CVE là gì?
CVE - viết tắt của Common Vulnerabilities and Exposures là danh sách các lỗi bảo mật máy tính công khai. Nó được quản lý bởi National Cyber Security Centre (NCSC) của Mỹ và cung cấp mã số duy nhất cho mỗi lỗ hổng để cho phép tìm kiếm và tham chiếu nhanh chóng. CVE được công bố công khai và hoàn toàn miễn phí tới người dùng, từ đó giúp các chuyên gia về bảo mật tìm ra những giải pháp ngăn chặn sự tấn công từ những yếu tố độc hại. Điều này nhằm nâng cao bảo mật, loại bỏ chung các lỗ hỏng có thể xảy ra. .
CVE được xác định như thế nào ?
Các CVE ID được chỉ định cho các lỗ hổng theo một số tiêu chí cụ thể. Các lỗi này phải được giải quyết độc lập với các bug khác, và được thừa nhận bởi nhà cung cấp dịch vụ là có tác động tiêu cực đến bảo mật và chỉ ảnh hưởng đến một codebase duy nhất. Những lỗ hổng có tác động đến nhiều sản phẩm khác nhau sẽ có CVE riêng biệt. Trước hết, lỗ hổng bảo mật này được xác định có ảnh hưởng xấu tới vấn đề bảo mật. Điều này có nghĩa là những lỗ hổng này phải có sự công nhận từ nhà cung cấp và được lập thành văn bản chính thức. Đồng thời chỉ ra rằng chúng có tác động tiêu cực đến vấn đề an toàn thông tin. Thứ hai, đây phải là lỗ hổng được sửa tách biệt so với các lỗi khác. Ta có thể hiểu việc khắc phụ những lỗ hổng CVE cần phải độc lập với việc khắc phục những lỗi khác và khi fix chúng sẽ không tác động đến toàn bộ hệ thống chung. Cuối cùng, lỗ hổng bảo mật ảnh hưởng tới một cơ sở (codebase). Một lỗ hổng được phép ánh xạ lên một codebase nhất định. Trong trường hợp nó tác động lên nhiều codebase, ta cần phải gắn mã định danh CVE cho từng cái riêng lẻ
CVE Identifier
Common Vulnerabilities and Exposures Identifier là mã số định danh của lỗ hổng bảo mật, một mã định danh chỉ được gắn với một CVE nhất định. Những mã định danh CVE này được xác nhận bởi tổ cơ quan đánh số CNA. Đây là cơ quan bao gồm các nhà cung cấp trong lĩnh vực CNTT hay các tổ chức nghiên cứu như trường học, công ty về bảo mật thậm chí là một cá nhân nào đó. Và nó cũng có thể được công bố bởi chính MITRE. Cách thức để biểu diễn mã định danh CVR là CVE-[Năm]-[Số] với Năm được hiểu là năm mà lỗ hổng bảo mật được phát hiện ra và được báo cáo, Số biểu thị cho số thứ tự được CNA quy định.
Ví dụ minh họa về mã định danh để cho dễ hình dung: CVE-2019-0708 thì mã định danh này tương ứng với lỗ hổng này được phát hiện vào năm 2019 và được chỉ định bởi tổ chức CNA với mã số là 0708. Đây là một CVE với một lỗ hổng trong quá trình thực hiện Remote Desktop Protocol (RDP) - Giao thức Máy tính Từ xa phát triển bởi Microsoft. CVE-2019-0708 còn được biết đến với tên gọi là BlueKeep.
Lợi ích của CVE
CVE gắn liền với những lỗ hổng bảo mật đã được công khai. Chính vì thế mã CVE có tác dụng vô cùng to lớn, giúp cho các chuyên gia tìm ra giải pháp ngăn chặn sự xâm nhập của những yếu tố độc hại. Một số lợi ích cụ thể của CVE: Việc chia sẻ thông tin CVE giúp các tổ chức có thể thiết lạp baseline để đánh giá mức độ phù hợp của những công cụ bảo mật mà họ có. CVE Number sẽ cho phép tổ chức những thành phần có trong công cụ và đánh giá mức độ phù hợp cho doanh nghiệp. Bên cạnh đó, CVE ID cho một lỗ hổng cụ thể còn giúp tổ chức có thể nhanh chóng nhận thông tin chính xác về lỗ hổng đó từ nhiều nguồn thông tin khác nhau. Từ đó điều chỉnh kế hoạch để có thể ưu tiên giải quyết lỗ hổng, bảo vệ tổ chức của mình.
Cảnh báo lỗ hổng CVE-2024-10914 (CVSS 9.2) chp phép chèn lệnh đe dọa hơn 61,000 thiết bị NAS D-Link
Trung tâm ứng cứu khẩn cấp không gian mạng Việt Nam (VNCERT/CC), Cục An toàn thông tin cảnh báo về lỗ hổng CVE-2024-10914(CVSS 9.2) cho phép chèn lệnh đe dọa hơn 61,000 thiết bị NAS D-Link nhằm cung cấp thêm thông tin cần thiết để quản trị viên cũng như người dùng có thể thực hiện các biện pháp bảo mật một cách kịp thời và hiệu quả. Một lỗ hổng nghiêm trọng mang mã CVE-2024-10914 đã được xác định trong các thiết bị NAS của D-Link, đe dọa hơn 61,000 hệ thống trên toàn cầu. Lỗ hổng này là một lỗi chèn lệnh (Command Injection) trong script accout_mgr.cgi, cho phép kẻ tấn công từ xa thực thi các lệnh tùy ý thông qua các yêu cầu HTTP GET được thiết kế đặc biệt. Lỗi này ảnh hưởng đến nhiều model NAS của D-Link, bao gồm DNS-320, DNS-320LW, DNS-325 và DNS-340L, với điểm số CVSSv4 đạt 9.2, đánh dấu mức độ nghiêm trọng cao.
Chi tiết lỗ hổng
 Lỗ hổng ảnh hưởng cụ thể đến tham số name trong lệnh cgi_user_add của script account_mgr.cgi. Bởi thiếu kiểm tra đầu vào chặt chẽ, các lệnh độc hại được chèn vào tham số name có thể dẫn đến việc thực thi lệnh trái phép. Theo NETSECFISH, “lỗ hổng này cho phép kẻ tấn công không xác thực chèn các lệnh shell tùy ý thông qua các yêu cầu HTTP GET được thiết kế đặc biệt”, khiến cho kẻ tấn công không cần xác thực mà vẫn có thể khai thác. Những model này thường được sử dụng cho lưu trữ dữ liệu cá nhân và doanh nghiệp nhỏ, đồng nghĩa với việc thông tin nhạy cảm có thể gặp nguy hiểm nếu bị khai thác.
Cách khai thác
Kẻ tấn công có thể khai thác lỗ hổng CVE-2024-10914 bằng cách gửi một yêu cầu HTTP GET được thiết kế đặc biệt đến địa chỉ IP của thiết bị NAS. Ví dụ, lệnh sau đây sẽ khai thác lỗ hổng thông qua lệnh curl: curl -X GET “http://[IP-của-thiết-bị-NAS]/đường-dẫn-cụ-thể” Thay vào IP của mục tiêu, cụ thể hơn, nếu lỗ hổng cần một chuỗi tải trọng (Payload), thử với: curl -X GET “http://[IP-của-thiết-bị-NAS]/exploit-path?param=value” Lệnh curl chèn một lệnh shell vào tham số name, kích hoạt việc thực thi ngoài ý muốn trên thiết bị mục tiêu.
Nguyên nhân
Lỗ hổng chèn lệnh được phân loại là CWE-77: Command Injection, xuất phát từ việc script account-mgr.cgi không kiểm tra đầu vào kỹ càng, cho phép thực thi các lệnh trái phép thông qua tham số name.
Các thiết bị bị ảnh hưởng
DNS-320 phiên bản 1.00
DNS-320LW phiên bản 1.01.0914.2012
DNS-325 với các phiên bản 1.01 và 1.02
DNS-340L với phiên bản 1.08
Giải pháp
Nhằm đảm bảo an toàn thông tin cho hệ thống thông tin của đơn vị D-Link, góp phần đảm bảo an toàn cho không gian mạng Việt Nam, Trung tâm VNCERT/CC đưa ra khuyến nghị người dùng và quản trị viên nên:
Cập nhật bản vá và firmware: Người dùng cần tải và cài đặt các bản cập nhật firmware do D-Link cung cấp khi có sẵn
Hạn chế truy cập mạng: Tạm thời hạn chế quyền truy cập vào giao diện quản lý NAS chỉ từ các địa chỉ IP tin cậy
Theo dõi cập nhật firmware: Người dùng thiết bị bị ảnh hưởng cần cảnh giác và theo dõi các bản vá bảo mật mớ từ D-Link
Nguồn: vncert.vn, www.cve.org