Cảnh báo lỗ hổng bảo mật trên Jenkins giúp hacker chiếm quyền điều khiển máy tính của doanh nghiệp

19/09/2019 09:18 AM | Kinh doanh

Công ty cổ phần An ninh mạng Việt Nam (VSEC) vừa đưa ra cảnh báo khẩn cấp về lỗ hổng bảo mật nghiêm trọng trên ứng dụng Jenkins có thể ảnh hưởng đến nhiều doanh nghiệp Việt Nam, cho phép hacker thực thi lệnh trái phép từ xa.

Cảnh báo lỗ hổng bảo mật trên Jenkins giúp hacker chiếm quyền điều khiển máy tính của doanh nghiệp

Tối qua, 18/9, ông Trương Đức Lượng – Tổng Giám đốc Công ty cổ phần An ninh mạng Việt Nam (VSEC) cho biết VSEC đã phát đi cảnh báo lỗ hổng bảo mật nghiêm trọng trên ứng dụng mã nguồn mở Jenkins, có thể gây ảnh hưởng nghiêm trọng tới hệ thống máy tính của các doanh nghiệp Việt Nam.

Theo VSEC, lỗ hổng có mã CVE-2019-10392, được chuyên gia bảo mật người Hà Lan Francesco Soncina phát hiện. Với lỗ hổng được đánh giá mức độ nguy hiểm 8/10 này, hacker sẽ dễ dàng chiếm được quyền điều khiển máy chủ, kiểm soát toàn bộ hệ thống thông tin của doanh nghiệp và thực hiện các hoạt động trái phép.

Các chuyên gia bảo mật VSEC đã nhanh chóng tiến hành nghiên cứu và công bố cách thức hoạt động của lỗ hổng. Cụ thể, để khai thác thành công hacker cần tài khoản người dùng cùng quyền cấu hình “Job/Configure (USE_ITEM)” và “Git Client Plugin” từ phiên bản 2.8.4 trở về trước. “Việc không kiểm soát giá trị đầu vào tại tham số Repository URL trong Git Client Plugin chính là mấu chốt giúp hacker thực thi mã lệnh trái phép trên máy chủ”, chuyên gia VSEC cho hay.

Chia sẻ với ICTnews về mức độ ảnh hưởng của lỗ hổng bảo mật ứng dụng mã nguồn mở Jenkins đối với các doanh nghiệp Việt Nam, chuyên gia VSEC cho biết, hệ thống CI (Continuous Integration) là một trong những hệ thống phổ biến nhất tại các doanh nghiệp công nghệ Việt Nam, 80% doanh nghiệp có hệ thống CI đều sử dụng ứng dụng Jenkins để giúp tự động hoá trong nhiều công đoạn phát triển phần mềm và các sản phẩm có nhiều người dùng như mạng xã hội, ứng dụng chát hay các trang thương mại điện tử.

Khai thác lỗ hổng bảo mật trên Jenkins, các hacker sẽ dễ dàng chiếm được quyền điều khiển máy chủ, kiểm soát toàn bộ hệ thống thông tin quan trọng của doanh nghiệp và thực hiện các hoạt động trái phép như đánh cắp thông tin, phát tán dữ liệu mật, thực hiện các hành vi giao dịch trái phép từ tài khoản khách hàng…

Chuyên gia VSEC cho biết, theo thống kê, hiện có hơn 200.000 máy chủ cài đặt Jenkins phiên bản bị lỗi công khai trên Internet.

Do mức độ nghiêm trọng của lỗ hổng, VSEC khuyến cáo các tổ chức, doanh nghiệp cập nhật Git Client Plugin của Jenkins phiên bản mới nhất và nhanh nhất có thể. Ngoài ra, các doanh nghiệp cần hạn chế công khai những hệ thống đang sử dụng trong mạng nội bộ, cấu hình Whitelist các IP được truy cập vào các hệ thống quan trọng, đồng thời cài đặt mật khẩu mạnh đối với tài khoản hệ thống kể cả tài khoản có quyền hạn thấp.

Theo Vân Anh

ICT News

Cùng chuyên mục
XEM

NỔI BẬT TRANG CHỦ

Nhiếp ảnh gia Trần Tuấn Việt: Sự chân thành, kiên định trong đam mê chắc chắn sẽ giúp bạn tồn tại, phát triển và được trả công xứng đáng

Không hẳn mới và thậm chí đã được thực hiện vô số lần trong nhiều thập kỷ, nhưng những bức ảnh về cảnh sắc, con người, văn hoá Việt Nam qua ống kính của Trần Tuấn Việt được thổi một làn gió mới nhờ cách truyền tải độc đáo. Ảnh của tay máy này được đăng trên tạp chí và sách ảnh National Geographic, Google Arts & Culture.

Sau những ngày hái "quả ngọt", trái cây của bầu Đức lần đầu tiên đem về vị đắng

Mảng trái cây của Bầu Đức từ trước đến nay luôn đem về lợi nhuận. Tuy nhiên, trong quý 3 vừa qua, mảng trái cây lỗ 48 tỷ đồng do giá bán bị ảnh hưởng bởi dịch Covid-19. Điều này khiến HAGL báo lỗ tới 568 tỷ đồng.

Độc đáo quán ăn vỉa hè của anh em Việt giữa lòng thủ đô Đức: Bàn inox, ghế nhựa, ống bơ mang từ Việt Nam, được tài tử Tom Cruise, Katie Holmes... ghé thăm

Nhận thấy tại Đức đã có nhiều nhà hàng Việt nhưng chưa ai khai thác khía cạnh "đường phố" của Sài Gòn, hai anh em Sĩ An - Đông Phương nảy ra ý tưởng kinh doanh độc đáo.

Chuyện nối nghiệp ở những công ty gia đình nổi tiếng nhất Việt Nam

Ở hầu hết các công ty gia đình nổi tiếng nhất Việt Nam, thế hệ thứ nhất (F1) vẫn là những người điều hành trực tiếp và che phủ “cái bóng” lên người nối nghiệp. Thế nhưng, một vài người đã thực sự kế nghiệp từ cha mẹ mình và khởi tạo một kỷ nguyên mới.

Đọc thêm