Trang chủ / Công nghệ / Tin tức

Cảnh báo lỗ hổng bảo mật chiếm quyền điều khiển máy tính doanh nghiệp

Hà Thanh 19-09-2019 16:25
Kinhtedothi - Công ty cổ phần An ninh mạng Việt Nam (VSEC) vừa đưa ra cảnh báo khẩn cấp về lỗ hổng bảo mật nghiêm trọng trên ứng dụng Jenkins giúp hacker có quyền điều khiển máy tính của doanh nghiệp.
Công ty cổ phần An ninh mạng Việt Nam (VSEC) cho biết VSEC đã phát đi cảnh báo lỗ hổng bảo mật nghiêm trọng trên ứng dụng mã nguồn mở Jenkins, có thể gây ảnh hưởng nghiêm trọng tới hệ thống máy tính của các doanh nghiệp Việt Nam.
 Ảnh minh họa
Theo VSEC, lỗ hổng có mã CVE-2019-10392, được chuyên gia bảo mật người Hà Lan Francesco Soncina phát hiện. Với lỗ hổng được đánh giá mức độ nguy hiểm 8/10 này, hacker sẽ dễ dàng chiếm được quyền điều khiển máy chủ, kiểm soát toàn bộ hệ thống thông tin của doanh nghiệp và thực hiện các hoạt động trái phép.
Các chuyên gia bảo mật VSEC đã nhanh chóng tiến hành nghiên cứu và công bố cách thức hoạt động của lỗ hổng. Cụ thể, để khai thác thành công hacker cần tài khoản người dùng cùng quyền cấu hình “Job/Configure (USE_ITEM)” và “Git Client Plugin” từ phiên bản 2.8.4 trở về trước.
Việc không kiểm soát giá trị đầu vào tại tham số Repository URL trong Git Client Plugin chính là mấu chốt giúp hacker thực thi mã lệnh trái phép trên máy chủ.
Chuyên gia VSEC cho biết, hệ thống CI (Continuous Integration) là một trong những hệ thống phổ biến nhất tại các doanh nghiệp công nghệ Việt Nam, 80% doanh nghiệp có hệ thống CI đều sử dụng ứng dụng Jenkins để giúp tự động hoá trong nhiều công đoạn phát triển phần mềm và các sản phẩm có nhiều người dùng như mạng xã hội, ứng dụng chát hay các trang thương mại điện tử.
Khai thác lỗ hổng bảo mật trên Jenkins, các hacker sẽ dễ dàng chiếm được quyền điều khiển máy chủ, kiểm soát toàn bộ hệ thống thông tin quan trọng của doanh nghiệp và thực hiện các hoạt động trái phép như đánh cắp thông tin, phát tán dữ liệu mật, thực hiện các hành vi giao dịch trái phép từ tài khoản khách hàng…
Chuyên gia VSEC cho biết, theo thống kê, hiện có hơn 200.000 máy chủ cài đặt Jenkins phiên bản bị lỗi công khai trên Internet. Các doanh nghiệp cần hạn chế công khai những hệ thống đang sử dụng trong mạng nội bộ, cấu hình Whitelist các IP được truy cập vào các hệ thống quan trọng...

TAG: cảnh báo lỗ hổng bảo mật điều khiển máy tính
 
Tin khác
Hà Nội: Xử phạt 'hoa khôi' khoe tiêm vaccine Covid-19 không cần đăng ký
Hà Nội: Xử phạt "hoa khôi" khoe tiêm vaccine Covid-19 không cần đăng ký
Kinhtedothi - Một cá nhân tại Hà Nội có hành vi đăng tải nội dung thông tin sai sự thật trên mạng xã hội với thông tin “Tiêm vaccine Covid-19 không cần đăng ký” đã bị xử phạt 12,5 triệu đồng.
Cảnh báo giả mạo website Bộ Y tế để lừa đảo
Cảnh báo giả mạo website Bộ Y tế để lừa đảo
Kinhtedothi - Một số đối tượng đã lợi dụng tâm lý lo lắng về sức khỏe của người dân để giả mạo thông tin xin trợ cấp tiêm chủng vắc xin phòng Covid-19 và lừa tiền cứu trợ.
Giới nghiêm Hà Nội sau 18 giờ là tin giả
Giới nghiêm Hà Nội sau 18 giờ là tin giả
Kinhtedothi - Hiện trên Facebook đang lan truyền thông tin cho rằng sau 18 giờ ngày 29/7, Hà Nội sẽ tiến hành giới nghiêm toàn TP và người dân không được ra đường. Đây được xác định là thông tin sai sự thật.
2030: Hà Nội sẽ phủ sóng 5G tại toàn bộ trường học, bệnh viện và điểm du lịch
2030: Hà Nội sẽ phủ sóng 5G tại toàn bộ trường học, bệnh viện và điểm du lịch
Kinhtedothi - Theo mục tiêu được UBND TP. Hà Nội ban hành đến năm 2030 Hà Nội sẽ phủ sóng mạng 5G tại toàn bộ các khu công nghiệp, trường học, bệnh viện, địa điểm du lịch.
Đề nghị miễn cước tin nhắn vận hành nền tảng quản lý tiêm chủng
Đề nghị miễn cước tin nhắn vận hành nền tảng quản lý tiêm chủng
Kinhtedothi - Cục Viễn thông, Bộ Thông tin và Truyền thông (TT&TT) vừa gửi đề nghị đến 7 nhà mạng xem xét hỗ trợ miễn cước khai báo, duy trì tên định danh "TIEMCHUNG".
Sở Thông tin và Truyền thông TP Hồ Chí Minh làm việc với chủ facebook “Hằng Nguyễn” vào sáng 13/8
Sở Thông tin và Truyền thông TP Hồ Chí Minh làm việc với chủ facebook “Hằng Nguyễn” vào sáng 13/8
Kinhtedothi - Sau khi đăng dòng trạng thái gây bức xúc cộng đồng mạng, nick facebook “Hằng Nguyễn” đã phải gỡ bỏ và cơ quan chức năng đã có thư mời làm việc.
Không có Galaxy Note mới tại sự kiện Samsung Unpacked
Không có Galaxy Note mới tại sự kiện Samsung Unpacked
Kinhtedothi - Nguồn tin chính thức từ Samsung cho biết, tại sự kiện tại sự kiện Samsung Unpacked được tổ chức vào 11/8, hãng công nghệ số 1 Hàn Quốc không ra mắt Galaxy Note mới.
Hà Nội dẫn đầu cả nước về lượt tải Bluezone
Hà Nội dẫn đầu cả nước về lượt tải Bluezone
Kinhtedothi - Ngày 27/7, Cục Tin học hóa (Bộ Thông tin và Truyền thông) cho biết, so với lần cập nhật ngày 25/7, Hà Nội có thêm 14.549 người cài đặt Bluezone, dẫn đầu cả nước về số lượng người sử dụng Bluezone tăng thêm.
Open Banking phiên bản 2.0 với nhiều tính năng ưu việt
Open Banking phiên bản 2.0 với nhiều tính năng ưu việt
Kinhtedothi - Tiếp tục nâng cao chất lượng dịch vụ, tạo nên những trải nghiệm mới lạ, cùng nhiều tiện ích tài chính ưu việt, Nam A Bank mang đến cho người dùng, khách hàng Ngân hàng số Open Banking phiên bản 2.0 với giao diện hiện đại, khác biệt.
Chỉ được gửi tin nhắn đăng ký quảng cáo một lần tới một thuê bao
Chỉ được gửi tin nhắn đăng ký quảng cáo một lần tới một thuê bao
Kinhtedothi - Người quảng cáo chỉ được phép gửi tin nhắn đăng ký quảng cáo đầu tiên và duy nhất tới 1 số thuê bao từ 7 giờ đến 22 giờ; được gắn nhãn có định dạng DKQC.
Truy tìm đối tượng tấn công hệ thống cấp giấy nhận diện phương tiện 'luồng xanh'
Truy tìm đối tượng tấn công hệ thống cấp giấy nhận diện phương tiện "luồng xanh"
Kinhtedothi - Tổng cục Đường bộ Việt Nam đang phối hợp ngành chức năng truy tìm đối tượng tấn công vào hệ thống cấp giấy nhận diện phương tiện ưu tiên hoạt động trên “luồng xanh” vận tải.