Cảnh báo lỗ hổng bảo mật trên Jenkins giúp hacker chiếm quyền điều khiển máy tính của doanh nghiệp

ictnews Công ty cổ phần An ninh mạng Việt Nam (VSEC) vừa đưa ra cảnh báo khẩn cấp về lỗ hổng bảo mật nghiêm trọng trên ứng dụng Jenkins có thể ảnh hưởng đến nhiều doanh nghiệp Việt Nam, cho phép hacker thực thi lệnh trái phép từ xa.

Theo phân tích của chuyên gia VSEC, khai thác lỗ hổng bảo mật trên Jenkins, các hacker sẽ dễ dàng chiếm được quyền điều khiển máy chủ, kiểm soát toàn bộ hệ thống thông tin quan trọng của doanh nghiệp và thực hiện các hoạt động trái phép như đánh cắp thông tin, phát tán dữ liệu mật.... (Ảnh minh họa: Internet)

Tối qua, 18/9, ông Trương Đức Lượng – Tổng Giám đốc Công ty cổ phần An ninh mạng Việt Nam (VSEC) cho biết VSEC đã phát đi cảnh báo lỗ hổng bảo mật nghiêm trọng trên ứng dụng mã nguồn mở Jenkins, có thể gây ảnh hưởng nghiêm trọng tới hệ thống máy tính của các doanh nghiệp Việt Nam.

Theo VSEC, lỗ hổng có mã CVE-2019-10392, được chuyên gia bảo mật người Hà Lan Francesco Soncina phát hiện. Với lỗ hổng được đánh giá mức độ nguy hiểm 8/10 này, hacker sẽ dễ dàng chiếm được quyền điều khiển máy chủ, kiểm soát toàn bộ hệ thống thông tin của doanh nghiệp và thực hiện các hoạt động trái phép.

Các chuyên gia bảo mật VSEC đã nhanh chóng tiến hành nghiên cứu và công bố cách thức hoạt động của lỗ hổng. Cụ thể, để khai thác thành công hacker cần tài khoản người dùng cùng quyền cấu hình “Job/Configure (USE_ITEM)” và “Git Client Plugin” từ phiên bản 2.8.4 trở về trước. “Việc không kiểm soát giá trị đầu vào tại tham số Repository URL trong Git Client Plugin chính là mấu chốt giúp hacker thực thi mã lệnh trái phép trên máy chủ”, chuyên gia VSEC cho hay.

 

Chia sẻ với ICTnews về mức độ ảnh hưởng của lỗ hổng bảo mật ứng dụng mã nguồn mở Jenkins đối với các doanh nghiệp Việt Nam, chuyên gia VSEC cho biết, hệ thống CI (Continuous Integration) là một trong những hệ thống phổ biến nhất tại các doanh nghiệp công nghệ Việt Nam, 80% doanh nghiệp có hệ thống CI đều sử dụng ứng dụng Jenkins để giúp tự động hoá trong nhiều công đoạn phát triển phần mềm và các sản phẩm có nhiều người dùng như mạng xã hội, ứng dụng chát hay các trang thương mại điện tử.

Khai thác lỗ hổng bảo mật trên Jenkins, các hacker sẽ dễ dàng chiếm được quyền điều khiển máy chủ, kiểm soát toàn bộ hệ thống thông tin quan trọng của doanh nghiệp và thực hiện các hoạt động trái phép như đánh cắp thông tin, phát tán dữ liệu mật, thực hiện các hành vi giao dịch trái phép từ tài khoản khách hàng… 

Chuyên gia VSEC cho biết, theo thống kê, hiện có hơn 200.000 máy chủ cài đặt Jenkins phiên bản bị lỗi công khai trên Internet.

Do mức độ nghiêm trọng của lỗ hổng, VSEC khuyến cáo các tổ chức, doanh nghiệp cập nhật Git Client Plugin của Jenkins phiên bản mới nhất và nhanh nhất có thể. Ngoài ra, các doanh nghiệp cần hạn chế công khai những hệ thống đang sử dụng trong mạng nội bộ, cấu hình Whitelist các IP được truy cập vào các hệ thống quan trọng, đồng thời cài đặt mật khẩu mạnh đối với tài khoản hệ thống kể cả tài khoản có quyền hạn thấp.

 
List comment
 
Viettel khởi công nhiều công trình hỗ trợ huyện nghèo
icon

10 năm qua, Viettel đã đầu tư gần 250 tỷ đồng hỗ trợ hơn 4.700 hộ nghèo để xây dựng nhà ở, tặng bò giống, xây dựng trường học, trạm y tế và tặng quà Tết hỗ trợ huyện nghèo theo Nghị quyết 30A của Chính phủ.

 
Làm gì để tránh bị mất nick và đọc trộm tin nhắn như Quang Hải?
icon

Chỉ cần kẻ xấu truy cập được vào Facebook cá nhân, thông tin thầm kín của bất kỳ ai đều có thể bị phát tán trên Internet. Đây là một nguy cơ bảo mật khôn lường mà tất cả chúng ta đều phải đối mặt.

 
Thí điểm chuyển đổi số cho các xã, bản khó khăn
icon

Cục Tin học hóa, Bộ TT&TT đang thí điểm chuyển đổi số cho một số xã, bản để giúp các địa phương phát triển kinh tế xã hội nhờ công nghệ, tạo cơ sở thực tiễn cho việc triển khai Chương trình Chuyển đổi số quốc gia.

 
Những tính năng iOS 14 “copy” từ Android
icon

Những tính năng mới của iOS 14 có thể được giới thiệu như bước tiến cách mạng và đột phá. Tuy nhiên, trên thực tế, Android đã có một số tính năng trong đó nhiều năm qua.

 
Gojek sa thải hàng loạt nhân sự, GoViet ảnh hưởng ra sao?
icon

Sau Grab, công ty mẹ của GoViet vừa thông báo cắt giảm 9% nhân sự do ảnh hưởng của dịch bệnh.

 
 
Singapore lắp công tơ điện đọc chỉ số từ xa cho tất cả hộ dân
icon

Nằm trong nỗ lực giúp các hộ gia đình sử dụng điện hiệu quả hơn, Singapore đã đưa ra hàng loạt sáng kiến, bao gồm lắp công tơ điện tân tiến (AMI) để đọc chỉ số từ xa.

Người “hack nick” Quang Hải sẽ bị xử phạt bao nhiêu?
icon

Với việc “hack nick”, thu thập, sử dụng thông tin cá nhân, tiết lộ thông tin bí mật đời tư của người khác, thủ phạm trong vụ “dìm hàng” Quang Hải sẽ đối mặt với khoản tiền phạt không hề nhỏ.   

Bộ TN&MT sẽ công bố dịch vụ chia sẻ dữ liệu số vào năm 2022
icon

Cùng với việc hoàn thành Cổng dữ liệu và Cổng dữ liệu mở ngành tài nguyên và môi trường (TN&MT), trong năm 2022 Bộ TN&MT sẽ xây dựng và công bố, công khai dịch vụ chia sẻ dữ liệu số.

Lợi ích của thanh toán trực tuyến
icon

Xu hướng thanh toán trong nền kinh tế đang có sự chuyển dịch theo hướng thanh toán không dùng tiền mặt. Những con số ấn tượng cho thấy người Việt Nam đang dần quen với thanh toán không tiền mặt và nhận được lợi ích không nhỏ.

Gojek sa thải 430 nhân viên, đóng cửa hai dịch vụ
icon

Công ty gọi xe Gojek của Indonesia thông báo cắt giảm 9% nhân sự, tương đương 430 người và đóng cửa dịch vụ GoLife, GoFood Festivals.  

 
123

Giấy phép hoạt động báo chí: Số 09/GP-BTTTT, Bộ Thông tin và Truyền thông cấp ngày 07/01/2019.

Tòa soạn: Tầng 7, Tòa nhà Cục Tần số Vô tuyến điện, 115 Trần Duy Hưng, Quận Cầu Giấy, Hà Nội

Điện thoại: 024 3 936 9966 - Fax: 024 3 936 9364

Hotline nội dung: 0888 911 911 - Email: toasoan@ictnews.vn

123