Lỗ hổng nguy hại trên mạng xã hội, ứng dụng chat và trang TMĐT

Với lỗ hổng vừa được phát hiện, đơn vị vận hành các nền tảng này có thể bị xâm nhập dữ liệu quan trọng, từ đó tạo tiền đề để hacker chiếm quyền điều khiển hệ thống.

Công ty cổ phần An ninh mạng Việt Nam (VSEC) vừa đưa ra cảnh báo khẩn cấp về lỗ hổng bảo mật nghiêm trọng trên ứng dụng Jenkins. 

Jenkins là phần mềm mã nguồn mở (opensource) dùng để thực hiện chức năng tích hợp liên tục (Continuous Integration - CI) và xây dựng các tác vụ tự động hóa. 

Lỗ hổng vừa được phát hiện có trên phiên bản Jetty 9.4.27 của Jenkins. Đây là phiên bản bổ sung cơ chế xử lý lỗi tràn bộ đệm khiến ứng dụng bị lỗi. Do đó, phiên bản này được rất nhiều nhà phát triển sử dụng.

Lỗ hổng này cho phép hacker xâm nhập dữ liệu quan trọng của người dùng, từ đó tạo tiền đề để chiếm quyền điều khiển hệ thống. Chính vì vậy, độ nguy hại của lỗ hổng Jenkins được đánh giá với số điểm 9.4/10 theo thang điểm CVSS 3.1

Lỗ hổng nguy hại trên mạng xã hội, ứng dụng chat và trang TMĐT
Theo các chuyên gia, lỗ hổng nguy hại trên Jenkins có thể ảnh hưởng tới các sản phẩm có nhiều người dùng như mạng xã hội, ứng dụng chat hay các trang thương mại điện tử.

Continuous Integration (CI) là một trong những hệ thống phổ biến nhất tại các doanh nghiệp công nghệ Việt Nam. 80% doanh nghiệp có hệ thống CI đều sử dụng ứng dụng Jenkins để giúp tự động hoá trong nhiều công đoạn phát triển phần mềm.

Jenkins cũng được sử dụng nhiều trong các sản phẩm có nhiều người dùng như mạng xã hội, ứng dụng chat hay các trang thương mại điện tử. Theo thống kê, hiện có hơn 200.000 máy chủ đang cài đặt Jenkins phiên bản bị lỗi.

 

Theo đánh giá của các chuyên gia, với lỗ hổng nguy hiểm này, hacker có thể thực hiện các hoạt động trái phép như đánh cắp thông tin, phát tán dữ liệu mật. Kẻ xấu thậm chí có thể chiếm quyền điều khiển máy chủ, kiểm soát toàn bộ hệ thống thông tin quan trọng của doanh nghiệp.

Với việc được sử dụng khá phổ biến trong giới lập trình, mức độ nghiêm trọng của lỗ hổng Jenkins được dự báo sẽ ảnh hưởng nhiều đến các doanh nghiệp Việt Nam. VSEC khuyến cáo các tổ chức, doanh nghiệp cần cập nhật phiên bản mới đã vá lỗ hổng (Jetty 9.4.30.v20200611) sớm nhất và nhanh nhất có thể. 

Các doanh nghiệp cũng cần hạn chế công khai những hệ thống đang sử dụng trong mạng nội bộ, cấu hình Whitelist các IP được truy cập vào các hệ thống quan trọng. Đồng thời với đó, doanh nghiệp cũng cần cài đặt mật khẩu mạnh cho tài khoản hệ thống, kể cả những tài khoản có quyền hạn thấp.

Trọng Đạt

Microsoft vá 120 lỗ hổng trong bản cập nhật bảo mật tháng 8

Microsoft vá 120 lỗ hổng trong bản cập nhật bảo mật tháng 8

Trong số 120 lỗ hổng được vá trong bản cập nhật bảo mật Patch Tuesday tháng 8, Microsoft cho biết có 2 lỗ hổng zero-day nghiêm trọng.

 
List comment
 
Đội KingTigerPrawn của Hàn Quốc giành giải Nhất cuộc thi WhiteHat Grand Prix 06
icon

Khép lại vòng chung kết cuộc thi an toàn không gian mạng toàn cầu WhiteHat Grand Prix 06, giải Nhất trị giá 230 triệu đồng đã thuộc về đội KingTigerPrawn đến từ Hàn Quốc. Hai đội Việt Nam ACEBEAR và BabyPhD xếp ở vị trí thứ 6 và 7.

 
Tường lửa web là gì, vì sao doanh nghiệp Việt phải cần đến nó?
icon

Tường lửa trên máy tính cá nhân là điều mà ai cũng từng nghe đến, vậy còn tường lửa web là gì, có tác dụng ra sao?

 
Gia Lai lên kế hoạch phát triển hệ thống cảnh báo sớm tấn công mạng
icon

Trong bản kế hoạch chuyển đổi số đến năm 2030, Gia Lai định hướng xây dựng và triển khai hệ thống giám sát, cảnh báo sớm nguy cơ, điều phối ứng cứu sự cố mất an toàn, an ninh mạng cho các cơ quan, tổ chức trên địa bàn tỉnh.

 
Chuyên gia dự báo 5 xu hướng tấn công mạng nổi bật trong năm 2021
icon

Các chuyên gia Trung tâm giám sát an toàn không gian mạng quốc gia (NCSC) vừa đưa ra dự báo về một số xu hướng tấn công mạng nổi bật trong năm 2021 và những năm tiếp theo.

 
Triển khai các giải pháp cơ yếu đảm bảo ATTT cho chuyển đổi số quốc gia
icon

Để tiếp tục phát huy vai trò là 1 trong 4 Cục Cơ yếu quan trọng, Cục Cơ yếu Đảng-chính quyền cần tham mưu tổ chức triển khai các giải pháp cơ yếu phục vụ phát triển Chính phủ điện tử và quá trình chuyển đổi số quốc gia.

 
 
Hỗ trợ thương mại điện tử, Sở TT&TT Gia Lai đào tạo an toàn giao dịch
icon

Sở Thông tin và Truyền thông tỉnh Gia Lai được giao hàng năm phối hợp tổ chức các khóa đào tạo, tập huấn kỹ năng an ninh thông tin trong giao dịch, chữ ký số, bảo mật thông tin, góp phần hỗ trợ ứng dụng thương mại điện tử.

Gia Lai ban hành tiêu chí an toàn thông tin cho chính quyền điện tử
icon

Tiêu chí an toàn thông tin trong xây dựng chính quyền điện tử ở Gia Lai bao gồm cập nhật các chính sách bảo vệ trên thiết bị tường lửa; bố trí máy tính không kết nối Internet và máy in riêng để soạn thảo, in ấn văn bản mật.

Thêm hệ thống quản lý an toàn thông tin ngân hàng đạt chuẩn quốc tế
icon

VPBank đã chính thức được tổ chức chứng nhận quốc tế DAS (Vương Quốc Anh) trao chứng chỉ đạt yêu cầu về an toàn thông tin theo tiêu chuẩn quốc tế ISO/IEC 27001:2013 đối với hệ thống quản lý an toàn thông tin (ISMS).

Doanh nghiệp cung cấp dịch vụ phải loại bỏ nội dung vi phạm pháp luật về an ninh mạng
icon

Lãnh đạo tỉnh Hưng Yên yêu cầu doanh nghiệp cung cấp dịch vụ trên địa bàn tỉnh loại bỏ thông tin có nội dung vi phạm pháp luật về an ninh mạng do doanh nghiệp, cơ quan, tổ chức trực tiếp quản lý.

Tập huấn đảm bảo ATTT cho các hệ thống phục vụ Chính phủ điện tử
icon

Đợt tập huấn với nội dung chuyên sâu được kỳ vọng góp phần nâng cao chất lượng công tác bảo đảm an toàn thông tin, an ninh mạng tại các cơ quan, đơn vị có kết nối tới các hệ thống thông tin do VPCP làm chủ quản.

 
123

Giấy phép hoạt động báo chí: Số 09/GP-BTTTT, Bộ Thông tin và Truyền thông cấp ngày 07/01/2019.

Tòa soạn: Tầng 7, Tòa nhà Cục Tần số Vô tuyến điện, 115 Trần Duy Hưng, Quận Cầu Giấy, Hà Nội

Điện thoại: 024 3 936 9966 - Fax: 024 3 936 9364

Hotline nội dung: 0888 911 911 - Email: toasoan@ictnews.vn

123