Cảnh báo lỗ hổng bảo mật có mức độ nghiêm trọng gần tới "đỉnh"

Công ty cổ phần An ninh mạng Việt Nam (VSEC) vừa đưa ra cảnh báo khẩn cấp về lỗ hổng bảo mật vô cùng nghiêm trọng trên ứng dụng Jenkins. Lỗ hổng này có thể ảnh hưởng đến nhiều doanh nghiệp Việt Nam, cho phép hacker xâm nhập dữ liệu quan trọng của người dùng, từ đó tạo tiền đề chiếm quyền điều khiển hệ thống. Lỗ hổng đạt mức độ nghiêm trọng lên đến 9,4/10 theo thang điểm CVSS 3.1.

Lỗ hổng bảo mật mới phát hiện cho phép hacker tấn công doanh nghiệp. (Ảnh minh họa)

Lỗ hổng bắt đầu xuất hiện từ phiên bản Jetty 9.4.27 - phiên bản bổ sung cơ chế xử lý nhiều "request l" đến hệ thống cùng một lúc, gây lỗi tràn bộ đệm khiến ứng dụng bị lỗi. Phiên bản này được rất nhiều nhà phát triển ứng dụng sử dụng.

Khác với những phiên bản trước đấy, phiên bản Jetty 9.4.27 hoạt động với cơ chế giả lập 1 lỗi HTTP 431 cố ý, nhằm gửi thông báo về việc đang có request quá lớn lên máy chủ để hệ thống tự động xử lý trước khi bị tràn bộ nhớ. Nhưng cơ chế này lại vô tình tạo ra một lỗi không mong muốn, đó là khiến luồng hoạt động của 2 người dùng độc lập có khả năng sẽ có cùng 1 bộ đệm vào cùng 1 thời điểm, điều này đồng nghĩa với người này có thể vào bộ nhớ đệm chung và xem được hoạt động của người còn lại, trong đó có thể sẽ chứa những thông tin như session ID, thông tin xác thực và thông tin nhạy cảm khác của những thành viên trong hệ thống máy chủ doanh nghiệp.

Với lỗ hổng nguy hiểm này, các hacker sẽ có thể thực hiện các hoạt động trái phép như đánh cắp thông tin, phát tán dữ liệu mật. Thậm chí chiếm được quyền điều khiển máy chủ, kiểm soát toàn bộ hệ thống thông tin quan trọng của doanh nghiệp. Hiện tại lỗ hổng đã được gắn mã định danh CVE-2019-17638 với đánh giá mức độ theo NIST: Critical - 9.4 (nghiêm trọng) .

Về mức độ ảnh hưởng của lỗ hổng bảo mật ứng dụng mã nguồn mở Jenkins đối với các doanh nghiệp Việt Nam, chuyên gia VSEC cho biết: Hệ thống CI (Continuous Integration) là một trong những hệ thống phổ biến nhất tại các doanh nghiệp công nghệ Việt Nam. 80% doanh nghiệp có hệ thống CI đều sử dụng ứng dụng Jenkins để giúp tự động hoá trong nhiều công đoạn phát triển phần mềm và các sản phẩm có nhiều người dùng như mạng xã hội, ứng dụng chát hay các trang thương mại điện tử. Theo thống kê, hiện có hơn 200.000 máy chủ cài đặt Jenkins phiên bản bị lỗi công khai trên Internet.

Do mức độ nghiêm trọng của lỗ hổng, VSEC khuyến cáo các tổ chức, doanh nghiệp cần cập nhật phiên bản mới đã vá lỗ hổng (Jetty 9.4.30.v20200611) sớm nhất và nhanh nhất có thể. Ngoài ra, các doanh nghiệp cần hạn chế công khai những hệ thống đang sử dụng trong mạng nội bộ, cấu hình Whitelist các IP được truy cập vào các hệ thống quan trọng, đồng thời cài đặt mật khẩu mạnh đối với tài khoản hệ thống kể cả tài khoản có quyền hạn thấp.