Cảnh báo lỗ hổng bảo mật trên Jenkins giúp hacker chiếm quyền điều khiển máy tính của doanh nghiệp

ictnews Công ty cổ phần An ninh mạng Việt Nam (VSEC) vừa đưa ra cảnh báo khẩn cấp về lỗ hổng bảo mật nghiêm trọng trên ứng dụng Jenkins có thể ảnh hưởng đến nhiều doanh nghiệp Việt Nam, cho phép hacker thực thi lệnh trái phép từ xa.

Theo phân tích của chuyên gia VSEC, khai thác lỗ hổng bảo mật trên Jenkins, các hacker sẽ dễ dàng chiếm được quyền điều khiển máy chủ, kiểm soát toàn bộ hệ thống thông tin quan trọng của doanh nghiệp và thực hiện các hoạt động trái phép như đánh cắp thông tin, phát tán dữ liệu mật.... (Ảnh minh họa: Internet)

Tối qua, 18/9, ông Trương Đức Lượng – Tổng Giám đốc Công ty cổ phần An ninh mạng Việt Nam (VSEC) cho biết VSEC đã phát đi cảnh báo lỗ hổng bảo mật nghiêm trọng trên ứng dụng mã nguồn mở Jenkins, có thể gây ảnh hưởng nghiêm trọng tới hệ thống máy tính của các doanh nghiệp Việt Nam.

Theo VSEC, lỗ hổng có mã CVE-2019-10392, được chuyên gia bảo mật người Hà Lan Francesco Soncina phát hiện. Với lỗ hổng được đánh giá mức độ nguy hiểm 8/10 này, hacker sẽ dễ dàng chiếm được quyền điều khiển máy chủ, kiểm soát toàn bộ hệ thống thông tin của doanh nghiệp và thực hiện các hoạt động trái phép.

Các chuyên gia bảo mật VSEC đã nhanh chóng tiến hành nghiên cứu và công bố cách thức hoạt động của lỗ hổng. Cụ thể, để khai thác thành công hacker cần tài khoản người dùng cùng quyền cấu hình “Job/Configure (USE_ITEM)” và “Git Client Plugin” từ phiên bản 2.8.4 trở về trước. “Việc không kiểm soát giá trị đầu vào tại tham số Repository URL trong Git Client Plugin chính là mấu chốt giúp hacker thực thi mã lệnh trái phép trên máy chủ”, chuyên gia VSEC cho hay.

Chia sẻ với ICTnews về mức độ ảnh hưởng của lỗ hổng bảo mật ứng dụng mã nguồn mở Jenkins đối với các doanh nghiệp Việt Nam, chuyên gia VSEC cho biết, hệ thống CI (Continuous Integration) là một trong những hệ thống phổ biến nhất tại các doanh nghiệp công nghệ Việt Nam, 80% doanh nghiệp có hệ thống CI đều sử dụng ứng dụng Jenkins để giúp tự động hoá trong nhiều công đoạn phát triển phần mềm và các sản phẩm có nhiều người dùng như mạng xã hội, ứng dụng chát hay các trang thương mại điện tử.

Khai thác lỗ hổng bảo mật trên Jenkins, các hacker sẽ dễ dàng chiếm được quyền điều khiển máy chủ, kiểm soát toàn bộ hệ thống thông tin quan trọng của doanh nghiệp và thực hiện các hoạt động trái phép như đánh cắp thông tin, phát tán dữ liệu mật, thực hiện các hành vi giao dịch trái phép từ tài khoản khách hàng… 

Chuyên gia VSEC cho biết, theo thống kê, hiện có hơn 200.000 máy chủ cài đặt Jenkins phiên bản bị lỗi công khai trên Internet.

Do mức độ nghiêm trọng của lỗ hổng, VSEC khuyến cáo các tổ chức, doanh nghiệp cập nhật Git Client Plugin của Jenkins phiên bản mới nhất và nhanh nhất có thể. Ngoài ra, các doanh nghiệp cần hạn chế công khai những hệ thống đang sử dụng trong mạng nội bộ, cấu hình Whitelist các IP được truy cập vào các hệ thống quan trọng, đồng thời cài đặt mật khẩu mạnh đối với tài khoản hệ thống kể cả tài khoản có quyền hạn thấp.

Thêm một lãnh đạo cấp cao Xiaomi xin từ chức

Manu Kumar Jain, giám đốc điều hành từng đưa Xiaomi trở thành thương hiệu smartphone bán chạy nhất Ấn Độ, đã xin từ chức vào hồi đầu tuần này.

Lợi và hại khi sử dụng ChatGPT

Chatbot ChatGPT của OpenAI khiến các nhà khoa học và nhà giáo dục nảy sinh tranh luận về những lợi ích cũng như tác hại khi sử dụng.

6 lý do Facebook chưa ‘thất sủng’

Dù vấp phải sức ép cạnh tranh của các nền tảng giải trí và mạng xã hội mới, Facebook vẫn có chỗ đứng trong lòng nhiều người.

Hàn Quốc - ‘miền đất hứa’ cho giới IT Việt

Với sự phát triển mạnh mẽ về công nghệ thông tin, Hàn Quốc trở thành vùng đất tiềm năng cho các doanh nghiệp xuất khẩu phần mềm lớn đến từ nhiều quốc gia, trong đó có Việt Nam.

VinBrain và Microsoft Hoa Kỳ hợp tác phát triển trí tuệ nhân tạo trong y tế

Lần đầu tiên một startup công nghệ Việt đặt trọng tâm hợp tác HealthTech với Microsoft Hoa Kỳ, đánh dấu bước phát triển đột phá trong lĩnh vực trí tuệ nhân tạo của ngành Y tế Việt Nam.

Mỹ mở rộng lệnh cấm vận với Huawei

Reuters đưa tin, chính quyền Tổng thống Biden đã dừng cấp phép cho hầu hết các công ty xuất khẩu sang Huawei.

4 tuyến cáp quang biển cùng gặp sự cố: Nhà mạng “thúc” đẩy nhanh tiến độ sửa

Các nhà mạng lớn VNPT, Viettel đều cho biết đang tích cực làm việc với các đơn vị quản lý cáp quang biển quốc tế để nhanh chóng xử lý sự cố trên 4 tuyến AAG, APG, AAE-1 và IA.

Bitcoin tăng giá mạnh suốt 4 tuần qua, đã gấp 1.5 lần đáy

Sau khi tụt về 15.000 USD, mức thấp nhất trong vòng 2 năm trở lại đây, giá Bitcoin đã có cú quay đầu đầy ấn tượng.

CEO TikTok sắp điều trần trước Quốc hội Mỹ

Giám đốc điều hành TikTok, Shou Zi Chew sẽ có buổi điều trần trước Uỷ ban Năng lượng và Thương mại Mỹ vào tháng 3 tới đây, trong bối cảnh các nhà lập pháp đang xem xét kỹ lưỡng ứng dụng chia sẻ video có nguồn gốc từ Trung Quốc.

Thiếu hụt nhân sự, doanh nghiệp thuê ngoài dịch vụ giám sát bảo mật

Phải chuyển đổi số trong bối cảnh thiếu hụt nhân sự bảo mật, nhiều doanh nghiệp đang thuê ngoài các dịch vụ an toàn, an ninh mạng.

Đang cập nhật dữ liệu !