Lỗ hổng nguy hại trên mạng xã hội, ứng dụng chat và trang TMĐT

Với lỗ hổng vừa được phát hiện, đơn vị vận hành các nền tảng này có thể bị xâm nhập dữ liệu quan trọng, từ đó tạo tiền đề để hacker chiếm quyền điều khiển hệ thống.

Công ty cổ phần An ninh mạng Việt Nam (VSEC) vừa đưa ra cảnh báo khẩn cấp về lỗ hổng bảo mật nghiêm trọng trên ứng dụng Jenkins. 

Jenkins là phần mềm mã nguồn mở (opensource) dùng để thực hiện chức năng tích hợp liên tục (Continuous Integration - CI) và xây dựng các tác vụ tự động hóa. 

Lỗ hổng vừa được phát hiện có trên phiên bản Jetty 9.4.27 của Jenkins. Đây là phiên bản bổ sung cơ chế xử lý lỗi tràn bộ đệm khiến ứng dụng bị lỗi. Do đó, phiên bản này được rất nhiều nhà phát triển sử dụng.

Lỗ hổng này cho phép hacker xâm nhập dữ liệu quan trọng của người dùng, từ đó tạo tiền đề để chiếm quyền điều khiển hệ thống. Chính vì vậy, độ nguy hại của lỗ hổng Jenkins được đánh giá với số điểm 9.4/10 theo thang điểm CVSS 3.1

Lỗ hổng nguy hại trên mạng xã hội, ứng dụng chat và trang TMĐT
Theo các chuyên gia, lỗ hổng nguy hại trên Jenkins có thể ảnh hưởng tới các sản phẩm có nhiều người dùng như mạng xã hội, ứng dụng chat hay các trang thương mại điện tử.

Continuous Integration (CI) là một trong những hệ thống phổ biến nhất tại các doanh nghiệp công nghệ Việt Nam. 80% doanh nghiệp có hệ thống CI đều sử dụng ứng dụng Jenkins để giúp tự động hoá trong nhiều công đoạn phát triển phần mềm.

Jenkins cũng được sử dụng nhiều trong các sản phẩm có nhiều người dùng như mạng xã hội, ứng dụng chat hay các trang thương mại điện tử. Theo thống kê, hiện có hơn 200.000 máy chủ đang cài đặt Jenkins phiên bản bị lỗi.

 

Theo đánh giá của các chuyên gia, với lỗ hổng nguy hiểm này, hacker có thể thực hiện các hoạt động trái phép như đánh cắp thông tin, phát tán dữ liệu mật. Kẻ xấu thậm chí có thể chiếm quyền điều khiển máy chủ, kiểm soát toàn bộ hệ thống thông tin quan trọng của doanh nghiệp.

Với việc được sử dụng khá phổ biến trong giới lập trình, mức độ nghiêm trọng của lỗ hổng Jenkins được dự báo sẽ ảnh hưởng nhiều đến các doanh nghiệp Việt Nam. VSEC khuyến cáo các tổ chức, doanh nghiệp cần cập nhật phiên bản mới đã vá lỗ hổng (Jetty 9.4.30.v20200611) sớm nhất và nhanh nhất có thể. 

Các doanh nghiệp cũng cần hạn chế công khai những hệ thống đang sử dụng trong mạng nội bộ, cấu hình Whitelist các IP được truy cập vào các hệ thống quan trọng. Đồng thời với đó, doanh nghiệp cũng cần cài đặt mật khẩu mạnh cho tài khoản hệ thống, kể cả những tài khoản có quyền hạn thấp.

Trọng Đạt

Microsoft vá 120 lỗ hổng trong bản cập nhật bảo mật tháng 8

Microsoft vá 120 lỗ hổng trong bản cập nhật bảo mật tháng 8

Trong số 120 lỗ hổng được vá trong bản cập nhật bảo mật Patch Tuesday tháng 8, Microsoft cho biết có 2 lỗ hổng zero-day nghiêm trọng.

 
List comment
 
Tính năng ẩn giấu ảnh trên iOS 14 chưa thực sự bảo mật
icon

Với iOS 14, người dùng có khả năng không cho hiển thị thư mục ảnh đã ẩn, một nâng cấp so với các phiên bản iOS trước. Dù vậy, kẻ xâm nhập chủ đích vẫn có thể dễ dàng vào Settings để mở lại.

 
Hàng trăm triệu tài khoản Instagram, TikTok và YouTube bị lộ
icon

Dữ liệu của khoảng 235 triệu người dùng Instagram, TikTok và YouTube đã bị lộ trên mạng mà không có bất kỳ biện pháp bảo vệ nào.  

 
Bộ Công Thương cảnh báo về ứng dụng hoàn tiền kiểu đa cấp
icon

Theo Cục Cạnh tranh và bảo vệ người tiêu dùng, một số website, ứng dụng hoàn tiền có dấu hiệu biến tướng theo kiểu bán hàng đa cấp, không rõ ràng và minh bạch về mô hình hoạt động.  

 
Những lưu ý giúp nâng cao bảo mật cho tài khoản Facebook
icon

Bảo mật hai lớp, thường xuyên đổi mật khẩu... là những lời khuyên bạn hay được nghe từ những chuyên gia công nghệ, nhưng nó vẫn chưa đủ.

 
Người dân Đông Nam Á lạc quan về bảo mật dữ liệu trên mạng hơn so với thế giới
icon

Khi nói về độ an toàn khi lên mạng trong giai đoạn Covid-19, khảo sát cho thấy người dùng tại khu vực ASEAN lạc quan hơn so với mức chung toàn cầu.

 
 
Làm thế nào để tránh bị lừa đảo trên Facebook và mạng xã hội?
icon

Facebook và các mạng xã hội đã trở thành miếng mồi ngon cho kẻ xấu trục lợi trên không gian mạng, vậy làm cách nào để phòng tránh?

Singapore: Internet 'sạch' phải bắt nguồn từ nhà cung cấp mạng
icon

Người phụ trách an ninh mạng của Singapore cho rằng nguồn Internet 'sạch' phải được thực hiện ngay từ nhà cung cấp mạng và công ty viễn thông.

Vì sao tài khoản Facebook lại trở thành miếng mồi ngon cho hacker Việt Nam?
icon

Việc tài khoản tích xanh của cựu cầu thủ Ivanovic bị hacker Việt Nam chiếm giữ đã làm dấy lên hồi chuông cảnh tỉnh về tính bảo mật của tài khoản Facebook.

Tập huấn an ninh mạng cho cán bộ Trung tâm dữ liệu quốc gia về dân cư
icon

Trong 12 ngày bắt đầu từ 15/8, 30 cán bộ của Trung tâm dữ liệu quốc gia về dân cư, Cục Cảnh sát quản lý hành chính về trật tự xã hội (Bộ Công an) tham gia khóa tập huấn, đào tạo cấp chứng chỉ hệ thống an ninh mạng.

Viber có thêm công cụ chống thư rác
icon

Các công cụ mới của Viber cho phép người dùng lọc tin nhắn tự động và quyết định ai có thể thêm họ vào nhóm.

 
123

Giấy phép hoạt động báo chí: Số 09/GP-BTTTT, Bộ Thông tin và Truyền thông cấp ngày 07/01/2019.

Tòa soạn: Tầng 7, Tòa nhà Cục Tần số Vô tuyến điện, 115 Trần Duy Hưng, Quận Cầu Giấy, Hà Nội

Điện thoại: 024 3 936 9966 - Fax: 024 3 936 9364

Hotline nội dung: 0888 911 911 - Email: toasoan@ictnews.vn

123