Các lỗ hổng trong hệ quản lý mạng di động tập trung của Nokia và Oracle ảnh hưởng đến mạng di động 4G và 5G
Nokia NetAct là giải pháp quản lý mạng di động tập trung của Nokia, cung cấp khả năng tích hợp các giải pháp giúp người quản trị quản lý cấu hình, giám sát và quản lý phần mềm của mạng di động 5G, 4G, 3G và 2G một cách tự động, từ đó giúp hệ thống đạt hiệu quả tối đa khi xử lý sự gia tăng liên tục của các luồng dữ liệu, đặc biệt là đối với dữ liệu của mạng 5G. Các chuyên gia của RTR đã nghiên cứu, xác định các lỗ hổng nói trên và gửi báo cáo cho các nhà cung cấp. Những lỗ hổng này đã được Viện tiêu chuẩn và Công nghệ quốc gia Hoa Kỳ (NIST) đưa vào hệ thống đánh giá của mình, cụ thể:
- CVE-2021-26597 là lỗ hổng thuộc phần mềm NOKIA NetAct, ảnh hưởng đến phiên bản CWE-434: NOKIA NetAct 18A. Cho phép kẻ tấn công có thể tải lên các tệp tin mang mã độc bất kỳ.
- CVE-2021-26596 là lỗ hổng thuộc phần mềm NOKIA NetAct, ảnh hưởng đến phiên bản CWE-79: NOKIA NetAct 18A. Cho phép kẻ tấn công thay đổi tên của các tệp tin đã tải lên, sau đó được lưu trữ và thực thi bởi trình duyệt Web của nạn nhân.
- CVE-2021-3314 là lỗ hổng thuộc phần mềm Oracle GlassFish, ảnh hưởng đến phiên bản 3.1.2.18 trở xuống. Cho phép kẻ tấn công sử dụng tham số trong URL để phân phối các phần mềm độc hại (các URL này được đăng công khai hoặc gửi trực tiếp qua email cho nạn nhân).
Các chuyên gia cho rằng, trong trường hợp của Oracle GlassFish Server 3.1.2.18 và các phiên bản cũ hơn, khi lỗi XSS xảy ra, hacker có thể sử dụng quyền của quản trị viên để chuyển nội dung độc hại cho người dùng. Trong một năm rưỡi làm việc của mình, các nhà nghiên cứu thuộc nhóm RTR đã xác định được tổng cộng 52 lỗ hổng trong sản phẩm của các nhà cung cấp lớn như NOKIA, Oracle, Siemens, IBM , Selesta, Johnson & Controls, Schneider Electric,…
Nam Trần