VietNetwork.Vn

Các nhà nghiên cứu bảo mật mạng đang cảnh báo về lỗ hổng chưa được vá trong hệ thống bộ điều khiển truy cập Nice Linear eMerge E3 có thể cho phép thực hiện các lệnh hệ điều hành (OS) tùy ý.

Theo VulnCheck, lỗ hổng được định danh là CVE -2024-9441 này có điểm CVSS là 9,8 trên thang điểm tối đa là 10,0.

"Một lỗ hổng trong Nortek Linear eMerge E3 cho phép kẻ tấn công từ xa không xác thực khiến thiết bị thực thi lệnh tùy ý", SSD Disclosure cho biết trong một khuyến cáo về lỗ hổng được phát hành vào cuối tháng trước, đồng thời nêu rõ nhà cung cấp vẫn chưa cung cấp bản sửa lỗi hoặc giải pháp tạm thời.


Lỗ hổng này ảnh hưởng đến các phiên bản sau của Nortek Linear eMerge E3 Access Control: 0.32-03i, 0.32-04m, 0.32-05p, 0.32-05z, 0.32-07p, 0.32-07e, 0.32-08e, 0.32-08f, 0.32-09c, 1.00.05 và 1.00.07.

Bằng chứng khái niệm (PoC) cho lỗ hổng này đã được công bố sau khi được công khai, làm dấy lên lo ngại rằng nó có thể bị kẻ tấn công khai thác.

Điều đáng chú ý là một lỗ hổng nghiêm trọng khác ảnh hưởng đến E3, CVE-2019-7256 (điểm CVSS: 10.0), đã bị một tác nhân đe dọa có tên là Flax Typhoon khai thác để tuyển dụng các thiết bị dễ bị tấn công vào mạng botnet Raptor Train hiện đã bị xóa bỏ.

Mặc dù đã được tiết lộ vào tháng 5 năm 2019, nhưng công ty không giải quyết thiếu sót này cho đến đầu tháng 3 năm nay.

"Nhưng xét đến phản ứng chậm chạp của nhà cung cấp đối với CVE-2019-7256 trước đó, chúng tôi không mong đợi bản vá cho CVE-2024-9441 sẽ sớm ra mắt", Jacob Baines của VulnCheck cho biết. "Các tổ chức sử dụng dòng Linear Emerge E3 nên hành động nhanh chóng để đưa các thiết bị này ngoại tuyến hoặc cô lập chúng".

Trong một tuyên bố chia sẻ với SSD Disclosure, Nice khuyến nghị khách hàng tuân thủ các biện pháp bảo mật tốt nhất, bao gồm thực thi phân đoạn mạng, hạn chế quyền truy cập vào sản phẩm từ internet và đặt sản phẩm sau tường lửa mạng.