Trong một báo cáo, nhà nghiên cứu bảo mật Artur Oleyarsh thuộc đơn vị số 42 của Palo Alto Networks cho biết: “Bằng cách khai thác lỗ hổng này, tin tặc có thể thực thi mã từ xa trên máy chủ yêu cầu xác minh mã web token định dạng JSON được tạo một cách độc hại”.
Lỗ hổng này có mã định danh CVE-2022-23529 có điểm CVSS 7.6, ảnh hưởng đến tất cả các phiên bản của thư viện, bao gồm cả phiên bản 8.5.1 trở xuống và đã được xử lý trong phiên bản 9.0.0.
Jsonwebtoken, được phát triển và cập nhật bởi Okta's Auth0, là một mô-đun JavaScript cho phép người dùng giải mã, xác minh và tạo mã web token định dạng JSON như một phương tiện truyền thông tin an toàn giữa hai bên để ủy quyền và xác thực. Nó có hơn 10 triệu lượt tải xuống hàng tuần trên sổ đăng ký phần mềm npm và được hơn 22.000 dự án sử dụng.
Do đó, khả năng chạy mã độc hại trên máy chủ có thể phá vỡ các đảm bảo về tính bảo mật và tính toàn vẹn, có khả năng cho phép tin tặc ghi đè lên các tệp tùy ý trên máy chủ và thực hiện bất kỳ hành động nào mà chúng chọn bằng cách sử dụng khóa bí mật bị nhiễm độc. Hiện nay, phần mềm mã nguồn mở được nhắm đến đầu tiên bởi tin tặc thực hiện các cuộc tấn công chuỗi cung ứng. Do đó, các lỗ hổng trong các phần mềm đó phải được người dùng chủ động xác định, giảm thiểu và cập nhật bản vá.
Có một thực tế là tội phạm mạng hiện nay đã nhanh hơn rất nhiều trong việc khai thác các lỗ hổng mới được tiết lộ. Để chống lại vấn đề này, Google, vào tháng trước, đã công bố phát hành OSV-Scanner, một tiện ích mã nguồn mở nhằm xác định tất cả các thư viện mà dự án sử dụng và làm nổi bật những lỗ hổng của các thư viện này.
Bùi Thanh ( Theo The Hacker News)
08:00 | 19/12/2022
15:00 | 03/09/2023
16:00 | 01/11/2022
16:00 | 19/10/2022
09:00 | 06/02/2023
12:00 | 10/03/2023
13:00 | 20/11/2023
VideoLAN vừa phát hành phiên bản VLC Media Player 3.0.20, hiện đã có sẵn cho hệ điều hành Windows, Mac và Linux để giải quyết hai lỗ hổng nghiêm trọng.
13:00 | 13/11/2023
TriangleDB là phần mềm độc hại chính được sử dụng trong chiến dịch Operation Triangulation nhắm vào thiết bị iOS trong các cuộc tấn công zero-click. Bài viết này trình bày chi tiết một khía cạnh quan trọng của cuộc tấn công, bao gồm các module tính năng lén lút được thực hiện bởi các tác nhân đe dọa cùng với những thông tin về các thành phần được sử dụng, dựa trên báo cáo phân tích mới đây của hãng bảo mật Kaspersky.
07:00 | 03/11/2023
Hiện nay, ngày càng có nhiều nhà phát triển phần mềm độc hại sử dụng kết hợp đa ngôn ngữ lập trình để vượt qua các hệ thống bảo mật phát hiện nâng cao. Trong đó, phần mềm độc hại Node.js Lu0Bot là minh chứng nổi bật cho xu hướng này. Bằng cách nhắm mục tiêu vào môi trường runtime - thường được sử dụng trong các ứng dụng web hiện đại và sử dụng tính năng che giấu nhiều lớp, Lu0Bot là mối đe dọa nghiêm trọng đối với các tổ chức và cá nhân. Trong phần I của bài viết sẽ khám phá kiến trúc của phần mềm độc hại này.
09:00 | 08/08/2023
Các chuyên gia an ninh mạng tại nhóm bảo mật MalwareHunterTeam gần đây đã phát hiện hoạt động mới của mã độc tống tiền Abyss Locker, được thiết kế nhằm phát triển bộ mã hóa Linux để nhắm mục tiêu đến nền tảng máy ảo ESXi của VMware trong các cuộc tấn công vào doanh nghiệp.
VideoLAN vừa phát hành phiên bản VLC Media Player 3.0.20, hiện đã có sẵn cho hệ điều hành Windows, Mac và Linux để giải quyết hai lỗ hổng nghiêm trọng.
13:00 | 20/11/2023