Chuyên gia Việt phát hiện lỗ hổng bảo mật nghiêm trọng trên phần mềm quốc tế

Với việc phát hiện lỗ hổng bảo mật nghiêm trọng trên phần mềm MEAM, chuyên gia Giang Tuấn Anh của Công ty cổ phần an ninh mạng Việt Nam (VSEC) mới đây đã được Zoho, tập đoàn phần mềm Zoho vinh danh trên website Bug Bounty của hãng. 

Vào đầu tháng 10/2020, Zoho - tập đoàn công nghệ phát triển phần mềm hàng đầu thế giới đã công bố một lỗ hổng vô cùng nguy hiểm trên phần mềm giám sát máy chủ và ứng dụng MEAM (ManageEngine Application Manager) của hãng.

Lỗ hổng nghiêm trọng trên phần mềm MEAM được phát hiện có mức độ nguy hiểm gần như tuyệt đối 9.8/10 (đánh giá theo Viện Tiêu chuẩn và Kỹ thuật quốc gia NIST) và được gắn mã lỗi là “CVE-2020-15394”. 

Chuyên gia Việt phát hiện lỗ hổng bảo mật nghiêm trọng trên phần mềm quốc tế
Kỹ sư bảo mật Giang Tuấn Anh (thứ hai từ phải sang) cùng các đồng nghiệp tại VSEC.

Điều đặc biệt là người phát hiện ra lỗ hổng này là một chuyên gia bảo mật Việt Nam, anh Giang Tuấn Anh đang công tác tại Công ty cổ phần an ninh mạng Việt Nam (VSEC). Anh đã được tập đoàn Zoho vinh danh trên website tìm kiếm Bug Bounty của hãng.

Theo phân tích của các chuyên gia, lỗ hổng “CVE-2020-15394” cho phép hacker thực thi những câu lệnh SQL tùy ý mà không cần xác thực và lợi dụng một số “chức năng” của Postgresql (hệ quản trị cơ sở dữ liệu – PV) để thực thi lệnh hệ điều hành trái phép trên máy chủ, dẫn tới việc hacker chiếm quyền điều khiển cao nhất với máy chủ, bao gồm quyền system trên Windows và quyền root trên Linux.

Do có nhiệm vụ giám sát nên phần mềm ManageEngine Application Manager – MEAM chứa rất nhiều dữ liệu nhạy cảm như thông tin đăng nhập của các thiết bị được giám sát, SSH key… Chính vì thế, khi hacker chiếm được quyền trên phần mềm MEAM, chúng hoàn toàn có thể chiếm quyền điều khiển các thiết bị, máy chủ khác trong hệ thống mạng.

Chuyên gia bảo mật Giang Tuấn Anh chia sẻ: “Do tính chất phức tạp của MEAM nên việc debug tốn rất nhiều thời gian, nhất là phần tìm cách bỏ qua xác thực nhưng cuối cùng tôi cũng tìm được và xâu chuỗi các lỗ hổng riêng lẻ thành lỗ hổng có tác động cao”. 

MEAM là một trong những phần mềm giám sát máy chủ và ứng dụng phổ biến nhất trên thế giới. Tại Việt Nam, 70% ngân hàng và hơn 500 khách hàng là doanh nghiệp vừa và lớn của các ngân hàng này sử dụng phần mềm này.

Việc phát hiện ra lỗi “CVE-2020-15394” trên phần mềm MEAM giúp cho hàng nghìn doanh nghiệp tránh khỏi nguy cơ bị tấn công và đánh cắp thông tin, dữ liệu. Hãng Zoho đã tiến hành vá lỗ hổng trong phiên bản 14750 trở lên. 

Chuyên gia Việt phát hiện lỗ hổng bảo mật nghiêm trọng trên phần mềm quốc tế
 Chuyên gia VSEC Giang Tuấn Anh là một trong số ít các kỹ sư bảo mật Việt Nam sở hữu 3 chứng chỉ quốc tế uy tín trong lĩnh vực an toàn thông tin gồm OSCE, OSCP, OSWE.
 

Chuyên gia VSEC Giang Tuấn Anh là một trong số ít các kỹ sư bảo mật Việt Nam sở hữu 3 chứng chỉ quốc tế uy tín trong lĩnh vực an toàn thông tin gồm OSCE, OSCP, OSWE. Anh cũng là thành viên nòng cốt của nhóm triển khai VSEC VADAR - Dịch vụ giám sát an toàn thông tin toàn diện dành cho doanh nghiệp.

Giang Tuấn Anh hiện giữ vị trí Trưởng phòng Dịch vụ chuyên gia tại công ty cổ phần An ninh mạng Việt Nam (VSEC). Đã có hơn 10 năm hoạt động trong ngành bảo mật, đơn vị uy tín này tin rằng người Việt Nam hoàn toàn có thể sánh ngang khu vực và thế giới trong lĩnh vực an toàn thông tin. 

Việt Nam đang đẩy nhanh tiến trình chuyển đổi số, phát triển Chính phủ số, kinh tế số, xã hội số. Trong Chương trình chuyển đổi số quốc gia được phê duyệt hồi đầu tháng 6/2020, Thủ tướng Chính phủ đã chỉ rõ, bảo đảm an toàn, an ninh mạng là then chốt để chuyển đổi số thành công và bền vững, đồng thời là phần xuyên suốt, không thể tách rời của chuyển đổi số.

Các chuyên gia an ninh mạng cũng nhiều lần nhấn mạnh, nguồn nhân lực, con người luôn là yếu tố quan trọng nhất trong đảm bảo an toàn, an ninh mạng.

Thời gian qua, bảng xếp hạng toàn cầu về Chỉ số an toàn thông tin mạng (GCI) do Liên minh Viễn thông thế giới (ITU) đánh giá đã cho thấy, Việt Nam đã vươn lên mạnh mẽ, từ thứ hạng 100 năm 2017 lên thứ hạng 50. 

Cùng với đó, Việt Nam cũng được đánh giá về tỷ lệ lây nhiễm mã độc di động thấp thứ 2 Đông Nam Á, chỉ sau Singapore. Mạng lưới đơn vị chuyên trách về an toàn thông tin với sự tham gia rộng khắp của gần 200 cơ quan, tổ chức tại Việt Nam, đặt dưới sự điều phối chung, thống nhất của Trung tâm VNCERT/CC thuộc Cục An toàn thông tin.

Đặc biệt, Việt Nam có những chuyên gia hàng đầu thế giới đang làm ở trong nước và nước ngoài. Các chuyên gia Việt Nam đã liên tục phát hiện ra lỗ hổng bảo mật trên nhiều sản phẩm lớn, tác động đến hàng trăm ngàn thiết bị và hàng chục triệu người dùng toàn cầu.

Đơn cử như, các chuyên gia của Trung tâm Giám sát an toàn không gian mạng quốc gia (NCSC) thuộc Cục An toàn thông tin, Bộ TT&TT đã phát hiện ra lỗ hổng có mã “CVE-2020-1319” trên Windows; phát hiện một số lỗ hổng bảo mật cho phép hacker tấn công sâu, leo thang, kiểm soát hệ thống của Ủy ban châu Âu; phát hiện lỗ hổng bảo mật trên nền tảng thương mại điện tử lớn của Alibaba; phát hiện 8 lỗ hổng 0-Day trong các thiết bị định tuyến D-link…

M.T

“An toàn, an ninh mạng là điều kiện tiên quyết cho phát triển kinh tế số, Chính phủ điện tử”

“An toàn, an ninh mạng là điều kiện tiên quyết cho phát triển kinh tế số, Chính phủ điện tử”

ictnews Nhấn mạnh tầm quan trọng của an toàn, an ninh mạng, Bộ trưởng Bộ TT&TT Nguyễn Mạnh Hùng khẳng định, Bộ TT&TT xác định rõ điều kiện đầu tiên, tiên quyết trong phát triển kinh tế số, xây dựng Chính phủ điện tử là đảm bảo an toàn, an ninh mạng.

 
List comment
 
'Tiền mất tật mang' do ham hố quà tặng trên mạng
icon

Những chiêu trò tặng quà, thông báo trúng thưởng không mới nhưng mỗi khi đến dịp vẫn có vô số người Việt mắc bẫy.

 
Nguy cơ rò rỉ hình ảnh nhạy cảm từ camera cá nhân
icon

Các thiết bị ghi hình kỹ thuật số có kết nối Internet dễ trở thành mục tiêu tấn công của tội phạm mạng.

 
Doanh nghiệp có nguồn tài chính eo hẹp làm gì để bảo vệ an ninh mạng?
icon

Đối với doanh nghiệp vừa và nhỏ gặp khó khăn về tài chính, một số biện pháp rất tiết kiệm dưới đây có thể giúp bảo đảm an toàn thông tin ở mức độ nhất định.

 
Người vui buồn với 'nghề quét rác” trên không gian số
icon

Trực tiếp xây dựng Nghị định 91 về chống tin nhắn rác, email rác, cuộc gọi rác, chuyên viên Cục An toàn thông tin Đặng Huy Hoàng chia sẻ rằng anh và các cộng sự rất vui vì góp chút sức nhỏ để giảm thiểu “rác” trên không gian số.

 
158 đội sắp thi online vòng khởi động Sinh viên với An toàn thông tin ASEAN 2020
icon

Vòng Khởi động cuộc thi “Sinh viên với An toàn thông tin ASEAN 2020” sẽ diễn ra theo hình thức trực tuyến vào ngày 17/10 tới, với sự góp mặt của 158 đội thi.

 
 
Có nên cấm trẻ chơi game?
icon

Dù lo ngại lý do bảo mật hay ảnh hưởng tới thị lực, tính cách của trẻ, cha mẹ cũng không nên cấm đoán mà nên giao tiếp hiệu quả, kết hợp với các giải pháp hài hoà để trẻ vẫn được chơi trò chơi điện tử.

Phạt 30 triệu đồng khi website TMĐT vi phạm bảo vệ thông tin cá nhân
icon

Hành vi thu thập thông tin cá nhân của người tiêu dùng mà không được sự đồng ý trước, sử dụng thông tin cá nhân của người tiêu dùng không đúng với mục đích sẽ bị phạt 30 triệu đồng hoặc đình chỉ hoạt động nếu tái phạm.

Sở GD&ĐT An Giang tuyên truyền không cài đặt TikTok
icon

Để đảm bảo an ninh mạng, an toàn thông tin, tránh nguy cơ lọt dữ liệu, thông tin của người dùng, Sở Giáo dục và Đào tạo An Giang đã có văn bản tuyên truyền về ứng dụng TikTok.  

Khánh Hòa đặt mục tiêu bảo đảm an toàn thông tin mô hình 4 lớp
icon

Trong kế hoạch giai đoạn 2021-2025, một trong những mục tiêu mà tỉnh Khánh Hòa đề ra là hoàn thành triển khai, nâng cấp và duy trì bảo đảm an toàn thông tin mô hình 4 lớp theo hướng dẫn của Bộ TT&TT.

Sở TT&TT và Công an Quảng Bình ký quy chế phối hợp an toàn thông tin
icon

Trong quy chế mới ký kết, Sở TT&TT và Công an tỉnh Quảng Bình sẽ phối hợp giám định dữ liệu phục vụ công tác đấu tranh, phòng chống tội phạm; phối hợp tuyên truyền, phổ biến các văn bản quy phạm pháp luật về lĩnh vực an ninh mạng…

 
123

Giấy phép hoạt động báo chí: Số 09/GP-BTTTT, Bộ Thông tin và Truyền thông cấp ngày 07/01/2019.

Tòa soạn: Tầng 7, Tòa nhà Cục Tần số Vô tuyến điện, 115 Trần Duy Hưng, Quận Cầu Giấy, Hà Nội

Điện thoại: 024 3 936 9966 - Fax: 024 3 936 9364

Hotline nội dung: 0888 911 911 - Email: toasoan@ictnews.vn

123