Các trung tâm dữ liệu có nguy cơ bị tấn công bởi nhiều lỗ hổng bảo mật

0
0

- Nhiều lỗ hổng bảo mật ảnh hưởng tới phần mềm quản lý cơ sở hạ tầng trung tâm dữ liệu (DCIM) PowerPanel Enterprise của CyberPower và sản phẩm đơn vị phân phối điện (PDU) iBoot của Dataprobe.

Hai nền tảng quản lý dữ liệu tập trung này có thể bị đối tượng tấn công khai thác để chiếm đoạt quyền truy cập trái phép, qua đó gây ra thiệt hại nghiêm trọng tới môi trường hệ thống.

Có tổng cộng 9 lỗ hổng đã được xác định, từ CVE-2023-3259 tới CVE-2023-3267, mức độ ảnh hưởng từ Trung bình đến Nghiêm trọng với điểm CVSS từ 6.7 tới 9.8. Các lỗ hổng này cho phép đối tượng tấn công tắt nguồn toàn bộ trung tâm dữ liệu và xâm nhập vào hệ thống để đánh cắp dữ liệu hoặc thực hiện các cuộc tấn công quy mô lớn.

Ảnh minh họa
Ảnh minh họa

Ngoài ra, chuyên gia bảo mật còn cảnh báo rằng cả hai sản phẩm trên còn bị ảnh hưởng bởi cuộc tấn công chèn mã từ xa, được tận dụng để cài một backdoor hoặc điểm truy cập tới mạng lưới của các thiết bị kết nối với trung tâm dữ liệu và hệ thống doanh nghiệp.

Phát hiện về lỗ hổng được công bố tại hội thảo DEF CON diễn ra vào ngày 12/8. Danh sách của lỗ hổng cũng đã được đề cập tới ở phiên bản 2.6.8 của phần mềm PowerPanel Enterprise và phiên bản 1.44.08042023 của phần mềm iBoot PDU.

Danh sách cụ thể của các lỗ hổng gồm có:

Dataprobe iBoot PDU:

• CVE-2023-3259 (Điểm CVSS: 9.8) - Cho phép đối tượng tấn công thực hiện tấn công Bypass.

• CVE-2023-3260 (Điểm CVSS: 7.2) - Cho phép đối tượng tấn công chèn mã vào OS dẫn tới thực thi mã từ xa.

• CVE-2023-3261 (Điểm CVSS: 7.5) - Cho phép đối tượng tấn công gây ra lỗi buffer overflow dẫn tới tấn công từ chối dịch vụ DoS.

• CVE -2023-3262 (Điểm CVSS: 6.7) - Lỗ hổng hard-coded credential

• CVE-2023-3263 (Điểm CVSS: 7.5) - Cho phép đối tượng tấn công thực hiện tấn công

BypassCyberPower PowerPanel Enterprise:

• CVE-2023-3264 (Điểm CVSS 6.7) - Lỗ hổng hard-coded credential CVE-2023-3265 (Điểm CVSS 7.2) - cho phép đối tượng tấn công thực hiện tấn công Bypass

• CVE-2023-3266 (Điểm CVSS 7.5) - Cho phép đối tượng tấn công thực hiện tấn công Bypass

• CVE-2023-3267 (Điểm CVSS 7.5) - Cho phép đối tượng tấn công chèn mã vào OS dẫn tới thực thi mã từ xa.

Khai thác thành công các lỗ hổng này có thể ảnh hưởng trực tiếp tới việc triển khai hạ tầng quan trọng dựa vào trung tâm dữ liệu. Đối tượng tấn công có thể tắt hệ thống chỉ với một lần nhấn nút, tiến hành tấn công ransomware, DDoS hoặc wiper trên diện rộng cũng như thực hiện các tác vụ gián điệp mạng.

Theo khuyến cáo từ Trung tâm Giám sát an toàn không gian mạng quốc gia - Cục An toàn thông tin thuộc Bộ Thông tin và Truyền thông, trước những nguy cơ nêu trên, các đơn vị, doanh nghiệp cần thường xuyên cập nhật thông tin (như các chiến dịch tấn công của các nhóm APT, thông tin IoC kèm theo từng chiến dịch, điểm yếu lỗ hổng đang bị lợi dụng để khai thác…), rà soát trên các hệ thống thống thông tin để phát hiện và ngăn chặn, xử lý kịp thời.

PV


Ý kiến bạn đọc


Lời cảm ơn của gia đình Tổng Bí thư Nguyễn Phú Trọng

Chiều 26/7, ông Nguyễn Trọng Trường, đại diện gia đình Tổng Bí thư Nguyễn Phú Trọng đọc Lời cảm ơn của gia đình Tổng Bí thư tại Lễ Truy điệu.

Bức tâm thư của Phu nhân Tổng Bí thư Lào gửi Phu nhân Tổng Bí thư

(VnMedia) - VnMedia xin đăng tải toàn văn bức tâm thư của Phu nhân Tổng Bí thư Lào Naly Sisoulith gửi Phu nhân Tổng Bí thư Nguyễn Phú Trọng, Ngô Thị Mận.

Nhớ về một người Cộng sản chân chính

(VnMedia)- Mỗi khi nghĩ về Tổng Bí thư Nguyễn Phú Trọng là trong tôi hiện lên hình ảnh một người Cộng sản chân chính. Và, lúc này, tôi lại nhớ đến câu chuyện mẹ tôi vẫn kể trong những năm tháng bà còn sống về cha tôi - một người Cộng sản...

Cảnh báo chiêu trò lừa đảo tuyển người mẫu, cầu thủ nhí trên không gian mạng

(VnMedia) - Bộ Công an vừa phát đi cảnh báo về chiêu trò lừa đảo tuyển mẫu nhí, cầu thủ nhí, người đại diện thương hiệu nhằm chiếm đoạt tài sản qua không gian mạng.

Giá vàng đảo chiều tăng mạnh

(VnMedia) - Chốt phiên giao dịch rạng sáng nay (24/7), giá vàng giao ngay tại thị trường New York đã đảo chiều tăng mạnh hơn 13 USD/ounce. Trong nước, chiều qua, giá vàng miếng SJC vẫn duy trì ở mốc gần 80 triệu đồng/lượng ở chiều bán ra.