Cảnh báo lỗ hổng bảo mật trên Jenkins giúp hacker chiếm quyền điều khiển máy tính của doanh nghiệp

19/09/2019 09:18 AM | Kinh doanh

Công ty cổ phần An ninh mạng Việt Nam (VSEC) vừa đưa ra cảnh báo khẩn cấp về lỗ hổng bảo mật nghiêm trọng trên ứng dụng Jenkins có thể ảnh hưởng đến nhiều doanh nghiệp Việt Nam, cho phép hacker thực thi lệnh trái phép từ xa.

Cảnh báo lỗ hổng bảo mật trên Jenkins giúp hacker chiếm quyền điều khiển máy tính của doanh nghiệp

Tối qua, 18/9, ông Trương Đức Lượng – Tổng Giám đốc Công ty cổ phần An ninh mạng Việt Nam (VSEC) cho biết VSEC đã phát đi cảnh báo lỗ hổng bảo mật nghiêm trọng trên ứng dụng mã nguồn mở Jenkins, có thể gây ảnh hưởng nghiêm trọng tới hệ thống máy tính của các doanh nghiệp Việt Nam.

Theo VSEC, lỗ hổng có mã CVE-2019-10392, được chuyên gia bảo mật người Hà Lan Francesco Soncina phát hiện. Với lỗ hổng được đánh giá mức độ nguy hiểm 8/10 này, hacker sẽ dễ dàng chiếm được quyền điều khiển máy chủ, kiểm soát toàn bộ hệ thống thông tin của doanh nghiệp và thực hiện các hoạt động trái phép.

Các chuyên gia bảo mật VSEC đã nhanh chóng tiến hành nghiên cứu và công bố cách thức hoạt động của lỗ hổng. Cụ thể, để khai thác thành công hacker cần tài khoản người dùng cùng quyền cấu hình “Job/Configure (USE_ITEM)” và “Git Client Plugin” từ phiên bản 2.8.4 trở về trước. “Việc không kiểm soát giá trị đầu vào tại tham số Repository URL trong Git Client Plugin chính là mấu chốt giúp hacker thực thi mã lệnh trái phép trên máy chủ”, chuyên gia VSEC cho hay.

Chia sẻ với ICTnews về mức độ ảnh hưởng của lỗ hổng bảo mật ứng dụng mã nguồn mở Jenkins đối với các doanh nghiệp Việt Nam, chuyên gia VSEC cho biết, hệ thống CI (Continuous Integration) là một trong những hệ thống phổ biến nhất tại các doanh nghiệp công nghệ Việt Nam, 80% doanh nghiệp có hệ thống CI đều sử dụng ứng dụng Jenkins để giúp tự động hoá trong nhiều công đoạn phát triển phần mềm và các sản phẩm có nhiều người dùng như mạng xã hội, ứng dụng chát hay các trang thương mại điện tử.

Khai thác lỗ hổng bảo mật trên Jenkins, các hacker sẽ dễ dàng chiếm được quyền điều khiển máy chủ, kiểm soát toàn bộ hệ thống thông tin quan trọng của doanh nghiệp và thực hiện các hoạt động trái phép như đánh cắp thông tin, phát tán dữ liệu mật, thực hiện các hành vi giao dịch trái phép từ tài khoản khách hàng…

Chuyên gia VSEC cho biết, theo thống kê, hiện có hơn 200.000 máy chủ cài đặt Jenkins phiên bản bị lỗi công khai trên Internet.

Do mức độ nghiêm trọng của lỗ hổng, VSEC khuyến cáo các tổ chức, doanh nghiệp cập nhật Git Client Plugin của Jenkins phiên bản mới nhất và nhanh nhất có thể. Ngoài ra, các doanh nghiệp cần hạn chế công khai những hệ thống đang sử dụng trong mạng nội bộ, cấu hình Whitelist các IP được truy cập vào các hệ thống quan trọng, đồng thời cài đặt mật khẩu mạnh đối với tài khoản hệ thống kể cả tài khoản có quyền hạn thấp.

Theo Vân Anh

ICT News

Cùng chuyên mục
XEM

NỔI BẬT TRANG CHỦ

Jack Ma định nghỉ hưu từ 2004 vì bị ‘cà khịa’ không đủ giỏi để làm CEO, 2019 nghỉ xong ông mới nói: ‘Alibaba không cần bản sao của tôi, một Jack Ma đã là quá đủ’

Phát biểu tại Hội nghị CEO toàn cầu của Forbes ngày 15/10, Ma cho biết ông lần đầu tiên thức tỉnh ý tưởng về việc nghỉ hưu từ năm 2004, khi một nhà đầu tư mạo hiểm nói với ông rằng ông "không đủ tiêu chuẩn để làm CEO".

Làm thế nào để startup “sống sót” được trong năm đầu tiên?

“97% các công ty khởi nghiệp thất bại ngay trong những năm đầu tiên. Chỉ 3% các startup có thể duy trì qua năm thứ 2 và thành công trong thực tế. Thị trường ngày càng khó khăn, những người khởi nghiệp quả thực có thể gọi họ là người hùng vì con đường khởi nghiệp rất chông gai, là cuộc chiến gian nan…”.

Câu chuyện kinh doanh

Starbucks đóng 8/18 cửa hàng tại Hà Nội vì lo nguồn nước không an toàn, chưa thể hẹn ngày mở lại

Việc đóng cửa hàng được thực hiện từ chiều 17/10, sau khi Starbucks làm việc với bên thứ ba để xét nghiệm mẫu nước và được khuyến cáo chất lượng nước không đủ an toàn cho ăn uống, dù chuỗi cửa hàng này có trang bị hệ thống lọc.

Câu chuyện kinh doanh

Gặp gỡ "người phụ nữ nghìn tỷ" của Giao Hàng Nhanh: Thích lăn xả như một nhân viên tập sự, trở thành nữ tướng quyền lực cân 50% doanh số cả công ty

Người ta nói chị như "thần long thấy đầu chẳng thấy đuôi" vì nhân viên GHN chẳng mấy khi thấy người phụ nữ quyền lực nhất nhì công ty xuất hiện tại trụ sở.

Đọc thêm