Nhà nghiên cứu Karlo Zanki (ReversingLabs) cho biết, trong bối cảnh ngày càng có nhiều sự cố tấn công vào các chuỗi cung ứng phần mềm, việc đánh giá rủi ro bảo mật và giảm thiểu nguy cơ bị tấn công của các môđun bên thứ ba là vô cùng cấp thiết. Đối tượng trong nghiên cứu là các phiên bản khác nhau của 7Zip, WinSCP và PuTTYgen, những chương trình cung cấp chức năng mạng và nén phức tạp. Chúng liên tục được cập nhật để cải thiện chức năng và giải quyết các lỗ hổng bảo mật. Tuy nhiên, đôi khi xảy ra tình huống các chương trình được cập nhật nhưng vẫn sử dụng thành phần phụ thuộc là các phiên bản cũ có nhiều lỗ hổng.
Trong một trường hợp, thư viện quản lý tệp máy chủ từ xa “WinSCPHelper” với hơn 35.000 lượt tải xuống, sử dụng phiên bản WinSCP 5.11.2 cũ vẫn tồn tại lỗ hổng.
Các nhà nghiên cứu đã chỉ ra rằng hơn 50.000 thành phần phần mềm trong các gói NuGet được liên kết tĩnh với phiên bản chưa được cập nhật của thư viện “zlib”, khiến chúng đứng trước nguy cơ bị tấn công thông qua một loạt lỗ hổng như CVE-2016-9840, CVE- 2016-9841, CVE-2016-9842 và CVE-2016-9843. Một số gói có lỗ hổng zlib là “DicomObjects” và “librdkafka.redist”, mỗi gói được tải xuống khoảng 18,2 triệu lần.
Đáng lưu ý, "librdkafka.redist “là một thành phần phụ thuộc cho một số gói phổ biến khác, bao gồm cả ứng dụng .NET của Confluent cho Apache Kafka (Confluent.Kafka) với hơn 17,6 triệu lượt tải.
Các công ty phát triển giải pháp phần mềm cần nhận thức rõ hơn về những rủi ro và tham gia nhiều hơn vào quá trình xử lý. Cả đầu vào và đầu ra cuối cùng của quá trình phát triển phần mềm đều cần được kiểm tra để phát hiện các vấn đề về chất lượng mã và tính xác thực. Phát triển phần mềm minh bạch là một trong những nền tảng cần thiết để phát hiện sớm và ngăn chặn các cuộc tấn công chuỗi cung ứng phần mềm.
M.H
15:00 | 31/05/2021
11:00 | 29/08/2021
07:00 | 06/08/2021
08:00 | 22/02/2021
08:00 | 22/02/2021
10:00 | 04/03/2024
Mới đây, công ty sản xuất camera Wyze đã chia sẻ thông tin chi tiết về sự cố bảo mật đã ảnh hưởng đến hàng nghìn người dùng vào hôm 16/02 và cho biết ít nhất 13.000 khách hàng có thể xem clip từ camera nhà của những người dùng khác.
14:00 | 22/02/2024
Các nhà nghiên cứu của hãng bảo mật Kaspersky đã phát hiện ra một dòng phần mềm độc hại mới được phân phối một cách bí mật thông qua các ứng dụng, phần mềm bẻ khóa (crack), nhắm mục tiêu vào ví tiền điện tử của người dùng macOS. Theo các nhà nghiên cứu, mối đe dọa mới này có những tính năng nổi trội hơn so với việc cài đặt trái phép Trojan trên các máy chủ proxy đã được phát hiện trước đó.
13:00 | 23/01/2024
Các nhà cung cấp dịch vụ viễn thông, truyền thông, Internet (ISP), nhà cung cấp dịch vụ công nghệ thông tin và các trang web của người Kurd ở Hà Lan đã trở thành mục tiêu của một chiến dịch gián điệp mạng mới do nhóm tin tặc có tên gọi là Sea Turtle thực hiện. Nhóm này hoạt động với động cơ chính trị nhằm thu thập thông tin tình báo phù hợp với những lợi ích của Thổ Nhĩ Kỳ. Bài viết này sẽ cùng phân tích về các hoạt động của nhóm tin tặc này và các kỹ thuật trong chiến dịch mới nhất, dựa trên báo cáo điều tra của công ty an ninh mạng Hunt&Hackett (Hà Lan).
09:00 | 25/12/2023
Các nhà nghiên cứu tại công ty an ninh mạng Elastic Security Labs (Singapore) cho biết đã phát hiện các kỹ thuật mới được sử dụng bởi phần mềm độc hại GuLoader để khiến việc phân tích trở nên khó khăn hơn. Một trong những thay đổi này là việc bổ sung các ngoại lệ vào tính năng VEH (Vectored Exception Handler) trong một chiến dịch tấn công mạng mới đây.
Europol đưa ra thông báo, nền tảng cung cấp dịch vụ lừa đảo (PhaaS) LabHost vừa bị triệt phá trong chiến dịch kéo dài 1 năm của các nhà hành pháp toàn cầu, 37 nghi phạm bị bắt giữ.
14:00 | 24/04/2024