Lỗ hổng nghiêm trọng trong thư viện CDNJS có thể dẫn đến tấn công chuỗi cung ứng

18:00 | 22/07/2021 | LỖ HỔNG ATTT

Tháng 6/2021, Công ty bảo mật và cơ sở hạ tầng web Cloudflare (Hoa Kỳ) đã khắc phục một lỗ hổng nghiêm trọng trong thư viện CDNJS được sử dụng bởi 12,7% các trang web trên toàn thế giới.

Lỗ hổng nghiêm trọng trong thư viện CDNJS có thể dẫn đến tấn công chuỗi cung ứng

Lỗ hổng được phát hiện và báo cáo bởi nhà nghiên cứu bảo mật RyotaK từ ngày 6/4/2021. May mắn, chưa có dấu hiệu nào cho thấy lỗ hổng bị khai thác trong thực tế. Lỗ hổng này liên quan đến một vấn đề trong máy chủ cập nhật thư viện CDNJS cho phép kẻ tấn công thực hiện các lệnh tùy ý, dẫn đến kiểm soát hoàn toàn máy chủ.

Lỗ hổng có thể khai thác bằng cách xuất bản các gói lên CDNJS của Cloudflare bằng GitHub và npm, sử dụng các gói độc hại này để kích hoạt lỗ hổng path traversal, sau đó đánh lừa máy chủ thực thi mã tùy ý để đạt được khả năng thực thi mã từ xa.

Sau khi phân tích, nhà nghiên cứu RyotaK nhận thấy rằng, mã tùy ý có thể được thực thi sau khi khai thác lỗ hổng path traversal từ tệp .tgz được xuất bản tới npm và ghi đè tập lệnh được thực thi thường xuyên trên máy chủ.

Mục tiêu của cuộc tấn công là xuất bản phiên bản mới của một gói được chế tạo đặc biệt vào kho lưu trữ, sau đó đưa vào máy chủ cập nhật thư viện CDNJS để xuất bản, trong quá trình sao chép nội dung của gói độc hại vào tệp lệnh thực thi được lưu trữ trên máy chủ, do đó đạt được khả năng thực thi mã tùy ý.

RyotaK cho biết: "Lỗ hổng có thể dễ dàng bị khai thác và ảnh hưởng đến rất nhiều trang web. Thật khó tưởng tượng hậu quả sẽ ra sao, khi tin tặc sử dụng nó trong các cuộc tấn công chuỗi cung ứng."

M.H

‹ › ×

Tin liên quan

Làm thế nào để doanh nghiệp có thể bảo mật chuỗi cung ứng?

16:00 | 13/07/2021

Trong thực tế, tấn công chuỗi cung ứng sẽ không biến mất mà có dấu hiệu ngày càng gia tăng. Theo thống kê của Trung tâm tài nguyên trộm cắp danh tính (ITRC) trụ sở tại Hoa Kỳ, có 137 tổ chức phải đối mặt với tấn công chuỗi cung ứng từ 27 nhà cung cấp bên thứ ba khác nhau trong quý I năm 2021 (tăng 42% so với quý IV năm 2020). Vậy làm thế nào để các doanh nghiệp có thể giảm thiểu rủi ro khi đối mặt với mối đe doạ ngày càng gia tăng từ tấn công chuỗi cung ứng.

Việt Nam tham gia diễn tập quốc tế ứng cứu sự cố an toàn mạng lần thứ 5

09:00 | 06/10/2021

Ngày 5/10, chương trình diễn tập về ứng cứu sự cố an toàn mạng khu vực ASEAN (ACID) 2021 được tổ chức với chủ đề "Ứng phó tấn công chuỗi cung ứng nhằm vào các tổ chức doanh nghiệp".

Lỗ hổng nghiêm trọng CVE-2021-38178 có thể dẫn đến tấn công chuỗi cung ứng

15:00 | 19/01/2022

Mới đây, nhà cung cấp giải pháp SAP, SecurityBridge (Đức) đã cảnh báo một lỗ hổng nghiêm trọng được vá gần đây trong SAP NetWeaver AS ABAP và ABAP Platform có thể bị lạm dụng để thực hiện các cuộc tấn công chuỗi cung ứng.

Lỗ hổng chuỗi cung ứng IoT gây ảnh hưởng đến hàng triệu camera

09:00 | 06/07/2021

Các chuyên gia bảo mật vừa đưa ra cảnh báo về lỗ hổng chuỗi cung ứng IoT có thể gây ảnh hưởng đến hàng triệu camera được kết nối trên toàn cầu, cho phép kẻ tấn công chiếm đoạt các video phát trực tuyến.

Cảnh báo lỗ hổng bảo mật trên nhiều máy chủ ở Việt Nam

17:00 | 27/07/2021

Trung tâm Giám sát an toàn không gian mạng quốc gia (Bộ TT&TT) cảnh báo nguy cơ tấn công mạng diện rộng do các lỗ hổng mới trong hệ thống máy chủ của các cơ quan, tổ chức ở Việt Nam.

Framework mới của Google giúp ngăn chặn tấn công chuỗi cung ứng phần mềm

15:00 | 02/07/2021

Sau sự cố bảo mật của SolarWinds và Codecov, các cuộc tấn công vào chuỗi cung ứng phần mềm ngày càng dày đặc và trở thành một vấn đề đáng lo ngại. Để đảm bảo tính toàn vẹn của các gói phần mềm và ngăn chặn các sửa đổi trái phép, Google đã đề xuất một giải pháp ngăn chặn mang tên Supply chain Levels for Software Artifacts (SLSA).

CISA cảnh báo Log4j có thể bị lợi dụng cho các cuộc tấn công trong tương lai

16:00 | 21/01/2022

Các quan chức tại Cơ quan An ninh mạng và Cơ sở hạ tầng Hoa Kỳ (CISA) cho biết, bất chấp những lo ngại ban đầu về nguy cơ xảy ra xâm nhập trái phép lan rộng, họ vẫn chưa nhận thấy các tác hại đáng kể nào bắt nguồn từ lỗ hổng trong tiện ích Log4j của Java được công khai vào tháng 12/2021. Tuy vậy, họ không loại trừ khả năng kẻ xấu sử dụng lỗ hổng bảo mật trên để theo dõi các mục tiêu một cách âm thầm và chuẩn bị cho các cuộc tấn công sau này.

Tin cùng chuyên mục

Tin tặc khai thác lỗ hổng OpenMetadata để khai thác tiền điện tử trên Kubernetes

14:00 | 25/04/2024

Nhóm tình báo mối đe dọa Threat Intelligence của Microsoft cho biết, các tác nhân đe dọa đang tích cực khai thác các lỗ hổng nghiêm trọng trong OpenMetadata để có quyền truy cập trái phép vào khối lượng workload trong Kubernetes và lạm dụng chúng cho hoạt động khai thác tiền điện tử.

Cảnh báo 7 hình thức lừa đảo phổ biến

12:00 | 12/04/2024

Mới đây, Cục An toàn thông tin khuyến nghị người dân cảnh giác với 7 hình thức lừa đảo trực tuyến phổ biến, gồm 5 hình thức trong nước và 2 hình thức có quy mô quốc tế.

Tin tặc Nga có liên quan đến cuộc tấn công mạng lớn nhất từ trước đến nay vào cơ sở hạ tầng quan trọng của Đan Mạch

13:00 | 26/02/2024

Tin tặc Nga có thể có liên quan đến cuộc tấn công mạng lớn nhất nhằm vào cơ sở hạ tầng quan trọng của Đan Mạch, 22 công ty liên quan đến hoạt động của ngành năng lượng của nước này đã bị nhắm mục tiêu vào tháng 5/2023.

Khám phá phiên bản cập nhật của phần mềm đánh cắp thông tin Atomic Stealer nhắm mục tiêu vào macOS

08:00 | 19/01/2024

Các nhà nghiên cứu an ninh mạng của hãng bảo mật Malwarebytes (Mỹ) đã xác định được phiên bản cập nhật của phần mềm đánh cắp thông tin trên macOS có tên là Atomic Stealer (hoặc AMOS), cho thấy các tác nhân đe dọa phát triển phần mềm độc hại này đang tích cực nâng cao khả năng của nó. Trong bài viết này sẽ xem xét những thay đổi mới nhất của Atomic Stealer và việc phân phối gần đây các quảng cáo độc hại thông qua công cụ tìm kiếm Google.