Nhà nghiên cứu Karlo Zanki (ReversingLabs) cho biết, trong bối cảnh ngày càng có nhiều sự cố tấn công vào các chuỗi cung ứng phần mềm, việc đánh giá rủi ro bảo mật và giảm thiểu nguy cơ bị tấn công của các môđun bên thứ ba là vô cùng cấp thiết. Đối tượng trong nghiên cứu là các phiên bản khác nhau của 7Zip, WinSCP và PuTTYgen, những chương trình cung cấp chức năng mạng và nén phức tạp. Chúng liên tục được cập nhật để cải thiện chức năng và giải quyết các lỗ hổng bảo mật. Tuy nhiên, đôi khi xảy ra tình huống các chương trình được cập nhật nhưng vẫn sử dụng thành phần phụ thuộc là các phiên bản cũ có nhiều lỗ hổng.
Trong một trường hợp, thư viện quản lý tệp máy chủ từ xa “WinSCPHelper” với hơn 35.000 lượt tải xuống, sử dụng phiên bản WinSCP 5.11.2 cũ vẫn tồn tại lỗ hổng.
Các nhà nghiên cứu đã chỉ ra rằng hơn 50.000 thành phần phần mềm trong các gói NuGet được liên kết tĩnh với phiên bản chưa được cập nhật của thư viện “zlib”, khiến chúng đứng trước nguy cơ bị tấn công thông qua một loạt lỗ hổng như CVE-2016-9840, CVE- 2016-9841, CVE-2016-9842 và CVE-2016-9843. Một số gói có lỗ hổng zlib là “DicomObjects” và “librdkafka.redist”, mỗi gói được tải xuống khoảng 18,2 triệu lần.
Đáng lưu ý, "librdkafka.redist “là một thành phần phụ thuộc cho một số gói phổ biến khác, bao gồm cả ứng dụng .NET của Confluent cho Apache Kafka (Confluent.Kafka) với hơn 17,6 triệu lượt tải.
Các công ty phát triển giải pháp phần mềm cần nhận thức rõ hơn về những rủi ro và tham gia nhiều hơn vào quá trình xử lý. Cả đầu vào và đầu ra cuối cùng của quá trình phát triển phần mềm đều cần được kiểm tra để phát hiện các vấn đề về chất lượng mã và tính xác thực. Phát triển phần mềm minh bạch là một trong những nền tảng cần thiết để phát hiện sớm và ngăn chặn các cuộc tấn công chuỗi cung ứng phần mềm.
M.H
15:00 | 31/05/2021
11:00 | 29/08/2021
07:00 | 06/08/2021
08:00 | 22/02/2021
08:00 | 22/02/2021
14:00 | 25/04/2024
Nhóm tình báo mối đe dọa Threat Intelligence của Microsoft cho biết, các tác nhân đe dọa đang tích cực khai thác các lỗ hổng nghiêm trọng trong OpenMetadata để có quyền truy cập trái phép vào khối lượng workload trong Kubernetes và lạm dụng chúng cho hoạt động khai thác tiền điện tử.
14:00 | 11/04/2024
RisePro là một trình đánh cắp thông tin dưới dạng dịch vụ, được phát hiện lần đầu tiên vào năm 2022. Tuy nhiên, mới đây phần mềm độc hại này đã xuất hiện trở lại với mã hóa chuỗi mới. Các nhà nghiên cứu tới từ công ty an ninh mạng G Data CyberDefense AG (Đức) tìm thấy một số kho GitHub cung cấp phần mềm bẻ khóa được sử dụng để phân phối RisePro.
16:00 | 15/03/2024
Ngày 11/3, Văn phòng Thủ tướng Pháp thông báo một số cơ quan nhà nước của Pháp đã bị tấn công mạng với cường độ chưa từng có đồng thời nhấn mạnh rằng chính phủ đã có thể hạn chế tác động từ vụ việc này.
10:00 | 13/03/2024
Các nhà nghiên cứu của công ty bảo mật đám mây Zscaler (Hoa Kỳ) cho biết, kể từ tháng 12/2023 các tác nhân đe dọa đã tạo ra các trang web giả mạo phần mềm họp trực tuyến phổ biến như Google Meet, Skype và Zoom để phát tán Trojan truy cập từ xa (RAT), bao gồm SpyNote RAT cho nền tảng Android, NjRAT và DCRat trên Windows.
Các chuyên gia bảo mật vừa phát hiện 3 ứng dụng có chứa mã độc trên ứng dụng Google Play dành cho Android. Nếu đã cài đặt một trong 3 ứng dụng này, người dùng nên gỡ bỏ ngay để tránh các rủi ro đáng tiếc.
10:00 | 07/05/2024