực đầu vào cho các HTTP request, qua đó cho phép kẻ tấn công khai thác lỗ hổng bằng cách gửi một HTTP request độc hại tới thiết bị bị ảnh hưởng. Trong khi chưa có cách giải quyết lỗ hổng này, công ty cho biết nó có thể được giảm thiểu bằng cách tắt quyền truy cập UI và SSH trên giao diện WAN hoặc cấu hình Danh sách truy cập để chỉ cho phép truy cập từ các nguồn đáng tin cậy.

Minh Minh (T/h)

TIN LIÊN QUAN
Từ khóa: FatPipe MPVPNlỗ hổng zero-daybảo mật

Bài khác

CISA phát hành phiên bản mới của hệ thống phân tích mã độc Malware Next-Gen CISA phát hành phiên bản mới của hệ thống phân tích mã độc Malware Next-Gen
09:44 am, 19/04/2024
Đánh cắp dữ liệu thông qua phần mềm độc hại tiếp tục gia tăng Đánh cắp dữ liệu thông qua phần mềm độc hại tiếp tục gia tăng
09:05 am, 19/04/2024
Báo động chiêu trò của kẻ lừa đảo chuyên đánh cắp tài khoản ngân hàng và chứng khoán Báo động chiêu trò của kẻ lừa đảo chuyên đánh cắp tài khoản ngân hàng và chứng khoán
02:27 pm, 17/04/2024
Lỗ hổng trên iPhone được mua với giá lên tới 7 triệu USD Lỗ hổng trên iPhone được mua với giá lên tới 7 triệu USD
04:20 pm, 16/04/2024
Cảnh báo lỗ hổng có điểm CVSS 10/10 trong hệ điều hành của tường lửa PAN-OS Cảnh báo lỗ hổng có điểm CVSS 10/10 trong hệ điều hành của tường lửa PAN-OS
03:42 pm, 16/04/2024
Cơ quan chức năng yêu cầu Apple gỡ bỏ các game, ứng dụng vi phạm tại Việt Nam Cơ quan chức năng yêu cầu Apple gỡ bỏ các game, ứng dụng vi phạm tại Việt Nam
02:39 pm, 16/04/2024
Cảnh báo 4 hình thức lừa đảo chiếm đoạt tài sản người dùng lên đến 90 tỷ đồng Cảnh báo 4 hình thức lừa đảo chiếm đoạt tài sản người dùng lên đến 90 tỷ đồng
01:00 pm, 16/04/2024
Cisco cảnh báo các cuộc tấn công password spray nhắm vào các dịch vụ VPN Cisco cảnh báo các cuộc tấn công password spray nhắm vào các dịch vụ VPN
10:18 am, 16/04/2024
Cảnh báo thủ đoạn mạo danh Bộ Công an, công ty Luật, Văn phòng Luật sư hỗ trợ lấy lại tiền bị lừa, bị treo Cảnh báo thủ đoạn mạo danh Bộ Công an, công ty Luật, Văn phòng Luật sư hỗ trợ lấy lại tiền bị lừa, bị treo
08:33 am, 16/04/2024
Người dùng iPhone cần làm ngay việc này khi bị mã độc tấn công Người dùng iPhone cần làm ngay việc này khi bị mã độc tấn công
04:00 pm, 13/04/2024

Bài mới nhất

Trình duyệt Chrome ra mắt phiên bản trả phí, có điểm gì nổi bật? Trình duyệt Chrome ra mắt phiên bản trả phí, có điểm gì nổi bật?
CISA phát hành phiên bản mới của hệ thống phân tích mã độc Malware Next-Gen CISA phát hành phiên bản mới của hệ thống phân tích mã độc Malware Next-Gen
Apple cuối cùng cũng triển khai AirPlay trong phòng khách sạn Apple cuối cùng cũng triển khai AirPlay trong phòng khách sạn
Mất 150.000 USD vì cài link mã độc .APK đặt mua “60 quả trứng hữu cơ” Mất 150.000 USD vì cài link mã độc .APK đặt mua “60 quả trứng hữu cơ”
Đánh cắp dữ liệu thông qua phần mềm độc hại tiếp tục gia tăng Đánh cắp dữ liệu thông qua phần mềm độc hại tiếp tục gia tăng
TPHCM: Chấn chỉnh các vi phạm trong chuyển phát hàng hóa của các đơn vị kinh doanh thương mại điện tử TPHCM: Chấn chỉnh các vi phạm trong chuyển phát hàng hóa của các đơn vị kinh doanh thương mại điện tử
Hơn 250 gian hàng quy tụ tại triển lãm quốc tế về sản phẩm, công nghệ và dịch vụ làm đẹp Hơn 250 gian hàng quy tụ tại triển lãm quốc tế về sản phẩm, công nghệ và dịch vụ làm đẹp
Công cụ đăng tin bất động sản ưu việt cho nhà môi giới với chi phí 0 đồng Công cụ đăng tin bất động sản ưu việt cho nhà môi giới với chi phí 0 đồng
Thủ tướng làm việc với Công an Phú Thọ, thúc đẩy triển khai Đề án 06 Thủ tướng làm việc với Công an Phú Thọ, thúc đẩy triển khai Đề án 06
Hai công ty Alibaba, Shein thúc đẩy “con đường tơ lụa kỹ thuật số” của Trung Quốc Hai công ty Alibaba, Shein thúc đẩy “con đường tơ lụa kỹ thuật số” của Trung Quốc
Khai mạc Ngày Sách và Văn hóa đọc Việt Nam lần thứ Ba Khai mạc Ngày Sách và Văn hóa đọc Việt Nam lần thứ Ba
Phạt FPT, VTV 135 triệu đồng vì phát nội dung quảng bá, quảng cáo trang thông tin điện tử (website) cá độ bất hợp pháp Phạt FPT, VTV 135 triệu đồng vì phát nội dung quảng bá, quảng cáo trang thông tin điện tử (website) cá độ bất hợp pháp
ĐHQGHN công bố chương trình ươm tạo nhân tài cho học sinh phổ thông ĐHQGHN công bố chương trình ươm tạo nhân tài cho học sinh phổ thông
Hà Nội công bố chỉ tiêu tuyển sinh vào lớp 10 công lập Hà Nội công bố chỉ tiêu tuyển sinh vào lớp 10 công lập
Thủ tướng chỉ đạo tiếp tục đẩy mạnh chuyển đổi số trong lĩnh vực hải quan Thủ tướng chỉ đạo tiếp tục đẩy mạnh chuyển đổi số trong lĩnh vực hải quan