CISA và FBI cảnh báo các tác nhân đe dọa lợi dụng các lỗ hổng phần mềm Path Traversal trong các cuộc tấn công nhắm vào cơ sở hạ tầng quan trọng. Các tác nhân đe dọa có thể khai thác các lỗ hổng Path Traversal (còn được gọi là Directory Traversal) để tạo hoặc ghi đè các tệp quan trọng nhằm thực thi mã hoặc bỏ qua các cơ chế bảo mật như xác thực.
Được biết, Path Traversal là một lỗ hổng bảo mật phổ biến trên các ứng dụng web. Lỗ hổng này cho phép kẻ tấn công truy cập vào các tệp tin và thư mục trên máy chủ web vốn không được phép truy cập. Điều này có thể gây ra nhiều nguy hiểm cho hệ thống web và dữ liệu của người dùng.
Những lỗ hổng bảo mật như vậy cũng có thể cho phép các tác nhân đe dọa truy cập vào dữ liệu nhạy cảm, chẳng hạn như thông tin xác thực mà sau này có thể được sử dụng để tấn công các tài khoản hiện có nhằm xâm phạm các hệ thống được nhắm mục tiêu.
Một trường hợp khác có thể xảy ra là chặn quyền truy cập vào các hệ thống dễ bị tấn công bằng cách ghi đè, xóa hoặc làm hỏng các tệp quan trọng được sử dụng để xác thực (điều này sẽ khóa tất cả người dùng).
CISA và FBI cho biết: “Lỗ hổng Path Traversal dễ bị khai thác thành công vì thông thường các nhà phát triển công nghệ không xác định nội dung do người dùng cung cấp là có khả năng độc hại, do đó không bảo vệ đầy đủ khách hàng của họ. Các lỗ hổng như Path Traversal đến nay vẫn được xem là một trong những lỗ hổng phổ biến”.
Cảnh báo chung này được đưa ra khi thời gian gần đây các chiến dịch tấn công mạng đã khai thác các lỗ hổng Path Traversal trong phần mềm (ví dụ như CVE-2024-1708 hay CVE-2024-20345) để xâm phạm người dùng sử dụng các phần mềm, ảnh hưởng đến các lĩnh vực cơ sở hạ tầng quan trọng, trong đó có ngành y tế.
Ví dụ: Lỗ hổng Path Traversal ScreenConnect CVE-2024-1708 có liên quan đến lỗ hổng vượt qua xác thực CVE-2024-1709 trong các cuộc tấn công mã độc tống tiền Black Basta và Bl00dy để phân phối CobaltStrike beacon và các biến thể của mã độc tống tiền LockBit.
CISA và FBI khuyến nghị các nhà phát triển phần mềm nên triển khai các biện pháp giảm thiểu nhằm ngăn chặn các lỗ hổng Path Traversal, bao gồm:
- Tạo mã định danh ngẫu nhiên cho từng tệp và lưu trữ siêu dữ liệu (metadata) liên quan riêng biệt (ví dụ trong cơ sở dữ liệu) thay vì sử dụng thông tin đầu vào của người dùng khi đặt tên tệp.
- Giới hạn chặt chẽ các loại ký tự có thể được cung cấp trong tên tệp.
- Đảm bảo rằng các tệp đã tải lên (upload) không có quyền thực thi.
CISA hiện liệt kê 55 lỗ hổng Path Traversal trong Danh mục các lỗ hổng bị khai thác đã biết (KEV). CISA và FBI cũng nhấn mạnh rằng vòng đời phát triển phần mềm an toàn theo thiết kế là cơ sở để loại bỏ các lỗ hổng bảo mật, bao gồm cả Path Traversal.
Hai cơ quan cho biết, bằng cách thực hiện đầy đủ các nguyên tắc và thực tiễn thiết kế an toàn được khuyến nghị, các nhà sản xuất phần mềm có thể bảo vệ khách hàng của họ trước các mối đe dọa tấn công độc hại.
Trước đây, tháng 3/2024, CISA và FBI đã đưa ra một cảnh báo bảo mật khác, kêu gọi giám đốc điều hành của các công ty sản xuất phần mềm thực hiện các biện pháp giảm thiểu để ngăn chặn các lỗ hổng bảo mật SQL Injection.
Vũ Mạnh Hà
(Tổng hợp)
09:00 | 04/03/2024
13:00 | 17/04/2024
09:00 | 20/06/2024
13:00 | 23/01/2024
10:00 | 17/02/2025
Ứng dụng DeepSeek của Trung Quốc đã gây chú ý khi trở thành ứng dụng miễn phí phổ biến nhất trên App Store, tuy nhiên nó cũng kéo theo nỗi lo nhất định.
14:00 | 24/01/2025
Với nhu cầu đổi tiền mới, tiền lẻ để mừng tuổi hoặc làm quà tặng trong dịp Tết Nguyên Đán, các dịch vụ đổi tiền trên mạng xã hội đã trở thành một trong những lĩnh vực tiềm ẩn nhiều rủi ro. Trong những năm gần đây, hình thức lừa đảo thông qua dịch vụ đổi tiền trên các nền tảng mạng xã hội đang gia tăng mạnh mẽ, đặc biệt là vào thời điểm cận Tết.
15:00 | 10/01/2025
Theo báo cáo từ khảo sát của Hiệp hội An ninh mạng quốc gia, 46,15% cơ quan, doanh nghiệp tại Việt Nam đã bị tấn công mạng trong năm vừa qua.
10:00 | 12/12/2024
Các tin tặc đã sử dụng phần mềm độc hại GodLoader mới, khai thác khả năng của công cụ trò chơi Godot được sử dụng rộng rãi để trốn tránh phát hiện và lây nhiễm hơn 17.000 hệ thống chỉ trong vài tháng, nhằm đánh cắp dữ liệu cá nhân và tiền điện tử trên máy tính mục tiêu.
Chatbot AI DeepSeek đang tạo ra làn sóng chấn động trên Phố Wall và ảnh hưởng mạnh mẽ đến Nvidia, khiến cổ phiếu công ty này bốc hơi 600 tỷ USD chỉ trong một ngày. Không chỉ có vậy, DeepSeek cũng đã vượt qua chatbot AI ChatGPT để vươn lên dẫn đầu trên App Store về danh mục ứng dụng miễn phí. Sự phát triển nhanh chóng mặt này đã khiến các công ty trí tuệ nhân tạo (AI) cũng như các chính phủ phương Tây và Cơ quan Hàng không Vũ trụ Mỹ (NASA) phải lên tiếng cảnh báo.
13:00 | 14/02/2025
Khép lại năm 2024, Lãnh đạo Ban Cơ yếu Chính phủ, cấp ủy, lãnh đạo các cấp trong toàn lực lượng cơ yếu, nhất là đội ngũ cán bộ chủ chốt đã chủ động bám sát yêu cầu nhiệm vụ và thực tiễn, cùng với sự nỗ lực rất lớn của toàn thể cán bộ, nhân viên ngành Cơ yếu Việt Nam tổ chức triển khai đồng bộ, toàn diện trên các mặt công tác, hoàn thành tốt nhiệm vụ được giao, trong đó có nhiều nhiệm vụ hoàn thành xuất sắc, tiếp tục khẳng định vị thế, vai trò đặc biệt quan trọng của hoạt động cơ yếu. Dưới đây là 10 dấu ấn nổi bật trong năm 2024 của ngành Cơ yếu Việt Nam.
08:00 | 29/01/2025
Sự bùng nổ, phát triển của khoa học công nghệ, nhất là trí tuệ nhân tạo (AI) đang đem lại nhiều lợi ích, giúp tăng hiệu suất trên rất nhiều lĩnh vực của đời sống xã hội và tiện nghi cuộc sống cho con người. Tuy nhiên, đi kèm với cơ hội là không ít các rủi ro, thách thức từ sự phát triển quá nhanh chóng của công nghệ.
16:00 | 14/02/2025