Lỗ hổng được phát hiện và báo cáo bởi nhà nghiên cứu bảo mật RyotaK từ ngày 6/4/2021. May mắn, chưa có dấu hiệu nào cho thấy lỗ hổng bị khai thác trong thực tế. Lỗ hổng này liên quan đến một vấn đề trong máy chủ cập nhật thư viện CDNJS cho phép kẻ tấn công thực hiện các lệnh tùy ý, dẫn đến kiểm soát hoàn toàn máy chủ.
Lỗ hổng có thể khai thác bằng cách xuất bản các gói lên CDNJS của Cloudflare bằng GitHub và npm, sử dụng các gói độc hại này để kích hoạt lỗ hổng path traversal, sau đó đánh lừa máy chủ thực thi mã tùy ý để đạt được khả năng thực thi mã từ xa.
Sau khi phân tích, nhà nghiên cứu RyotaK nhận thấy rằng, mã tùy ý có thể được thực thi sau khi khai thác lỗ hổng path traversal từ tệp .tgz được xuất bản tới npm và ghi đè tập lệnh được thực thi thường xuyên trên máy chủ.
Mục tiêu của cuộc tấn công là xuất bản phiên bản mới của một gói được chế tạo đặc biệt vào kho lưu trữ, sau đó đưa vào máy chủ cập nhật thư viện CDNJS để xuất bản, trong quá trình sao chép nội dung của gói độc hại vào tệp lệnh thực thi được lưu trữ trên máy chủ, do đó đạt được khả năng thực thi mã tùy ý.
RyotaK cho biết: "Lỗ hổng có thể dễ dàng bị khai thác và ảnh hưởng đến rất nhiều trang web. Thật khó tưởng tượng hậu quả sẽ ra sao, khi tin tặc sử dụng nó trong các cuộc tấn công chuỗi cung ứng."
M.H
16:00 | 13/07/2021
09:00 | 06/10/2021
15:00 | 19/01/2022
09:00 | 06/07/2021
17:00 | 27/07/2021
15:00 | 02/07/2021
16:00 | 21/01/2022
09:00 | 28/02/2024
Đội ngũ chuyên gia an ninh mạng tại Kaspersky liên tục theo dõi sự phức tạp của các mối đe dọa đối với tổ chức tài chính, bao gồm cả ngân hàng và các mối đe dọa có động cơ tài chính như phần mềm tống tiền đang lan rộng đến nhiều ngành công nghiệp khác nhau. Trong bài viết này, các chuyên gia bảo mật Kaspersky sẽ đánh giá lại các dự đoán của họ trong năm 2023 và đưa ra những xu hướng dự kiến sẽ nổi lên trong năm 2024.
08:00 | 10/02/2024
Các nhà nghiên cứu an ninh mạng của hãng bảo mật Fortinet (Mỹ) đã xác định được các gói độc hại trên kho lưu trữ Python Package Index (PyPI) mã nguồn mở nhằm phân phối phần mềm độc hại đánh cắp thông tin có tên là WhiteSnake trên hệ thống Windows. Bài viết này tập trung phân tích một số payload trên các gói trong kho lưu trữ PyPI.
14:00 | 16/01/2024
Theo nghiên cứu mới đây của Zimperium (công ty bảo mật di động có trụ sở tại Hoa Kỳ), 29 họ phần mềm độc hại đã nhắm mục tiêu vào 1.800 ứng dụng ngân hàng trên 61 quốc gia vào năm 2023. Nhiều hơn gần gấp 3 lần năm 2022 với 10 dòng phần mềm độc hại nhắm mục tiêu đến 600 ứng dụng ngân hàng. Có thể thấy được sự phát triển và tiện lợi của các ứng dụng ngân hàng trực tuyến, tuy nhiên chúng cũng đi kèm với nguy cơ tiềm ẩn về an toàn thông tin và gian lận tài chính.
09:00 | 25/12/2023
Các nhà nghiên cứu tại công ty an ninh mạng Elastic Security Labs (Singapore) cho biết đã phát hiện các kỹ thuật mới được sử dụng bởi phần mềm độc hại GuLoader để khiến việc phân tích trở nên khó khăn hơn. Một trong những thay đổi này là việc bổ sung các ngoại lệ vào tính năng VEH (Vectored Exception Handler) trong một chiến dịch tấn công mạng mới đây.
Trong một xu hướng đáng lo ngại được Bitdefender Labs (Hoa Kỳ) phát hiện gần đây, tin tặc đang tận dụng sự quan tâm ngày càng tăng đối với AI để phát tán các phần mềm độc hại tinh vi. Những kẻ tấn công này đang tung ra các chiến dịch quảng cáo độc hại trên mạng xã hội, giả dạng các dịch vụ AI phổ biến như Midjourney, DALL-E và ChatGPT để đánh lừa người dùng.
10:00 | 22/04/2024