Theo gương Bác Hồ Hanoitimes.vn Chung tay vì ATTP tieudung.vn Giao thông Hà Nội Người tốt - Việc tốt infographic Giao lưu trực tuyến
DÒNG SỰ KIỆN. * KỲ HỌP THỨ 8, QUỐC HỘI KHÓA XIV * TOÀN CẢNH VỤ NƯỚC SẠCH Ở HÀ NỘI CÓ MÙI LẠ * KỶ NIỆM 65 NĂM NGÀY GIẢI PHÓNG THỦ ĐÔ * HÀ NỘI - 20 NĂM “THÀNH PHỐ VÌ HÒA BÌNH” * AN TOÀN PHÒNG CHÁY CHỮA CHÁY
Công nghệ
Tin tức Sản phẩm số

Cảnh báo lỗ hổng bảo mật chiếm quyền điều khiển máy tính doanh nghiệp

Hà Thanh
19-09-2019 16:25
Kinhtedothi - Công ty cổ phần An ninh mạng Việt Nam (VSEC) vừa đưa ra cảnh báo khẩn cấp về lỗ hổng bảo mật nghiêm trọng trên ứng dụng Jenkins giúp hacker có quyền điều khiển máy tính của doanh nghiệp.
Tin liên quan
Công ty cổ phần An ninh mạng Việt Nam (VSEC) cho biết VSEC đã phát đi cảnh báo lỗ hổng bảo mật nghiêm trọng trên ứng dụng mã nguồn mở Jenkins, có thể gây ảnh hưởng nghiêm trọng tới hệ thống máy tính của các doanh nghiệp Việt Nam.
 Ảnh minh họa
Theo VSEC, lỗ hổng có mã CVE-2019-10392, được chuyên gia bảo mật người Hà Lan Francesco Soncina phát hiện. Với lỗ hổng được đánh giá mức độ nguy hiểm 8/10 này, hacker sẽ dễ dàng chiếm được quyền điều khiển máy chủ, kiểm soát toàn bộ hệ thống thông tin của doanh nghiệp và thực hiện các hoạt động trái phép.
Các chuyên gia bảo mật VSEC đã nhanh chóng tiến hành nghiên cứu và công bố cách thức hoạt động của lỗ hổng. Cụ thể, để khai thác thành công hacker cần tài khoản người dùng cùng quyền cấu hình “Job/Configure (USE_ITEM)” và “Git Client Plugin” từ phiên bản 2.8.4 trở về trước.
Việc không kiểm soát giá trị đầu vào tại tham số Repository URL trong Git Client Plugin chính là mấu chốt giúp hacker thực thi mã lệnh trái phép trên máy chủ.
Chuyên gia VSEC cho biết, hệ thống CI (Continuous Integration) là một trong những hệ thống phổ biến nhất tại các doanh nghiệp công nghệ Việt Nam, 80% doanh nghiệp có hệ thống CI đều sử dụng ứng dụng Jenkins để giúp tự động hoá trong nhiều công đoạn phát triển phần mềm và các sản phẩm có nhiều người dùng như mạng xã hội, ứng dụng chát hay các trang thương mại điện tử.
Khai thác lỗ hổng bảo mật trên Jenkins, các hacker sẽ dễ dàng chiếm được quyền điều khiển máy chủ, kiểm soát toàn bộ hệ thống thông tin quan trọng của doanh nghiệp và thực hiện các hoạt động trái phép như đánh cắp thông tin, phát tán dữ liệu mật, thực hiện các hành vi giao dịch trái phép từ tài khoản khách hàng…
Chuyên gia VSEC cho biết, theo thống kê, hiện có hơn 200.000 máy chủ cài đặt Jenkins phiên bản bị lỗi công khai trên Internet. Các doanh nghiệp cần hạn chế công khai những hệ thống đang sử dụng trong mạng nội bộ, cấu hình Whitelist các IP được truy cập vào các hệ thống quan trọng...

TIN CÙNG CHUYÊN MỤC
TAG: cảnh báo lỗ hổng bảo mật điều khiển máy tính
Bình luận
Tin khác
  • Google trình làng bộ đôi Pixel 4
    Kinhtedothi - Google vừa giới thiệu hàng loạt sản phẩm mới trong sự kiện mới đây, trong đó có 2 smartphone Pixel 4 và Pixel 4 XL.
    16-10-2019 18:22
  • Tra soát giao dịch trên kênh ngân hàng trực tuyến VCB-iB@nking
    Kinhtedothi - Tính năng mới này giúp khách hàng chủ động thực hiện tra soát các giao dịch của mình một cách nhanh chóng và dễ dàng, mà không cần phải đến quầy giao dịch hay gọi điện đến tổng đài củ...
    16-10-2019 16:58
  • Thị trường iPhone 11 loạn giá
    Kinhtedothi - Cuối tháng 9 vừa qua khi bộ ba iPhone 11, 11 Pro và 11 Pro Max đã được Apple mở bán tại Singapore và một số khu vực trên thế giới. Dù chưa mở bán tại Việt Nam nhưng sau 2 ngày, iPhone...
    16-10-2019 11:22
  • Đánh giá bảo mật website doanh nghiệp Việt miễn phí
    Kinhtedothi - Chương trình “Đánh giá bảo mật website miễn phí” dành cho tất cả các doanh nghiệp đang hoạt động tại thị trường Việt Nam vừa được Công ty VSEC công bố triển khai.
    15-10-2019 18:20
  • SeABank ra mắt SeANet phiên bản mới nhiều tính năng ưu việt cho doanh nghiệp
    Kinhtedothi - Nhằm mang đến cho khách hàng doanh nghiệp dịch vụ ngân hàng trực tuyến tiện lợi, an toàn, hiệu quả và tiết giảm chi phí tối đa, Ngân hàng TMCP Đông Nam Á (SeABank) đã nâng cấp và ban ...
    15-10-2019 15:23