Lỗ hổng có mã định danh là CVE-2023-6246, được phát hiện trong hàm _vsyslog_internal() của glibc, gọi bởi các hàm phổ biến syslog và vsyslog để ghi dữ liệu trong các hệ thống ghi log (system message logger).
Lỗ hổng này bắt nguồn từ một lỗi tràn bộ đệm (heap-based buffer overflow) xuất hiện trong glibc 2.37 vào tháng 8/2022 và sau đó được backport (cập nhật từ một phiên bản phần mềm mới về phiên bản cũ hơn) về phiên bản glibc 2.36 để giải quyết một lỗ hổng ít nghiêm trọng hơn có định danh CVE-2022-39046.
Các nhà nghiên cứu bảo mật của công ty công nghệ Qualys (Mỹ) cho biết: “Vấn đề tràn bộ đệm đặt ra một mối đe dọa đáng kể vì nó có thể cho phép leo thang đặc quyền cục bộ, cho phép người dùng không có đặc quyền giành được quyền truy cập root thông qua các dữ liệu độc hại gửi đến các ứng dụng sử dụng các chức năng ghi nhật ký. Mặc dù lỗ hổng này yêu cầu các điều kiện cụ thể để khai thác (chẳng hạn như đối số nhận dạng argv[0] hoặc openlog() dài bất thường)”.
Trong quá trình kiểm tra lỗ hổng, Qualys xác nhận rằng Debian 12 và 13, Ubuntu 23.04 và 23.10 cũng như Fedora 37 đến 39 đều bị ảnh hưởng bởi CVE-2023-6246, cho phép người dùng không có đặc quyền có thể truy cập root trên các bản cài đặt mặc định. Mặc dù, các thử nghiệm chỉ giới hạn ở một số bản phân phối, nhưng các nhà nghiên cứu của Qualys cho biết rằng các bản phân phối khác cũng có thể bị khai thác.
Trong khi phân tích glibc để tìm kiếm các vấn đề bảo mật tiềm ẩn, các nhà nghiên cứu cũng phát hiện ba lỗ hổng khác, hai trong số đó khó khai thác hơn nằm trong hàm _vsyslog_internal() (CVE-2023-6779 và CVE-2023-6780) và lỗ hổng thứ ba (một vấn đề gây hỏng bộ nhớ và chưa được định danh CVE) trong hàm qsort() của glibc.
Saeed Abbasi, Giám đốc sản phẩm tại Đơn vị nghiên cứu mối đe dọa của Qualys cho biết: “Những lỗ hổng này cho thấy sự quan trọng của các biện pháp bảo mật nghiêm ngặt trong việc phát triển phần mềm, đặc biệt là đối với các thư viện quan trọng được sử dụng rộng rãi trên nhiều hệ thống và ứng dụng”.
Trong vài năm qua, các nhà nghiên cứu tại Qualys đã tìm thấy một số lỗ hổng bảo mật trên Linux khác có thể cho phép tin tặc giành quyền kiểm soát hoàn toàn các hệ thống Linux chưa được vá, ngay cả trong cấu hình mặc định.
Các lỗ hổng mà Qualys phát hiện bao gồm một lỗ hổng trong trình tải động ld.so của glibc (Looney Tunables), một lỗ hổng trong thành phần pkexec của Polkit (được đặt tên là PwnKit), một lỗ hổng khác trong lớp hệ thống tệp của Kernel (được đặt tên là Sequoia) và trong chương trình Sudo Unix (còn gọi là Baron Samedit) .
Vài ngày sau khi lỗ hổng Looney Tunables (CVE-2023-4911) được tiết lộ, các PoC đã được công bố trực tuyến và tin tặc bắt đầu khai thác nó một tháng sau đó để đánh cắp thông tin đăng nhập của nhà cung cấp dịch vụ đám mây trong các cuộc tấn công sử dụng phần mềm độc hại Kinsing.
Nhóm Kinsing nổi tiếng với việc triển khai phần mềm độc hại khai thác tiền điện tử trên các hệ thống dựa trên đám mây bị xâm nhập, bao gồm các máy chủ Kubernetes, Docker API, Redis và Jenkins.
CISA sau đó đã thông báo cho các cơ quan liên bang Hoa Kỳ bảo vệ hệ thống Linux của họ trước các cuộc tấn công khai thác lỗ hổng CVE-2023-4911 sau khi thêm nó vào danh mục các lỗ hổng được khai thác tích cực và cảnh báo rằng đây là rủi ro đáng kể cho doanh nghiệp liên bang.
Hà Phương
10:00 | 10/04/2024
15:00 | 13/10/2023
08:00 | 12/03/2024
08:00 | 25/01/2024
13:00 | 20/09/2023
13:00 | 21/08/2024
Mặc dù đã có những biện pháp kiểm duyệt từ Google, tuy nhiên kho ứng dụng Play Store dành cho nền tảng Android vẫn thường xuyên ghi nhận xuất hiện các phần mềm có chứa mã độc.
15:00 | 04/08/2024
Báo cáo của hãng Kaspersky được đưa ra tại chương trình “Tập huấn mô phỏng bảo vệ tương tác của Kaspersky (KIPS)” nhằm hỗ trợ doanh nghiệp chủ động ứng phó với các mối đe dọa phức tạp và không ngừng gia tăng trong bối cảnh kỹ thuật số cho thấy số tài khoản lộ lọt do nhiễm mã độc tại Việt Nam trong những năm gần đây gia tăng đột biến, năm 2023 gấp 31 lần so với năm 2020.
14:00 | 31/05/2024
Các tác nhân đe dọa đang lạm dụng các plugin đoạn mã ít được biết đến hơn cho WordPress để chèn mã PHP độc hại vào các trang web có khả năng thu thập dữ liệu thẻ tín dụng.
09:00 | 21/05/2024
Hơn 50% trong số 90.310 máy chủ được phát hiện đang triển khai dịch vụ Tinyproxy trên Internet dễ bị tấn công bởi một lỗ hổng bảo mật nghiêm trọng chưa được vá trong công cụ proxy HTTP/HTTPS.
Công ty an ninh mạng Lumen Technologies (Mỹ) cho biết, một nhóm tin tặc Trung Quốc đã khai thác một lỗ hổng phần mềm để xâm nhập vào một số công ty Internet tại Hoa Kỳ và nước ngoài.
14:00 | 05/09/2024