-
09/04/2020
-
99
-
835 bài viết
Lỗ hổng trong Wireshark cho phép tấn công DoS thông qua chèn mã độc
Một lỗ hổng nghiêm trọng đã được phát hiện trong công cụ phân tích giao thức mạng Wireshark, cho phép kẻ tấn công kích hoạt các cuộc tấn công từ chối dịch vụ (DoS) thông qua chèn gói dữ liệu độc hại hoặc sử dụng các tệp bắt gói bị lỗi.
Lỗ hổng này có mã CVE-2025-5601, điểm CVSS là 7.8. Lỗi bắt nguồn từ một bug trong module tiện ích cột của Wireshark, gây ra sự cố cho một số dissector khi xử lý lưu lượng mạng bị lỗi.
Các phiên bản bị ảnh hưởng bao gồm Wireshark 4.4.0 đến 4.4.6 và 4.2.0 đến 4.2.12. Lỗ hổng này liên quan đến “Buffer Copy without Checking Size of Input” (lỗi tràn bộ đệm cổ điển).
Lỗ hổng CVE-2025-5601 có thể bị khai thác thông qua 2 hướng tấn công chính.
Tuy nhiên, các chuyên gia bảo mật cảnh báo rằng khả năng khai thác vẫn là một mối đe dọa nghiêm trọng, đặc biệt khi Wireshark được triển khai phổ biến trong môi trường doanh nghiệp. Khi khai thác thành công, ứng dụng Wireshark sẽ gặp sự cố, gây gián đoạn các hoạt động phân tích và giám sát mạng quan trọng, gây ra hậu quả đối với các tổ chức phụ thuộc vào Wireshark để giám sát bảo mật mạng thời gian thực và phản ứng với sự cố.
Wireshark Foundation đã phát hành các bản vá phần mềm để khắc phục lỗ hổng CVE-2025-5601. Người dùng được khuyến cáo nâng cấp ngay lập tức lên Wireshark phiên bản 4.4.7 hoặc 4.2.12.
Ngoài việc cập nhật phần mềm, các chuyên gia cũng khuyến cáo các giải pháp bổ sung. Các tổ chức nên xác minh nguồn gốc của các tệp bắt gói trước khi mở chúng trong Wireshark, giới hạn các thao tác bắt gói mạng chỉ đối với các nguồn đáng tin cậy và triển khai phân đoạn mạng để giảm thiểu sự tiếp xúc.
Lỗ hổng lần này tiếp tục là một phần trong chuỗi sự cố bảo mật ảnh hưởng đến các module dissector của Wireshark. Các sự cố trước đó bao gồm CVE-2025-1492 trong các dissector Bundle Protocol và CBOR, cũng như các lỗ hổng trước đây trong các dissector Bluetooth ATT, Radiotap và các giao thức khác.
Phát hiện này một lần nữa nhấn mạnh những thách thức trong việc bảo mật các công cụ phân tích mạng phức tạp, vốn phải phân tích lưu lượng mạng đa dạng và có thể chứa mã độc.
Các tổ chức sử dụng Wireshark trong môi trường sản xuất nên ưu tiên việc vá lỗi ngay lập tức và xem xét lại các giao thức bảo mật giám sát mạng để ngăn ngừa khả năng khai thác lỗ hổng này và các lỗ hổng trong tương lai.
Lỗ hổng này có mã CVE-2025-5601, điểm CVSS là 7.8. Lỗi bắt nguồn từ một bug trong module tiện ích cột của Wireshark, gây ra sự cố cho một số dissector khi xử lý lưu lượng mạng bị lỗi.
Các phiên bản bị ảnh hưởng bao gồm Wireshark 4.4.0 đến 4.4.6 và 4.2.0 đến 4.2.12. Lỗ hổng này liên quan đến “Buffer Copy without Checking Size of Input” (lỗi tràn bộ đệm cổ điển).
Lỗ hổng CVE-2025-5601 có thể bị khai thác thông qua 2 hướng tấn công chính.
- Thứ nhất, kẻ tấn công có thể chèn các gói dữ liệu bị lỗi trực tiếp vào cơ sở hạ tầng mạng mà Wireshark đang giám sát.
- Thứ hai, các tác nhân độc hại có thể tạo ra các tệp bắt gói bị hỏng và thuyết phục người dùng mở chúng, dẫn đến sự cố ứng dụng.
Tuy nhiên, các chuyên gia bảo mật cảnh báo rằng khả năng khai thác vẫn là một mối đe dọa nghiêm trọng, đặc biệt khi Wireshark được triển khai phổ biến trong môi trường doanh nghiệp. Khi khai thác thành công, ứng dụng Wireshark sẽ gặp sự cố, gây gián đoạn các hoạt động phân tích và giám sát mạng quan trọng, gây ra hậu quả đối với các tổ chức phụ thuộc vào Wireshark để giám sát bảo mật mạng thời gian thực và phản ứng với sự cố.
Wireshark Foundation đã phát hành các bản vá phần mềm để khắc phục lỗ hổng CVE-2025-5601. Người dùng được khuyến cáo nâng cấp ngay lập tức lên Wireshark phiên bản 4.4.7 hoặc 4.2.12.
Ngoài việc cập nhật phần mềm, các chuyên gia cũng khuyến cáo các giải pháp bổ sung. Các tổ chức nên xác minh nguồn gốc của các tệp bắt gói trước khi mở chúng trong Wireshark, giới hạn các thao tác bắt gói mạng chỉ đối với các nguồn đáng tin cậy và triển khai phân đoạn mạng để giảm thiểu sự tiếp xúc.
Lỗ hổng lần này tiếp tục là một phần trong chuỗi sự cố bảo mật ảnh hưởng đến các module dissector của Wireshark. Các sự cố trước đó bao gồm CVE-2025-1492 trong các dissector Bundle Protocol và CBOR, cũng như các lỗ hổng trước đây trong các dissector Bluetooth ATT, Radiotap và các giao thức khác.
Phát hiện này một lần nữa nhấn mạnh những thách thức trong việc bảo mật các công cụ phân tích mạng phức tạp, vốn phải phân tích lưu lượng mạng đa dạng và có thể chứa mã độc.
Các tổ chức sử dụng Wireshark trong môi trường sản xuất nên ưu tiên việc vá lỗi ngay lập tức và xem xét lại các giao thức bảo mật giám sát mạng để ngăn ngừa khả năng khai thác lỗ hổng này và các lỗ hổng trong tương lai.
Theo cybersecuritynews