Trang chủ / Công nghệ / Tin tức

Cảnh báo lỗ hổng bảo mật chiếm quyền điều khiển máy tính doanh nghiệp

Hà Thanh 19-09-2019 16:25
Kinhtedothi - Công ty cổ phần An ninh mạng Việt Nam (VSEC) vừa đưa ra cảnh báo khẩn cấp về lỗ hổng bảo mật nghiêm trọng trên ứng dụng Jenkins giúp hacker có quyền điều khiển máy tính của doanh nghiệp.

Công ty cổ phần An ninh mạng Việt Nam (VSEC) cho biết VSEC đã phát đi cảnh báo lỗ hổng bảo mật nghiêm trọng trên ứng dụng mã nguồn mở Jenkins, có thể gây ảnh hưởng nghiêm trọng tới hệ thống máy tính của các doanh nghiệp Việt Nam.

 Ảnh minh họa
Theo VSEC, lỗ hổng có mã CVE-2019-10392, được chuyên gia bảo mật người Hà Lan Francesco Soncina phát hiện. Với lỗ hổng được đánh giá mức độ nguy hiểm 8/10 này, hacker sẽ dễ dàng chiếm được quyền điều khiển máy chủ, kiểm soát toàn bộ hệ thống thông tin của doanh nghiệp và thực hiện các hoạt động trái phép.

Các chuyên gia bảo mật VSEC đã nhanh chóng tiến hành nghiên cứu và công bố cách thức hoạt động của lỗ hổng. Cụ thể, để khai thác thành công hacker cần tài khoản người dùng cùng quyền cấu hình “Job/Configure (USE_ITEM)” và “Git Client Plugin” từ phiên bản 2.8.4 trở về trước.

Việc không kiểm soát giá trị đầu vào tại tham số Repository URL trong Git Client Plugin chính là mấu chốt giúp hacker thực thi mã lệnh trái phép trên máy chủ.

Chuyên gia VSEC cho biết, hệ thống CI (Continuous Integration) là một trong những hệ thống phổ biến nhất tại các doanh nghiệp công nghệ Việt Nam, 80% doanh nghiệp có hệ thống CI đều sử dụng ứng dụng Jenkins để giúp tự động hoá trong nhiều công đoạn phát triển phần mềm và các sản phẩm có nhiều người dùng như mạng xã hội, ứng dụng chát hay các trang thương mại điện tử.

Khai thác lỗ hổng bảo mật trên Jenkins, các hacker sẽ dễ dàng chiếm được quyền điều khiển máy chủ, kiểm soát toàn bộ hệ thống thông tin quan trọng của doanh nghiệp và thực hiện các hoạt động trái phép như đánh cắp thông tin, phát tán dữ liệu mật, thực hiện các hành vi giao dịch trái phép từ tài khoản khách hàng…

Chuyên gia VSEC cho biết, theo thống kê, hiện có hơn 200.000 máy chủ cài đặt Jenkins phiên bản bị lỗi công khai trên Internet. Các doanh nghiệp cần hạn chế công khai những hệ thống đang sử dụng trong mạng nội bộ, cấu hình Whitelist các IP được truy cập vào các hệ thống quan trọng...


TAG: cảnh báo lỗ hổng bảo mật điều khiển máy tính
 
Tin khác
Youtube bắt tay xóa các kênh có lượt đăng ký ảo
Youtube bắt tay xóa các kênh có lượt đăng ký ảo
Kinhtedothi - Theo các hội nhóm về công nghệ, Youtube đang tiếp tục thực hiện các biện pháp mạnh tại Việt Nam, trong đó là xóa lượt đăng ký ảo.
PVcomBank chính thức ra mắt phiên bản mới của ứng dụng PV-Mobile Banking
PVcomBank chính thức ra mắt phiên bản mới của ứng dụng PV-Mobile Banking
Kinhtedothi - Nhằm mang đến những trải nghiệm dịch vụ tài chính điện tử nhanh chóng, thuận tiện hơn cho khách hàng, PVcomBank chính thức ra mắt phiên bản mới của ứng dụng PV-Mobile Banking, được triển khai trên toàn hệ thống từ ngày 20/10/2019.
Sắp diễn ra triển lãm Thiết bị và Công nghệ môi trường
Sắp diễn ra triển lãm Thiết bị và Công nghệ môi trường
Kinhtedothi - Hội nghị triển lãm Thiết bị và Công nghệ môi trường (ENVIROTEX) diễn ra từ 23 - 25/10 tại Hà Nội sẽ giới thiệu các nhóm sản phẩm tiết kiệm năng lượng và đặc biệt nhóm sản phẩm xử lý nước, xử lý bụi và ô nhiễm.
Điểm nhấn công nghệ tuần: Sẽ có hệ thống đánh giá chỉ số phát triển ngành công nghệ
Điểm nhấn công nghệ tuần: Sẽ có hệ thống đánh giá chỉ số phát triển ngành công nghệ
Kinhtedothi - Bộ TT&TT sẽ có hệ thống riêng đánh giá chỉ số phát triển ngành ICT; Tấn công mạng vào Việt Nam giảm mạnh; Việt Nam tăng 5 bậc trong bảng xếp hạng của Liên minh Bưu chính thế giới... là nội dung chú ý tuần qua.
Phó chủ tịch Hội Truyền thông số Việt Nam Lê Thọ Bình: Nghị quyết 52 thể hiện khát vọng tham gia làn sóng 4.0
Phó chủ tịch Hội Truyền thông số Việt Nam Lê Thọ Bình: Nghị quyết 52 thể hiện khát vọng tham gia làn sóng 4.0
Kinhtedothi - Trao đổi với Kinh tế & Đô thị, Phó Chủ tịch Hội Truyền thông số Việt Nam Lê Thọ Bình khẳng định: Nghị quyết số 52-NQ/TW về Cách mạng công nghiệp lần thứ 4 vừa được ban hành đã thể hiện rõ việc Việt Nam tham gia làn sóng 4.0 có ý nghĩa chiến lược đặc biệt quan trọng, vừa cấp bách vừa lâu dài của cả hệ thống chính trị và toàn xã hội, gắn với quá trình hội nhập quốc tế ngày càng sâu sắc của đất nước.
Người Việt chuộng iPhone Pro Max
Người Việt chuộng iPhone Pro Max
Kinhtedothi - So với iPhone 11 được bán ra, mẫu iPhone 11 Prox Max được nhiều người dùng chọn lựa với màn hình lớn và thời lượng dùng pin lâu hơn.
5G - nền tảng kiến tạo xã hội số
5G - nền tảng kiến tạo xã hội số
Kinhtedothi - Công nghệ 5G được nhận định sẽ mang lại sự thay đổi vượt trội trong các lĩnh vực kinh tế - xã hội cũng như là điều kiện cần thiết để Việt Nam tìm kiếm cơ hội trong cuộc Cách mạng Công nghiệp 4.0.
Tái chế nước thải thành nước sạch
Tái chế nước thải thành nước sạch
Kinhtedothi - Phương pháp tái chế nước thải thành nước sạch là một trong những công nghệ đang được áp dụng thành công tại Israel, Singapore, Namibia và Uganda. Nước thải được xử lý qua 4 bước của quá trình thẩm thấu ngược nhằm loại bỏ tất cả các chất bẩn, ô nhiễm và chất độc hại.
Tấn công mạng vào Việt Nam giảm mạnh
Tấn công mạng vào Việt Nam giảm mạnh
Kinhtedothi - Thống kê từ Cục An toàn thông tin, Bộ TT&TT cho thấy, trong quý III/2019, đã ghi nhận 1.466 cuộc tấn công mạng vào hệ thống thông tin Việt Nam, giảm 39,7% so cùng kỳ.
Bộ TT&TT sẽ có hệ thống riêng đánh giá chỉ số phát triển ngành ICT
Bộ TT&TT sẽ có hệ thống riêng đánh giá chỉ số phát triển ngành ICT
Kinhtedothi - Bộ TT&TT vừa giới thiệu Hệ thống Dashboard theo dõi và đánh giá các chỉ số phát triển ngành TT&TT. Chức năng chính của hệ thống này là theo dõi và phân tích số liệu của 6 lĩnh vực gồm Bưu chính, Viễn thông, Công nghệ thông tin, An toàn thông tin, Công nghiệp ICT và Thông tin tuyên truyền.
Google trình làng bộ đôi Pixel 4
Google trình làng bộ đôi Pixel 4
Kinhtedothi - Google vừa giới thiệu hàng loạt sản phẩm mới trong sự kiện mới đây, trong đó có 2 smartphone Pixel 4 và Pixel 4 XL.