Thực thi mã từ xa – Remote Code Execution (viết tắt là RCE) là loại lỗ hổng nguy hiểm nhất, cho phép hacker chiếm quyền điều khiển máy chủ ứng dụng, từ đó có thể lấy các dữ liệu quan trọng của doanh nghiệp.
Xu hướng tấn công của tin tặc vẫn bùng nổ trong đầu năm 2020. Ảnh: AFP
Dưới đây là top 5 lỗ hổng RCE nguy hiểm mới được phát hiện từ đầu năm 2020 do chuyên gia của Công ty cổ phần an ninh mạng Việt Nam (VSEC), đánh giá dựa trên độ phức tạp, sự phổ biến và quy mô tác động của những lỗ hổng này.
1. CVE 2019-2725: Lỗ hổng thực thi mã từ xa trên Oracle weblogic
Cụ thể, lỗ hổng bảo mật này nằm trong thành phần WLS9-ASYNC trên máy chủ Weblogic của Oracle cho phép kẻ tấn công nhập dữ liệu XML độc hại thông qua đường dẫn được thiết kế đặc biệt mà không cần bất kỳ quyền nào, từ đó có thể xâm nhập và thực thi các mã lệnh tùy ý lên máy chủ Weblogic.
Lỗ hổng này dễ bị kẻ tấn công khai thác, vì bất kỳ ai có quyền truy cập HTTP vào máy chủ WebLogic đều có thể thực hiện một cuộc tấn công. Do đó, lỗi này có điểm CVSS là 9,8/10.
Theo các chuyên gia bảo mật VSEC, khi một tin tặc khai thác được lỗ hổng bảo mật này sẽ có thể xâm nhập vào hệ thống máy chủ, sau đó thực hiện nhiều cuộc tấn công khác như tấn công lừa đảo, gián điệp… và đặc biệt là phát tán các mã độc ransomware (phần mềm độc hại có mục đích tống tiền người dùng).
Hiện nay đã có bản vá cho lỗ hổng này, các chuyên gia VSEC khuyến cáo các quản trị hệ thống nên cập nhật phiên bản mới nhất của Oracle weblogic. Ngoài ra, cần vô hiệu hóa module ASYNC để người dùng có thể chặn tin tặc truy cập vào.
2. CVE 2020-0796: Lỗ hổng thực thi mã từ xa trên giao thức SMB của Window
CVE 2020-0796 (RCE) là lỗ hổng thực thi mã từ xa mà không cần xác thực trên Windows 10. Đây được đánh giá là lỗi nghiêm trọng cao nhất trong kiểm thử ứng dụng/phần mềm và có thể tự động lây lan từ một máy tính bị nhiễm sang máy tính khác.
Lỗ hổng thực thi mã lệnh rất nguy hiểm cho các doanh nghiệp. Ảnh: AFP
Lỗ hổng này còn gọi là SMBGhost được phát hiện từ đầu tháng 3.2020 nằm trong giao thức SMBv3, và ảnh hưởng đến các phiên bản Windows 10, Core Windows Server, version 1903 và 1909.
SMB (Server Message Block) chạy trên cổng 445, là một giao thức mạng hỗ trợ việc chia sẻ file, duyệt mạng, in và giao tiếp qua mạng. Lỗ hổng bắt nguồn từ cách thức SMBv3 xử lý các truy vấn của tính năng nén dữ liệu phần header (compression header), cho phép kẻ tấn công từ xa có thể thực thi mã độc trên máy chủ hoặc máy khách với đặc quyền trên cả hệ thống.
Hiện nay Microsoft đã ra phiên bản vá lỗ hổng này, chuyên gia VSEC khuyến cáo người dùng và quản trị viên cần cập nhật phiên bản mới và tắt SMBv3 để tránh tin tặc truy cập vào
3. CVE 2020-1938: Lỗ hổng Ghostcat đọc và chèn tập tin trên Apache Tomcat
Ghostcat là một lỗ hổng trong giao thức AJP (JavaServer Pages) của Apache Tomcat – một phần mềm web server mã nguồn mở miễn phí, được sử dụng để chạy các ứng dụng web lập trình bằng ngôn ngữ java.
Lỗ hổng Ghostcat được đặt tên mã CVE-2020-1938 với điểm CVSS 9.8, được tin tặc khai thác dưới dạng chèn ký tự đặc biệt trong lúc gửi những yêu cầu tới máy chủ để đọc mã nguồn hoặc các thông tin file cấu hình máy chủ. Ngoài ra, để lỗ hổng này có thể trở thành Remote Code Execution nếu như trang web cho phép người dùng tải tệp lên.
Lỗ hổng Ghostcat hiện đã được phát hiện trên tất cả phiên bản (9.x/8.x/7.x/6.x) của Apache Tomcat phát hành trong suốt 13 năm qua, và điều đặc biệt nghiêm trọng là các mã khai thác đã xuất hiện và được chia sẻ tràn lan trên internet.
Chuyên gia VSEC khuyến cáo nếu các doanh nghiệp sử dụng hệ thống Apache Tomcat hãy cập nhật hệ thống lên phiên bản mới nhất, không mở cổng AJP đến các máy Client không đáng tin cậy.
4. CVE-2020-7961: Lỗ hổng chuyển đổi cấu trúc dữ liệu không đáng tin cậy trên Liferay
CVE-2020-7961 là lỗi chuyển đổi cấu trúc dữ liệu trên nền tảng Liferay – một cổng thông tin mã nguồn mở được sử dụng rộng rãi. Lỗ hổng này cho phép kể tấn công lợi dụng các hàm chuyển đổi cấu trúc dữ liệu mà Liferay sử dụng để chèn mã độc, chiếm quyền điều khiển hoàn toàn ứng dụng và thực thi mã lệnh từ xa đến server, thực hiện các hành vi như thay đổi giao diện trang web, đánh cắp dữ liệu…
Lỗ hồng này tồn tại trên các phiên bản Liferay 7.2.1 CE GA2 trở về trước và hiện tại Liferay đã tung ra các bản vá kịp thời ở các phiên bản Liferay Portal 7.1 GA4, 7.0 GA7 và 6.2 GA6.
Chuyên gia VSEC khuyến cáo các doanh nghiệp hiện sử dung nền tảng Liferay cần cập nhật lên các phiên bản mới nhất. Thực hiện cấu hình cho Liferay chỉ được phép sử dụng các hàm chuyển đổi cấu trúc dữ liệu được an toàn.
5. CVE-2019-11469: Lỗ hổng SQL Injection trên ứng dụng ManageEngine Application Manager (MEAM)
Lỗ hổng SQL Injection tồn tại ở các ứng dụng quản trị hệ thống doanh nghiệp sử dụng ManageEngine Application Manager phiên bản 14072 trở về trước, cho phép kẻ tấn công có thể nhập dữ liệu vào cơ sở dữ liệu của trang web qua các thông số gửi lên server.
Lỗ hổng SQL Injection trên ứng dụng ManageEngine Application Manager. Ảnh chụp màn hình
Tin tặc sẽ lợi dụng lỗ hổng này để chiếm quyền điều khiển server bằng cách thêm mới một tài khoản quản trị với quyền cao nhất. Vì ManageEngine yêu cầu quyền đăng nhập đến các máy chủ được giám sát, nên hacker dễ dàng có thể chiếm quyền toàn bộ hạ tầng các máy chủ được giám sát bởi ứng dụng MEAM, từ đó có thể trích xuất các dữ liệu quan trọng của hệ thống, cài đặt mã độc trên toàn bộ hệ thống gây thiệt hại nặng nề
Hiện nay, Zoho đã tung ra bản vá cho các phiên bản MEAM. Vì vậy các chuyên gia VSEC khuyến cáo các doanh nghiệp nên cập nhật phần mềm MEAM lên phiên bản mới nhất có thể.
FPT Jetking là một trong số ít cơ sở hàng đầu đào tạo ngành an ninh mạng tại Việt Nam. FPT Jetking thuộc Viện Đào tạo quốc tế FPT, là đơn vị liên kết giữa tổ chức giáo dục FPT với Jetking Ấn Độ. FPT Jetking đào tạo chuyên sâu về quản trị hạ tầng an ninh mạng. Sinh viên tại đây có khả năng làm việc ngay sau khi tốt nghiệp trong những lĩnh vực đang là xu hướng mới, có nhu cầu nhân lực lớn trong ngành CNTT toàn cầu như an ninh mạng, quản trị mạng, quản trị hệ thống, điện toán đám mây…
Thành Luân
(nguồn Thanh Niên Online)