Việt Nam vươn mình trong kỷ nguyên mới
Logo
Đăng ký ấn phẩm|Đăng nhập

Cảnh báo lỗ hổng bảo mật chiếm quyền điều khiển máy tính doanh nghiệp

Kinhtedothi - Công ty cổ phần An ninh mạng Việt Nam (VSEC) vừa đưa ra cảnh báo khẩn cấp về lỗ hổng bảo mật nghiêm trọng trên ứng dụng Jenkins giúp hacker có quyền điều khiển máy tính của doanh nghiệp.
Công ty cổ phần An ninh mạng Việt Nam (VSEC) cho biết VSEC đã phát đi cảnh báo lỗ hổng bảo mật nghiêm trọng trên ứng dụng mã nguồn mở Jenkins, có thể gây ảnh hưởng nghiêm trọng tới hệ thống máy tính của các doanh nghiệp Việt Nam.
 Ảnh minh họa
Theo VSEC, lỗ hổng có mã CVE-2019-10392, được chuyên gia bảo mật người Hà Lan Francesco Soncina phát hiện. Với lỗ hổng được đánh giá mức độ nguy hiểm 8/10 này, hacker sẽ dễ dàng chiếm được quyền điều khiển máy chủ, kiểm soát toàn bộ hệ thống thông tin của doanh nghiệp và thực hiện các hoạt động trái phép.
Các chuyên gia bảo mật VSEC đã nhanh chóng tiến hành nghiên cứu và công bố cách thức hoạt động của lỗ hổng. Cụ thể, để khai thác thành công hacker cần tài khoản người dùng cùng quyền cấu hình “Job/Configure (USE_ITEM)” và “Git Client Plugin” từ phiên bản 2.8.4 trở về trước.
Việc không kiểm soát giá trị đầu vào tại tham số Repository URL trong Git Client Plugin chính là mấu chốt giúp hacker thực thi mã lệnh trái phép trên máy chủ.
Chuyên gia VSEC cho biết, hệ thống CI (Continuous Integration) là một trong những hệ thống phổ biến nhất tại các doanh nghiệp công nghệ Việt Nam, 80% doanh nghiệp có hệ thống CI đều sử dụng ứng dụng Jenkins để giúp tự động hoá trong nhiều công đoạn phát triển phần mềm và các sản phẩm có nhiều người dùng như mạng xã hội, ứng dụng chát hay các trang thương mại điện tử.
Khai thác lỗ hổng bảo mật trên Jenkins, các hacker sẽ dễ dàng chiếm được quyền điều khiển máy chủ, kiểm soát toàn bộ hệ thống thông tin quan trọng của doanh nghiệp và thực hiện các hoạt động trái phép như đánh cắp thông tin, phát tán dữ liệu mật, thực hiện các hành vi giao dịch trái phép từ tài khoản khách hàng…
Chuyên gia VSEC cho biết, theo thống kê, hiện có hơn 200.000 máy chủ cài đặt Jenkins phiên bản bị lỗi công khai trên Internet. Các doanh nghiệp cần hạn chế công khai những hệ thống đang sử dụng trong mạng nội bộ, cấu hình Whitelist các IP được truy cập vào các hệ thống quan trọng...

Đọc nhiều
HỎI ĐÁP THÔNG MINH

CẢM NHẬN CỦA BẠN VỀ BÀI VIẾT NÀY

  • Rất hay
  • Thích
  • Giải trí
  • Cần cải thiện

BÌNH LUẬN (0)

Đừng bỏ lỡ
Lào Cai gỡ vướng trong công tác giải phóng mặt bằng Dự án đường dây 500kV

Lào Cai gỡ vướng trong công tác giải phóng mặt bằng Dự án đường dây 500kV

04 Jul, 08:56 PM

Kinhtedothi- Mặc dù các phương án bồi thường và tái định cư đã được phê duyệt, nhưng đến đầu tháng 7/2025, nhiều địa phương vẫn chưa hoàn tất việc chi trả và thu hồi đất cho Dự án đường dây 500kV Lào Cai – Vĩnh Yên. Lãnh đạo tỉnh yêu cầu khẩn trương tháo gỡ những điểm nghẽn, tránh ảnh hưởng đến tiến độ chung.

Sẽ vinh danh 20 gương thanh niên sống đẹp tiêu biểu năm 2025

Sẽ vinh danh 20 gương thanh niên sống đẹp tiêu biểu năm 2025

04 Jul, 02:25 PM

Kinhtedothi - Giải thưởng Thanh niên sống đẹp năm 2025 sẽ tuyên dương 20 gương thanh niên tiêu biểu trên các lĩnh vực. Các cá nhân được nhận giải thưởng “Thanh niên sống đẹp” là những người có những hành động đẹp, tạo sự lan tỏa, truyền năng lượng tích cực cho xã hội, đặc biệt là các bạn trẻ.

Thủ tướng nêu thời hạn với “3 nhiệm vụ lớn”

Thủ tướng nêu thời hạn với “3 nhiệm vụ lớn”

03 Jul, 09:44 PM

Kinhtedothi - Theo thông báo của Văn phòng Chính phủ, Thủ tướng Chính phủ Phạm Minh Chính đã có chỉ đạo cụ thể về tiến độ đối với các công tác: xóa nhà tạm, nhà dột nát trên phạm vi cả nước; các công trình, dự án quan trọng quốc gia, trọng điểm ngành giao thông vận tải; thúc đẩy giải ngân vốn đầu tư công năm 2025.

Tin mới
VIDEO
Tin Tài Trợ