Cảnh báo người dùng vá các lỗ hổng cho phép bỏ qua xác thực và tấn công XSS trong các bộ định tuyến

- Netgear cảnh báo người dùng nên cập nhật thiết bị của họ lên phiên bản firmware mới nhất để vá các lỗ hổng stored cross-site scripting (XSS) và lỗi bỏ qua xác thực trong một số mẫu router (bộ định tuyến) WiFi 6.

Lỗ hổng stored XSS (được khắc phục trong phiên bản firmware 1.0.0.72 và được định danh là PSV-2023-0122) ảnh hưởng đến XR1000 Nighthawk gaming router.

Mặc dù công ty không tiết lộ bất kỳ chi tiết nào liên quan đến lỗi này, nhưng việc khai thác thành công những lỗ hổng này có thể cho phép kẻ tấn công chiếm quyền điều khiển phiên của người dùng, chuyển hướng người dùng đến các trang web độc hại hoặc hiển thị biểu mẫu đăng nhập giả mạo và đánh cắp thông tin nhạy cảm.

Ảnh minh họa

Kẻ tấn công cũng có thể thực hiện các hành động với quyền của người dùng bị xâm nhập, điều này đặc biệt nguy hiểm nếu người dùng có quyền quản trị trên thiết bị bị nhắm mục tiêu.

Lỗi bỏ qua xác thực (có định danh PSV-2023-0138, đã được vá trong phiên bản firmware 2.2.2.2) ảnh hưởng đến các bộ định tuyến CAX30 Nighthawk AX6 6-Stream cable modem.

Netgear cũng chưa tiết lộ bất kỳ thông tin nào liên quan đến lỗ hổng này, nhưng những lỗ hổng như vậy thường được xếp ở mức nghiêm trọng tối đa vì chúng có thể cung cấp cho kẻ tấn công quyền truy cập trái phép vào giao diện quản trị và có thể dẫn đến việc chiếm quyền kiểm soát hoàn toàn thiết bị mục tiêu.

Cách cập nhật firmware của bộ định tuyến

Trong các thông báo bảo mật được công bố vào thứ Tư tuần trước, Netgear cho biết họ “đặc biệt khuyên bạn nên tải xuống firmware mới nhất càng sớm càng tốt”.

Để tải xuống và cài đặt firmware mới nhất cho bộ định tuyến Netgear, bạn cần thực hiện các bước sau:

1.Truy cập NETGEAR Support.

2. Bắt đầu bằng việc nhập số model của bạn vào hộp tìm kiếm. Sau đó, chọn model của bạn từ menu thả xuống khi nó xuất hiện.

3. Nếu bạn không thấy menu thả xuống, hãy đảm bảo bạn đã nhập chính xác số model hoặc chọn danh mục sản phẩm để tìm kiếm model sản phẩm của mình.

4. Nhấp vào Downloads (Tải xuống).

5. Tại mục ‘Current Versions’ (Phiên bản hiện tại), chọn bản tải xuống đầu tiên có tiêu đề bắt đầu bằng ‘Firmware Version’.

6. Nhấp vào Downloads.

7. Để cài đặt firmware mới, hãy làm theo hướng dẫn trong hướng dẫn sử dụng sản phẩm, thông báo phát hành firmware hoặc trang hỗ trợ sản phẩm.

Tháng trước, các nhà nghiên cứu bảo mật đã tiết lộ nhóm 06 lỗ hổng với mức độ nghiêm trọng khác nhau ảnh hưởng đến Netgear WNR614 N300, bộ định tuyến phổ biến đối với người dùng gia đình và doanh nghiệp nhỏ.

Do model router này đã lỗi thời và không còn được Netgear hỗ trợ nên công ty sẽ không phát hành các bản vá bảo mật và khuyến nghị người dùng thay thế bộ định tuyến hoặc áp dụng các biện pháp giảm thiểu để ngăn chặn các cuộc tấn công tiềm ẩn.

PV (theo bleepingcomputer.com/tinnhiemmang.vn)