Lỗ hổng nghiêm trọng trong Visual Tools DVR cho phép tin tặc tấn công thực thi code từ xa


Các chuyên gia đã tìm ra một lỗ hổng khá nghiêm trọng trong Visual Tools DVR gây ảnh hưởng tới độ bảo mật của người dùng. Theo như quan sát, khai thác lỗ hổng này cho phép tin tặc có thể tấn công bằng cách thực thi code từ xa (RCE), tệ hơn là lỗ hổng này đã bị khai thác trước khi có bất kỳ bản vá nào được tung ra.



Lỗ hổng trong Visual Tools DVR



Các chuyên gia từ công ty bảo mật Swascan của Ý đã phát hiện ra một lỗ hổng nghiêm trọng trong Visual Tools DVR. Visual Tools là một sản phẩm ghi hình và giám sát của công ty công nghệ AX Solutions.



Lỗ hổng này tồn tại trong firmware VX16 phiên bản 4.2.28.0, các chuyên gia đã phát hiện lỗ hổng này trong khi kiểm thử xâm nhập. Họ phát hiện rằng có một lỗ hổng chèn lệnh (command injection flaw) cho phép kẻ tấn công có thể thực thi code tùy ý thông qua một thiết bị từ xa chưa được phép nhắm vào hệ thống chạy hệ điều hành Linux của mục tiêu. Như đã nêu trong báo cáo của họ: “ Trong Visual Tools DVR VX16 4.2.28, kẻ tấn công có thể chiếm quyền điều khiển từ xa thông qua các siêu ký tự đặc biệt (shell metacharacters) cgi-bin/slogin/login.py trong chuỗi nhận dạng người dùng HTTP (User-Agent HTTP)”.



Lỗ hổng được đặt mã CVE-2021-42071 này được đánh giá là cực kỳ nghiêm trọng với 9,8 điểm CVSS. Các chuyên gia cũng đã chia sẻ mã khai thác mẫu PoC trong báo cáo của họ.



Ngay sau phát hiện này vào tháng 6/2020, Swascan đã liên lạc với các nhà cung cấp để báo cáo về vấn đề này. Tuy nhiên, sau một năm thì lỗ hổng này vẫn chưa được vá và điều này buộc các chuyên gia phải công bố rộng rãi về lỗ hổng này.



Lỗ hổng chưa được vá bị khai thác trên thực tế



Trong khi sự im lặng từ các nhà cung cấp về lỗ hổng này là rất tệ, nó đã thu hút sự chú ý của những kẻ xấu.



Với việc lỗ hổng này vẫn chưa được vá vào thời điểm của bài viết này, người dùng nên cẩn trọng với thiết bị DVR của họ. Swascan khuyến cáo người dùng sử dụng VPN như một cách để phòng tránh.
The post Lỗ hổng nghiêm trọng trong Visual Tools DVR cho phép tin tặc tấn công thực thi code từ xa appeared first on SecurityDaily .

Top News