Theo phát hiện mới từ công ty bảo mật VulnCheck, một lỗ hổng nghiêm trọng trong bộ định tuyến di động công nghiệp Milesight đang bị khai thác tích cực trong tự nhiên.
Lỗ hổng có mã định danh là CVE-2023-43261, là một lỗ hổng tiết lộ thông tin ảnh hưởng đến một số kiểu bộ định tuyến Milesight. Nó có thể cho phép kẻ tấn công truy cập thông tin đăng nhập và nhật ký nhạy cảm, có khả năng cho phép chúng truy cập trái phép vào giao diện web và thực hiện thay đổi cấu hình.
Tác động của lỗ hổng này càng nghiêm trọng do một số bộ định tuyến bị ảnh hưởng cho phép gửi và nhận tin nhắn SMS. Điều này có nghĩa là những kẻ tấn công có thể khai thác chức năng này để thực hiện các hoạt động lừa đảo, dẫn đến tổn hại tài chính cho chủ sở hữu bộ định tuyến.
Nghiên cứu của VulnCheck đã tiết lộ bằng chứng về lỗ hổng đang được khai thác tích cực ở quy mô nhỏ trong tự nhiên. Các nhà nghiên cứu đã quan sát thấy các nỗ lực đăng nhập từ một địa chỉ IP ở Pháp, Lithuania và Na Uy, cho thấy các cuộc tấn công không liên quan và sử dụng các thông tin đăng nhập không mặc định khác nhau. Tác nhân đe dọa đã xác thực thành công 4/6 máy, với một lần đăng nhập thành công vào lần thử thứ hai và xác thực không thành công trên máy thứ sáu.
Thông tin đăng nhập được sử dụng trong các cuộc tấn công được trích xuất từ httpd.log, xác nhận việc khai thác CVE-2023-43261. Mặc dù không có bằng chứng về các hành động độc hại khác, tác nhân không xác định đã kiểm tra cài đặt và trang trạng thái của các bộ định tuyến bị ảnh hưởng.
Người ta ước tính rằng khoảng 5% trong số 5.500 bộ định tuyến Milesight tiếp xúc với internet đang chạy các phiên bản firmware dễ bị tấn công. Jacob Baines từ VulnCheck khuyên chủ sở hữu bộ định tuyến nên giả định rằng tất cả thông tin đăng nhập trên hệ thống đã bị xâm phạm và tạo ra những thông tin mới. Bạn cũng nên đảm bảo rằng không có giao diện nào có thể truy cập được qua internet để giảm thiểu nguy cơ truy cập trái phép.
Tại một bản tin khác, công ty bảo mật Rapid7 đã tiết lộ một số lỗ hổng trong các máy chủ Titan MFT và Titan SFTP của South River Technologies. Những lỗ hổng này, nếu bị khai thác, có thể cho phép người dùng truy cập từ xa vào các máy chủ bị ảnh hưởng. Các lỗ hổng bao gồm từ thực thi mã từ xa, tiết lộ thông tin và sửa phiên.
Mặc dù việc khai thác thành công các lỗ hổng này có thể cấp cho kẻ tấn công quyền truy cập root hoặc cấp HỆ THỐNG, Rapid7 lưu ý rằng chúng yêu cầu cấu hình không mặc định và do đó không có khả năng bị khai thác rộng rãi.
Theo VulnCheck, Rapid7