Cam kết Chọn ngay Chuyên Nghiệp trong phục vụ với hơn 20 Kỹ thuật IT luôn sẵn sàng tới tận nơi sửa chữa và cài đặt ở Tphcm. Báo giá rõ ràng. 100% hài lòng mới thu tiền.


Sửa máy tính cài win PCI

Cam kết Chọn ngay Chuyên Nghiệp trong phục vụ với hơn 20 Kỹ thuật IT luôn sẵn sàng tới tận nơi sửa chữa và cài đặt ở Tphcm. Báo giá rõ ràng. 100% hài lòng mới thu tiền.


Công ty sửa máy tính PCI

Cảnh báo lỗ hổng bảo mật trên Jenkins giúp hacker chiếm quyền điều khiển máy tính của doanh nghiệp

Website suamaytinhpci.com chuyên mục Thủ thuật có bài Cảnh báo lỗ hổng bảo mật trên Jenkins giúp hacker chiếm quyền điều khiển máy tính của doanh nghiệpCông ty cổ phần An ninh mạng Việt Nam (VSEC) vừa đưa ra cảnh báo khẩn cấp về lỗ hổng bảo mật nghiêm trọng trên ứng dụng Jenkins có thể ảnh hưởng đến nhiều doanh nghiệp Việt Nam, cho phép hacker thực thi lệnh trái phép từ xa.

Theo phân tích của chuyên gia VSEC, khai thác lỗ hổng bảo mật trên Jenkins, các hacker sẽ dễ dàng chiếm được quyền điều khiển máy chủ, kiểm soát toàn bộ hệ thống tin tức quan trọng của doanh nghiệp và thực hành các hoạt động trái phép như đánh cắp thông tin, phát tán dữ liệu mật…. (Ảnh minh họa: Internet)

Tối qua, 18/9, ông Trương Đức Lượng – Tổng Giám đốc Công ty cổ phần An ninh mạng Việt Nam (VSEC) cho thấy VSEC đã phát đi cảnh báo lỗ hổng bảo mật nghiêm trọng trên phần mềm mã nguồn mở Jenkins, có thể gây ảnh hưởng nghiêm trọng tới hệ thống máy tính của các doanh nghiệp Việt Nam.

Theo VSEC, lỗ hổng có mã CVE-2019-10392, được chuyên gia bảo mật người Hà Lan Francesco Soncina phát hiện. Với lỗ hổng được đánh giá chừng độ hiểm nguy 8/10 này, hacker sẽ đơn giản chiếm được quyền điều khiển máy chủ, kiểm soát toàn bộ hệ thống tin tức của doanh nghiệp và thi hành các hoạt động trái phép.

Các chuyên gia bảo mật VSEC đã mau chóng triển khai nghiên cứu và ban bố cách thức hoạt động của lỗ hổng. Cụ thể, để khai thác thành công hacker cần tài khoản người sử dụng cùng quyền cấu hình “Job/Configure (USE_ITEM)” và “Git Client Plugin” từ phiên bản 2.8.4 trở về trước. “Việc không khống chế giá trị đầu vào tại tham số Repository URL trong Git Client Plugin chính là mấu chốt giúp hacker thực thi mã lệnh trái phép trên máy chủ”, chuyên gia VSEC cho hay.

Chia sẻ với ICTnews về chừng độ ảnh hưởng của lỗ hổng bảo mật ứng dụng mã nguồn mở Jenkins đối với những doanh nghiệp Việt Nam, chuyên gia VSEC cho biết, hệ thống CI (Continuous Integration) là một trong các hệ thống thông dụng nhất tại các doanh nghiệp công nghệ Việt Nam, 80% doanh nghiệp có hệ thống CI đều sử dụng phần mềm Jenkins để giúp tự động hoá trong nhiều công đoạn phát triển phần mềm và các mặt hàng có nhiều người sử dụng như mạng xã hội, ứng dụng chát hay các trang thương mại điện tử.

Khai thác lỗ hổng bảo mật trên Jenkins, các hacker sẽ dễ dàng chiếm được quyền điều khiển máy chủ, khống chế toàn bộ hệ thống thông tin quan trọng của doanh nghiệp và thực hiện các hoạt động trái phép như đánh cắp thông tin, phát tán dữ liệu mật, thi hành các hành vi giao dịch trái phép từ tài khoản khách hàng… 

Chuyên gia VSEC cho biết, theo thống kê, hiện có hơn 200.000 máy server cài đặt Jenkins phiên bản bị lỗi công khai trên Internet.

Do chừng độ nghiêm trọng của lỗ hổng, VSEC khuyến cáo các tổ chức, doanh nghiệp cập nhật Git Client Plugin của Jenkins phiên bản mới nhất và mau nhất có thể. Ngoài ra, các doanh nghiệp cần hạn chế công khai những hệ thống đang sử dụng trong mạng nội bộ, cấu hình Whitelist các IP được truy cập vào các hệ thống quan trọng, đồng thời cài đặt mật khẩu mạnh đối với tài khoản hệ thống bao gồm tài khoản có quyền hạn thấp.

Từ khóa bài viết: tấn công mạng, an toàn thông tin mạng, cyber security, lỗ hổng bảo mật, VSEC, ứng dụng mã nguồn mở, Jenkins

Bài viết Cảnh báo lỗ hổng bảo mật trên Jenkins giúp hacker chiếm quyền điều khiển máy tính của doanh nghiệp được tổng hợp sưu tầm và biên tập bởi nhiều user – sửa máy tính PCI – TopVn Mọi ý kiến đóng góp và phản hồi vui lòng gửi Liên Hệ cho chúng tôi để điều chỉnh. Xin cảm ơn.

Xếp Hạng