Cảnh báo: Lỗ hổng bỏ qua xác thực trong bộ định tuyến Tenda N300, chưa có bản vá

WhiteHat Team

Administrators
Thành viên BQT
09/04/2020
93
600 bài viết
Cảnh báo: Lỗ hổng bỏ qua xác thực trong bộ định tuyến Tenda N300, chưa có bản vá
Lỗ hổng nghiêm trọng có mã định danh CVE-2023-4498 được phát hiện trong bộ định tuyến không dây Modem VDSL2 Tenda N300 có thể cho phép kẻ tấn công không xác thực truy cập thông tin nhạy cảm. Lỗ hổng chưa có điểm CVSS.

1694146181392.png

Để khai thác lỗ hổng này, kẻ tấn công cần gửi một yêu cầu web tự tạo tới bộ định tuyến. Yêu cầu sẽ bao gồm từ khóa được liệt kê trong danh sách trắng (từ khóa an toàn) tại đường dẫn. Nếu có từ khóa, bộ định tuyến sẽ cung cấp URL trực tiếp mà không yêu cầu xác thực.

Khi kẻ tấn công đã có được quyền truy cập vào giao diện web của bộ định tuyến, chúng có thể xem hoặc thay đổi cài đặt của bộ định tuyến, bao gồm cả mật khẩu quản trị viên.

Hiện tại, Tenda chưa có bản vá giải quyết lỗ hổng này. Nếu đang sử dụng bộ định tuyến Tenda N300, người dùng có thể áp dụng ngay các giải pháp tạm thời để giảm thiểu rủi ro:
  • Cập nhật phiên bản firmware mới nhất cho bộ định tuyến.
  • Vô hiệu hóa dịch vụ quản trị từ xa (phía WAN) và giao diện web trên WAN của bộ định tuyến SoHo (Small Office/Home Office - Bộ định tuyến truy cập cho kiểu văn phòng nhỏ/hộ gia đình).
  • Thay đổi mật khẩu quản trị viên thành mật khẩu mạnh và duy nhất, tối thiểu 12 ký tự và bao gồm chữ in hoa, chữ thường, số và ký hiệu đặc biệt.
  • Sử dụng tường lửa để chặn lưu lượng truy cập trái phép vào bộ định tuyến.

 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Thẻ
cve-2023-4498 router tenda n300
Bên trên