Công ty cổ phần An ninh mạng Việt Nam (VSEC) cho biết VSEC đã phát đi cảnh báo lỗ hổng bảo mật nghiêm trọng trên ứng dụng mã nguồn mở Jenkins, có thể gây ảnh hưởng nghiêm trọng tới hệ thống máy tính của các doanh nghiệp Việt Nam.
| Ảnh minh họa |
Các chuyên gia bảo mật VSEC đã nhanh chóng tiến hành nghiên cứu và công bố cách thức hoạt động của lỗ hổng. Cụ thể, để khai thác thành công hacker cần tài khoản người dùng cùng quyền cấu hình “Job/Configure (USE_ITEM)” và “Git Client Plugin” từ phiên bản 2.8.4 trở về trước.
Việc không kiểm soát giá trị đầu vào tại tham số Repository URL trong Git Client Plugin chính là mấu chốt giúp hacker thực thi mã lệnh trái phép trên máy chủ.
Chuyên gia VSEC cho biết, hệ thống CI (Continuous Integration) là một trong những hệ thống phổ biến nhất tại các doanh nghiệp công nghệ Việt Nam, 80% doanh nghiệp có hệ thống CI đều sử dụng ứng dụng Jenkins để giúp tự động hoá trong nhiều công đoạn phát triển phần mềm và các sản phẩm có nhiều người dùng như mạng xã hội, ứng dụng chát hay các trang thương mại điện tử.
Khai thác lỗ hổng bảo mật trên Jenkins, các hacker sẽ dễ dàng chiếm được quyền điều khiển máy chủ, kiểm soát toàn bộ hệ thống thông tin quan trọng của doanh nghiệp và thực hiện các hoạt động trái phép như đánh cắp thông tin, phát tán dữ liệu mật, thực hiện các hành vi giao dịch trái phép từ tài khoản khách hàng…
Chuyên gia VSEC cho biết, theo thống kê, hiện có hơn 200.000 máy chủ cài đặt Jenkins phiên bản bị lỗi công khai trên Internet. Các doanh nghiệp cần hạn chế công khai những hệ thống đang sử dụng trong mạng nội bộ, cấu hình Whitelist các IP được truy cập vào các hệ thống quan trọng...
