ictnews Công ty cổ phần An ninh mạng Việt Nam (VSEC) vừa đưa ra cảnh báo khẩn cấp về lỗ hổng bảo mật nghiêm trọng trên ứng dụng Jenkins có thể ảnh hưởng đến nhiều do
anh nghiệp Việt Nam, cho phép hacker thực thi lệnh trái phép từ xa.
Theo phân tích của chuyên gia VSEC, khai thác lỗ hổng bảo mật trên Jenkins, các hacker sẽ dễ dàng chiếm được quyền điều khiển máy chủ, k
iểm soát toàn bộ hệ th
ống thông tin quan trọng của do
anh nghiệp và thực hiện các hoạt động trái phép như đánh cắp thông tin, phát tán dữ liệu mật.... (Ảnh minh họa: Internet)Tối qua, 18/9, ông Trương Đức Lượng – Tổng Giám đốc Công ty cổ phần An ninh mạng Việt Nam (VSEC) cho biết VSEC đã phát đi cảnh báo lỗ hổng bảo mật nghiêm trọng trên ứng dụng mã nguồn mở Jenkins, có thể gây ảnh hưởng nghiêm trọng tới hệ th
ống máy tính của các do
anh nghiệp Việt Nam.Theo VSEC, lỗ hổng có mã CVE-2019-10392, được chuyên gia bảo mật người Hà Lan Francesco Soncina phát hiện. Với lỗ hổng được đánh giá mức độ nguy h
iểm 8/10 này, hacker sẽ dễ dàng chiếm được quyền điều khiển máy chủ, k
iểm soát toàn bộ hệ th
ống thông tin của do
anh nghiệp và thực hiện các hoạt động trái phép.Các chuyên gia bảo mật VSEC đã nhanh chóng tiến hành nghiên cứu và công bố cách thức hoạt động của lỗ hổng. Cụ thể, để khai thác thành công hacker cần tài khoản người dùng cùng quyền cấu hình “Job/Configure (USE_ITEM)” và “Git Client Plugin” từ phiên bản 2.8.4 trở về trước. “Việc không k
iểm soát giá trị đầu vào tại tham số Repository URL trong Git Client Plugin chính là mấu chốt giúp hacker thực thi mã lệnh trái phép trên máy chủ”, chuyên gia VSEC cho hay. Chia sẻ với ICTnews về mức độ ảnh hưởng của lỗ hổng bảo mật ứng dụng mã nguồn mở Jenkins đối với các do
anh nghiệp Việt Nam, chuyên gia VSEC cho biết, hệ th
ống CI (Continuous Integration) là một trong những hệ th
ống phổ biến nhất tại các do
anh nghiệp công nghệ Việt Nam, 80% do
anh nghiệp có hệ th
ống CI đều sử dụng ứng dụng Jenkins để giúp tự động hoá trong nhiều công đoạn phát triển phần mềm và các sản phẩm có nhiều người dùng như mạng xã hội, ứng dụng chát hay các trang thương mại điện tử.Khai thác lỗ hổng bảo mật trên Jenkins, các hacker sẽ dễ dàng chiếm được quyền điều khiển máy chủ, k
iểm soát toàn bộ hệ th
ống thông tin quan trọng của do
anh nghiệp và thực hiện các hoạt động trái phép như đánh cắp thông tin, phát tán dữ liệu mật, thực hiện các hành vi giao dịch trái phép từ tài khoản khách hàng… Chuyên gia VSEC cho biết, theo th
ống kê, hiện có hơn 200.000 máy chủ cài đặt Jenkins phiên bản bị lỗi công khai trên Internet.Do mức độ nghiêm trọng của lỗ hổng, VSEC khuyến cáo các tổ chức, do
anh nghiệp cập nhật Git Client Plugin của Jenkins phiên bản mới nhất và nhanh nhất có thể. Ngoài ra, các do
anh nghiệp cần hạ
n ch?? công khai những hệ th
ống đang sử dụng trong mạng nội bộ, cấu hình Whitelist các IP được truy cập vào các hệ th
ống quan trọng, đồng thời cài đặt mật khẩu mạnh đối với tài khoản hệ th
ống k?
?? c?? tài khoản có quyền hạn thấp.
Nguồn bài viết : Trực tiếp xổ số Keno Vietlott
