Gần hai chục lỗ hổng bảo mật đã được tiết lộ trong các thiết bị điểm truy cập không dây cấp công nghiệp Advantech EKI, một số trong số đó có thể được vũ khí hóa để vượt qua xác thực và thực thi mã với các đặc quyền nâng cao.
"Những lỗ hổng này gây ra rủi ro đáng kể, cho phép thực thi mã từ xa chưa được xác thực với đặc quyền root, do đó ảnh hưởng hoàn toàn đến tính bảo mật, tính toàn vẹn và tính khả dụng của các thiết bị bị ảnh hưởng", công ty an ninh mạng Nozomi Networks cho biết trong một phân tích hôm thứ Tư.
Sau khi tiết lộ có trách nhiệm, các điểm yếu đã được giải quyết trong các phiên bản chương trình cơ sở sau -
Trong số sáu lỗ hổng nghiêm trọng, năm lỗ hổng (từ CVE-2024-50370 đến CVE-2024-50374, điểm CVSS: 9,8) liên quan đến việc vô hiệu hóa không đúng các phần tử đặc biệt được sử dụng trong lệnh hệ điều hành (OS), trong khi CVE-2024-50375 (điểm CVSS: 9,8) liên quan đến trường hợp thiếu xác thực cho một chức năng quan trọng.
Cũng cần lưu ý là CVE-2024-50376 (điểm CVSS: 7.3), một lỗ hổng kịch bản chéo trang web có thể được xâu chuỗi với CVE-2024-50359 (điểm CVSS: 7.2), một trường hợp khác của việc chèn lệnh hệ điều hành yêu cầu xác thực, để thực thi mã tùy ý qua mạng.
Điều đó nói rằng, để cuộc tấn công này thành công, nó yêu cầu người dùng độc hại bên ngoài phải ở gần điểm truy cập Advantech và phát một điểm truy cập giả mạo.

Cuộc tấn công được kích hoạt khi quản trị viên truy cập phần "Trình phân tích Wi-Fi" trong ứng dụng web, khiến trang tự động nhúng thông tin nhận được thông qua các khung đèn hiệu do kẻ tấn công phát sóng mà không cần bất kỳ kiểm tra vệ sinh nào.
"Một trong những thông tin mà kẻ tấn công có thể phát thông qua điểm truy cập giả mạo của nó là SSID (thường được gọi là 'tên mạng Wi-Fi')", Nozomi Networks cho biết. Do đó, kẻ tấn công có thể chèn tải trọng JavaScript làm SSID cho điểm truy cập giả mạo của nó và khai thác CVE-2024-50376 để kích hoạt lỗ hổng Cross-Site Scripting (XSS) bên trong ứng dụng web."
Kết quả là việc thực thi mã JavaScript tùy ý trong ngữ cảnh trình duyệt web của nạn nhân, sau đó có thể được kết hợp với CVE-2024-50359 để đạt được việc chèn lệnh ở cấp độ hệ điều hành với đặc quyền root. Điều này có thể ở dạng một shell ngược cung cấp quyền truy cập từ xa liên tục cho tác nhân đe dọa.
"Điều này sẽ cho phép những kẻ tấn công kiểm soát từ xa thiết bị bị xâm nhập, thực hiện các lệnh và tiếp tục xâm nhập vào mạng, trích xuất dữ liệu hoặc triển khai các tập lệnh độc hại bổ sung", công ty cho biết.
"Những lỗ hổng này gây ra rủi ro đáng kể, cho phép thực thi mã từ xa chưa được xác thực với đặc quyền root, do đó ảnh hưởng hoàn toàn đến tính bảo mật, tính toàn vẹn và tính khả dụng của các thiết bị bị ảnh hưởng", công ty an ninh mạng Nozomi Networks cho biết trong một phân tích hôm thứ Tư.
Sau khi tiết lộ có trách nhiệm, các điểm yếu đã được giải quyết trong các phiên bản chương trình cơ sở sau -
- 1.6.5 (đối với EKI-6333AC-2G và EKI-6333AC-2GD)
- 1.2.2 (đối với EKI-6333AC-1GPO)
Trong số sáu lỗ hổng nghiêm trọng, năm lỗ hổng (từ CVE-2024-50370 đến CVE-2024-50374, điểm CVSS: 9,8) liên quan đến việc vô hiệu hóa không đúng các phần tử đặc biệt được sử dụng trong lệnh hệ điều hành (OS), trong khi CVE-2024-50375 (điểm CVSS: 9,8) liên quan đến trường hợp thiếu xác thực cho một chức năng quan trọng.
Cũng cần lưu ý là CVE-2024-50376 (điểm CVSS: 7.3), một lỗ hổng kịch bản chéo trang web có thể được xâu chuỗi với CVE-2024-50359 (điểm CVSS: 7.2), một trường hợp khác của việc chèn lệnh hệ điều hành yêu cầu xác thực, để thực thi mã tùy ý qua mạng.
Điều đó nói rằng, để cuộc tấn công này thành công, nó yêu cầu người dùng độc hại bên ngoài phải ở gần điểm truy cập Advantech và phát một điểm truy cập giả mạo.

Cuộc tấn công được kích hoạt khi quản trị viên truy cập phần "Trình phân tích Wi-Fi" trong ứng dụng web, khiến trang tự động nhúng thông tin nhận được thông qua các khung đèn hiệu do kẻ tấn công phát sóng mà không cần bất kỳ kiểm tra vệ sinh nào.
"Một trong những thông tin mà kẻ tấn công có thể phát thông qua điểm truy cập giả mạo của nó là SSID (thường được gọi là 'tên mạng Wi-Fi')", Nozomi Networks cho biết. Do đó, kẻ tấn công có thể chèn tải trọng JavaScript làm SSID cho điểm truy cập giả mạo của nó và khai thác CVE-2024-50376 để kích hoạt lỗ hổng Cross-Site Scripting (XSS) bên trong ứng dụng web."
Kết quả là việc thực thi mã JavaScript tùy ý trong ngữ cảnh trình duyệt web của nạn nhân, sau đó có thể được kết hợp với CVE-2024-50359 để đạt được việc chèn lệnh ở cấp độ hệ điều hành với đặc quyền root. Điều này có thể ở dạng một shell ngược cung cấp quyền truy cập từ xa liên tục cho tác nhân đe dọa.
"Điều này sẽ cho phép những kẻ tấn công kiểm soát từ xa thiết bị bị xâm nhập, thực hiện các lệnh và tiếp tục xâm nhập vào mạng, trích xuất dữ liệu hoặc triển khai các tập lệnh độc hại bổ sung", công ty cho biết.