Đánh giá mức độ nguy hiểm: 8/10 (Theo NIST – Viện Tiêu chuẩn và Kỹ thuật quốc gia, Bộ Thương Mại Hoa Kỳ)

Công ty CP An Ninh Mạng Việt Nam (VSEC) vừa đưa ra cảnh báo khẩn cấp về lỗ hổng bảo mật trên Jenkins, cho phép hacker thực thi lệnh trái phép từ xa.

Tối ngày 18/9, ông Trương Đức Lượng – Tổng Giám Đốc Công ty CP An Ninh Mạng Việt Nam (VSEC) cho biết VSEC đã phát đi cảnh báo lỗ hổng bảo mật nghiêm trọng trên ứng dụng mã nguồn mở Jenkins, có thể gây ảnh hưởng nghiêm trọng tới hệ thống máy tính của các doanh nghiệp Việt.

Lỗ hổng có mã CVE-2019-10392, được chuyên gia bảo mật người Hà Lan Francesco Soncina phát hiện. Với lỗ hổng này, hacker sẽ dễ dàng chiếm được quyền điều khiển máy chủ, kiểm soát toàn bộ hệ thống thông tin của doanh nghiệp và thực hiện các hoạt động trái phép như đánh cắp thông tin, phát tán dữ liệu mật …

Các chuyên gia bảo mật của VSEC đã nhanh chóng tiến hành nghiên cứu và công bố cách thức hoạt động của lỗ hổng. Cụ thể, để khai thác thành công hacker cần tài khoản người dùng cùng quyền cấu hình Job\Configure (USE_ITEM) Git Client Plugin từ phiên bản 2.8.4 trở về trước. Việc không kiểm soát giá trị đầu vào tại tham số Repository URL trong Git Client Plugin chính là mấu chốt giúp hacker thực thi mã lệnh trái phép trên máy chủ.

Theo thống kê, tính đến hiện có hơn 200.000 máy chủ cài đặt Jenkins phiên bản bị lỗi công khai trên Internet. Do mức độ nghiêm trọng của lỗ hổng, VSEC khuyến cáo các tổ chức cập nhật Git Client Plugin của Jenkins phiên bản mới nhất và nhanh nhất có thể.

No Comments
Post a Comment