Trang chủ / Công nghệ / Tin tức

Cảnh báo lỗ hổng bảo mật chiếm quyền điều khiển máy tính doanh nghiệp

Hà Thanh 19-09-2019 16:25
Kinhtedothi - Công ty cổ phần An ninh mạng Việt Nam (VSEC) vừa đưa ra cảnh báo khẩn cấp về lỗ hổng bảo mật nghiêm trọng trên ứng dụng Jenkins giúp hacker có quyền điều khiển máy tính của doanh nghiệp.

Công ty cổ phần An ninh mạng Việt Nam (VSEC) cho biết VSEC đã phát đi cảnh báo lỗ hổng bảo mật nghiêm trọng trên ứng dụng mã nguồn mở Jenkins, có thể gây ảnh hưởng nghiêm trọng tới hệ thống máy tính của các doanh nghiệp Việt Nam.

 Ảnh minh họa
Theo VSEC, lỗ hổng có mã CVE-2019-10392, được chuyên gia bảo mật người Hà Lan Francesco Soncina phát hiện. Với lỗ hổng được đánh giá mức độ nguy hiểm 8/10 này, hacker sẽ dễ dàng chiếm được quyền điều khiển máy chủ, kiểm soát toàn bộ hệ thống thông tin của doanh nghiệp và thực hiện các hoạt động trái phép.

Các chuyên gia bảo mật VSEC đã nhanh chóng tiến hành nghiên cứu và công bố cách thức hoạt động của lỗ hổng. Cụ thể, để khai thác thành công hacker cần tài khoản người dùng cùng quyền cấu hình “Job/Configure (USE_ITEM)” và “Git Client Plugin” từ phiên bản 2.8.4 trở về trước.

Advertisement

Việc không kiểm soát giá trị đầu vào tại tham số Repository URL trong Git Client Plugin chính là mấu chốt giúp hacker thực thi mã lệnh trái phép trên máy chủ.

Chuyên gia VSEC cho biết, hệ thống CI (Continuous Integration) là một trong những hệ thống phổ biến nhất tại các doanh nghiệp công nghệ Việt Nam, 80% doanh nghiệp có hệ thống CI đều sử dụng ứng dụng Jenkins để giúp tự động hoá trong nhiều công đoạn phát triển phần mềm và các sản phẩm có nhiều người dùng như mạng xã hội, ứng dụng chát hay các trang thương mại điện tử.

Khai thác lỗ hổng bảo mật trên Jenkins, các hacker sẽ dễ dàng chiếm được quyền điều khiển máy chủ, kiểm soát toàn bộ hệ thống thông tin quan trọng của doanh nghiệp và thực hiện các hoạt động trái phép như đánh cắp thông tin, phát tán dữ liệu mật, thực hiện các hành vi giao dịch trái phép từ tài khoản khách hàng…

Chuyên gia VSEC cho biết, theo thống kê, hiện có hơn 200.000 máy chủ cài đặt Jenkins phiên bản bị lỗi công khai trên Internet. Các doanh nghiệp cần hạn chế công khai những hệ thống đang sử dụng trong mạng nội bộ, cấu hình Whitelist các IP được truy cập vào các hệ thống quan trọng...


TAG: cảnh báo lỗ hổng bảo mật điều khiển máy tính
 
Tin khác
Rò rỉ cấu hình bộ đôi Galaxy Note20+ và Note20 Ultra
Rò rỉ cấu hình bộ đôi Galaxy Note20+ và Note20 Ultra
Kinhtedothi - Bộ đôi smartphone cao cấp Galaxy Note20 và Note20 Ultra sắp ra mắt của Samsung vừa bị rò rỉ trên Internet với cấu hình khiến giới công nghệ trông đợi.
VinSmart đã thay đổi thị trường smartphone Việt Nam thế nào?
VinSmart đã thay đổi thị trường smartphone Việt Nam thế nào?
Bằng chiến lược hỗ trợ giá để phần đông người tiêu dùng dễ dàng tiếp cận sản phẩm đẳng cấp với mức giá “khó tin”, VinSmart đã bán được hơn 1,2 triệu smartphone chỉ sau 17 tháng.
Thêm tuyến cáp quang biển AAE-1 gặp sự cố
Thêm tuyến cáp quang biển AAE-1 gặp sự cố
Kinhtedothi - Tuyến cáp quang biển quốc tế AAE-1 vừa được xác nhận gặp sự cố vào 21h ngày 3/6/2020 trên nhánh S1H hướng kết nối đi HongKong (Trung Quốc).
Phê duyệt Chương trình Chuyển đổi số quốc gia đến năm 2025, định hướng đến năm 2030
Phê duyệt Chương trình Chuyển đổi số quốc gia đến năm 2025, định hướng đến năm 2030
Kinhtedothi - Ngày 3/6, Thủ tướng Nguyễn Xuân Phúc đã ký Quyết định 749 phê duyệt “Chương trình Chuyển đổi số quốc gia đến năm 2025, định hướng đến năm 2030”.
Ra mắt mạng di động ảo đầu số 055
Ra mắt mạng di động ảo đầu số 055
Kinhtedothi - Mạng di động ảo thứ 2 sau Đông Dương Telecom mang thương hiệu Reddi sử dụng đầu số 055 vừa chính thức ra mắt.
Ngành CNTT Việt: Nhu cầu tuyển dụng tăng gấp 4 lần sau 10 năm
Ngành CNTT Việt: Nhu cầu tuyển dụng tăng gấp 4 lần sau 10 năm
Kinhtedothi - Thống kê từ Vietnamworks cho thấy, từ năm 2010 đến đầu năm 2020 nhu cầu tuyển dụng của ngành CNTT đã tăng gấp 4 lần.
Tin tức, sự kiện công nghệ mới nhất trong ngày: Google có thể đối diện với án phạt lên tới 5 tỷ USD
Tin tức, sự kiện công nghệ mới nhất trong ngày: Google có thể đối diện với án phạt lên tới 5 tỷ USD
Kinhtedothi - Google đối diện với án phạt lên tới 5 tỷ USD; Các nhà mạng viễn thông Canada không sử dụng thiết bị của Huawei… là những tin tức tổng hợp đặc biệt về công nghệ mới nhất trong trong ngày.
Dự kiến, ngày 11/6 sẽ sửa xong cáp quang biển quốc tế APG
Dự kiến, ngày 11/6 sẽ sửa xong cáp quang biển quốc tế APG
Kinhtedothi - Đại diện doanh nghiệp cung cấp dịch vụ Internet (ISP) tại Việt Nam cho biết đã có kế hoạch sửa chữa, khắc phục các sự cố tuyến cáp quang biển APG, dự kiến khắc phục sự cố vào ngày 11/6.
Nhà mạng “bắt tay” chặn sim rác
Nhà mạng “bắt tay” chặn sim rác
Kinhtedothi - Bắt đầu từ 1/6, các nhà mạng Viettel, VinaPhone và MobiFone sẽ dừng bán sim mới tại các đại lý ủy quyền và dừng quyền đấu nối số thuê bao của các đơn vị này. Đây được xem là một động thái mạnh tay nhằm chặn nguồn cung cấp sim rác ra thị trường.
Tạm khóa tài khoản ví điện tử chưa xác thực sau ngày 7/7
Tạm khóa tài khoản ví điện tử chưa xác thực sau ngày 7/7
Kinhtedothi - Thực hiện chỉ đạo của Ngân hàng Nhà Nước (NHNN) về xác thực thông tin tại thông tư 23/2019/TT-NHNN, sau ngày 7/7, những tài khoản ví điện tử chưa xác thực sẽ bị tạm khóa dịch vụ. Chủ sở hữu ví điện tử có thể giao dịch trở lại sau khi hoàn tất việc xác thực.
Tin tức, sự kiện công nghệ mới nhất trong ngày: Thử nghiệm thành công phi cơ chạy điện lớn nhất thế giới
Tin tức, sự kiện công nghệ mới nhất trong ngày: Thử nghiệm thành công phi cơ chạy điện lớn nhất thế giới
Kinhtedothi - Thử nghiệm thành công phi cơ chạy điện lớn nhất thế giới; Hàn Quốc thử nghiệm quét QR Code truy tìm thông tin ca nhiễm Covid-19; Apple phát hành iOS 13.5.1, vá lỗi bẻ khóa Unc0ver… là những tin tức tổng hợp đặc biệt về công nghệ mới nhất trong trong ngày.