Được sử dụng rộng rãi, nhưng phần mềm Jenkins đang chứa lỗ hổng nghiêm trọng có thể khiến hệ thống của cả doanh nghiệp rơi vào tay hacker
Trong khi tính năng mới trên phần mềm Jenkins đang giúp ích rất nhiều cho các nhà phát triển, nó lại chứa một lỗ hổng có thể bị hacker khai thác để chiếm quyền toàn bộ hệ thống của doanh nghiệp.
Jenkins – ứng dụng máy chủ tự động mã nguồn mở rất nổi tiếng và đang được sử dụng rộng rãi trong cộng đồng nhà phát triển trên thế giới cũng như tại Việt Nam. Tuy nhiên, mới đây công ty cổ phần An ninh mạng Việt Nam VSEC đã đưa ra một lời cảnh báo về lỗ hổng bảo mật vô cùng nghiêm trọng trong phần mềm này.
Lỗ hổng này bắt đầu xuất hiện từ phiên bản Jetty 9.4.27 – phiên bản này được rất nhiều nhà phát triển sử dụng do nó bổ sung cơ chế xử lý nhiều request đến hệ thống cùng một lúc có thể gây lỗi tràn bộ đệm, khiến ứng dụng bị lỗi.
Khác với những phiên bản trước đấy, phiên bản Jetty 9.4.27 hoạt động với cơ chế giả lập 1 lỗi HTTP 431 cố ý, nhằm gửi thông báo về việc đang có request quá lớn lên máy chủ để hệ thống tự động xử lý trước khi bị tràn bộ nhớ.
Video đang HOT
Nhưng cơ chế này lại vô tình tạo ra một lỗi không mong muốn, đó là khiến luồng hoạt động của 2 người dùng độc lập có khả năng sẽ có cùng 1 bộ đệm vào cùng 1 thời điểm, điều này đồng nghĩa với người này có thể vào bộ nhớ đệm chung và xem được hoạt động của người còn lại, trong đấy có thể sẽ chứa những thông tin như session ID, thông tin xác thực và thông tin nhạy cảm khác của những thành viên trong hệ thống máy chủ doanh nghiệp.
Với lỗ hổng nguy hiểm này, các hacker sẽ có thể thực hiện các hoạt động trái phép như đán.h cắp thông tin, phát tán dữ liệu mật. Thậm chí chiếm được quyền điều khiển máy chủ, kiểm soát toàn bộ hệ thống thông tin quan trọng của doanh nghiệp. Hiện tại lỗ hổng đã được gắn mã định danh CVE-2019-17638 với đán.h giá mức độ theo NIST: Critical – 9.4 (Nghiêm trọng) .
Về mức độ ảnh hưởng của lỗ hổng bảo mật ứng dụng mã nguồn mở Jenkins đối với các doanh nghiệp Việt Nam, chuyên gia VSEC cho biết, hệ thống CI (Continuous Integration) là một trong những hệ thống phổ biến nhất tại các doanh nghiệp công nghệ Việt Nam, 80% doanh nghiệp có hệ thống CI đều sử dụng ứng dụng Jenkins để giúp tự động hoá trong nhiều công đoạn phát triển phần mềm và các sản phẩm có nhiều người dùng như mạng xã hội, ứng dụng chát hay các trang thương mại điện tử. Theo thống kê, hiện có hơn 200.000 máy chủ cài đặt Jenkins phiên bản bị lỗi công khai trên Internet.
Do mức độ nghiêm trọng của lỗ hổng, VSEC khuyến cáo các tổ chức, doanh nghiệp cần cập nhật phiên bản mới đã vá lỗ hổng (Jetty 9.4.30.v20200611) sớm nhất và nhanh nhất có thể. Ngoài ra, các doanh nghiệp cần hạn chế công khai những hệ thống đang sử dụng trong mạng nội bộ, cấu hình Whitelist các IP được truy cập vào các hệ thống quan trọng, đồng thời cài đặt mật khẩu mạnh đối với tài khoản hệ thống kể cả tài khoản có quyền hạn thấp.
Cảnh báo lỗ hổng trên các thiết bị giải pháp đảm bảo an ninh hệ thống
VSEC vừa phát đi cảnh báo lỗ hổng bảo mật trên thiết bị ADC của Big IP - bộ giải pháp đảm bảo an ninh hệ thống mà 90% các doanh nghiệp tài chính lớn trên thế giới đang sử dụng, trong đó có cả Việt Nam.
Các chuyên gia bảo mật vừa phát hiện được một lỗ hổng bảo mật nguy hiểm trên thiết bị ADC của Big IP
Theo Công ty cổ phần An ninh mạng việt nam VSEC, lỗ hổng có thể khiến toàn bộ hệ thống của doanh nghiệp lớn bị đán.h sập chỉ với 1 cú nhấn chuột.
Lỗ hổng được gắn mã là CVE-2020-5902 với số điểm CVSSv3 là 10/10 điểm, điều này có nghĩa là lỗ hổng được các chuyên gia bảo mật và phân tích mã độc trên thế giới đán.h giá mức độ nghiêm trọng đạt mức tối đa.
Cụ thể, Big IP là bộ giải pháp dùng để đảm bảo an ninh hệ thống của các doanh nghiệp lớn do F5 Networks cung cấp, trong đấy, phần mềm đang bị dính lỗ hổng bảo mật là ADC - một thiết bị được đặt giữa tường lửa và các máy chủ ứng dụng để cân bằng lưu lượng truy cập vào ứng dụng, chống tắc nghẽn khi số lượng truy cập ở một thời điểm quá cao.
Việc xuất hiện lỗ hổng bảo mật nghiêm trọng trên ADC cho phép kẻ tấ.n côn.g giành quyền kiểm soát quản trị viên trên thiết bị, sau đấy thực hiện hành động tấ.n côn.g xâm hại trên thiết bị bị xâm nhập.
F5 Networks vốn được biết đến với tiềm lực và uy tín hàng đầu thế giới về lĩnh vực mạng ứng dụng phân phối - Application Delivery Networking - AND. Đến nay, có đến 90% các công ty tài chính và viễn thông hàng đầu thế giới sử dụng sản phẩm và giải pháp của F5 Networks, như các chính phủ, doanh nghiệp, công ty trong danh sách Fortune 500, ngân hàng, nhà cung cấp dịch vụ và thương hiệu tiêu dùng bao gồm Microsoft, Oracle và Facebook...
Các đơn vị sử dụng giải pháp của F5 Networks đặt hoàn toàn sự tin tưởng vào dịch vụ của công ty này nên hầu như không chuẩn bị thêm phương án dự phòng. Vì thế, việc xuất hiện lỗ hổng bảo mật lần này gây hoang mang và điêu đứng cho hệ thống tất cả doanh nghiệp lớn trên thế giới.
"Bằng cách khai thác lỗ hổng này, kẻ tấ.n côn.g sẽ có quyền truy cập vào tiện ích cấu hình Big IP, mà không cần xác thực, thực hiện các tác vụ điều khiển từ xa (RCE)", ông Đào Minh Tuấn - đại diện Công ty cổ phần An ninh mạng Việt Nam giải thích.
Nguy hiểm hơn, lỗ hổng này có thể đán.h sập một hệ thống lớn nhưng cách khai thác lại đơn giản, người dùng không rõ về kỹ thuật cũng có thể tấ.n côn.g thông qua nó. Bằng cách sử dụng những mã khai thác có sẵn đã được công khai phổ biến trên internet, bất kỳ ai cũng có thể trở thành hacker. Chưa bao giờ các hệ thống lớn lại bị đ.e dọ.a trầm trọng như hiện tại.
Đây là lý do CVE-2020-5902 đạt mức nguy hiểm tối đa 10/10
Hiện tại, F5 Networks đã công bố bản vá, chuyên gia của VSEC khuyến nghị các doanh nghiệp nên cập nhật bản mới và sử dụng các phiên bản đám mây (ví dụ: AWS, Azure, GCP và Alibaba) để chuyển sang các phiên bản Big IP Virtual Edition (VE) 11.6.5.2, 12.1.5.2, 13.1.3.4, 14.1.2.6, 15.0.1.4 hoặc 15.1.0.4 (nếu có thể).
Hacker lợi dụng lỗ hổng đã được vá từ nhiều năm trước trong Microsoft Office để phá đám doanh nghiệp Đây là lời nhắc nhở rằng chúng ta phải luôn cập nhật các phần mềm đang sử dụng lên phiên bản mới nhất để hạn chế nguy cơ về an ninh mạng. Dù các công ty phần mềm luôn định kỳ công bố các bản vá nhằm ngăn chặn tình trạng hacker lợi dụng các lỗ hổng tiềm ẩn, khách hàng lại thường...