VSEC cảnh báo khẩn cấp về lỗ hổng bảo mật trên Jenkins

VSEC cảnh báo khẩn cấp về lỗ hổng bảo mật trên Jenkins
Tạp chí Nhịp sống số - Công ty CP An Ninh Mạng Việt Nam (VSEC) vừa đưa ra cảnh báo khẩn cấp về lỗ hổng bảo mật trên Jenkins, cho phép các tin tặc thực thi lệnh điều khiển máy tính từ xa.

Theo ông Trương Đức Lượng - Tổng giám đốc Công ty CP An Ninh Mạng Việt Nam (VSEC), công ty đã phát đi cảnh báo lỗ hổng bảo mật nghiêm trọng trên ứng dụng mã nguồn mở Jenkins, có thể gây ảnh hưởng nghiêm trọng tới hệ thống máy tính của các doanh nghiệp Việt.

Lỗ hổng có mã CVE-2019-10392, được chuyên gia bảo mật người Hà Lan Francesco Soncina phát hiện. Với lỗ hổng này, các tin tặc sẽ dễ dàng chiếm được quyền điều khiển máy chủ, kiểm soát toàn bộ hệ thống thông tin của doanh nghiệp và thực hiện các hoạt động trái phép như đánh cắp thông tin, phát tán dữ liệu mật…

Các chuyên gia bảo mật của VSEC đã nhanh chóng tiến hành nghiên cứu và công bố cách thức hoạt động của lỗ hổng. Cụ thể, để khai thác thành công tin tặc cần tài khoản người dùng cùng quyền cấu hình Job\\\\\\\\Configure (USE_ITEM) và Git Client Plugin từ phiên bản 2.8.4 trở về trước. Việc không kiểm soát giá trị đầu vào tại tham số Repository URL trong Git Client Plugin chính là mấu chốt giúp hacker thực thi mã lệnh trái phép trên máy chủ.

Theo thống kê, tính đến hiện nay có hơn 200.000 máy chủ cài đặt Jenkins phiên bản bị lỗi công khai trên Internet. Do mức độ nghiêm trọng của lỗ hổng, VSEC khuyến cáo các tổ chức cập nhật Git Client Plugin của Jenkins phiên bản mới nhất và nhanh nhất có thể.

Có thể bạn quan tâm