Mã nguồn trên NuGet tồn tại lỗ hổng cho phép tin tặc tấn công nền tảng .NET

10:00 | 21/07/2021 | LỖ HỔNG ATTT

Một nghiên cứu mới đây về các gói tiêu chuẩn trên không gian lưu trữ NuGet chỉ ra, có đến 51 thành phần phần mềm đơn lẻ tồn tại các lỗ hổng có mức độ nghiêm trọng và đang bị khai thác. Nghiên cứu một lần nữa cho thấy mối đe dọa mà quá trình phát triển phần mềm phải đối mặt khi phụ thuộc vào các bên thứ ba.

Mã nguồn trên NuGet tồn tại lỗ hổng cho phép tin tặc tấn công nền tảng .NET

Nhà nghiên cứu Karlo Zanki (ReversingLabs) cho biết, trong bối cảnh ngày càng có nhiều sự cố tấn công vào các chuỗi cung ứng phần mềm, việc đánh giá rủi ro bảo mật và giảm thiểu nguy cơ bị tấn công của các môđun bên thứ ba là vô cùng cấp thiết. Đối tượng trong nghiên cứu là các phiên bản khác nhau của 7Zip, WinSCP và PuTTYgen, những chương trình cung cấp chức năng mạng và nén phức tạp. Chúng liên tục được cập nhật để cải thiện chức năng và giải quyết các lỗ hổng bảo mật. Tuy nhiên, đôi khi xảy ra tình huống các chương trình được cập nhật nhưng vẫn sử dụng thành phần phụ thuộc là các phiên bản cũ có nhiều lỗ hổng.

Trong một trường hợp, thư viện quản lý tệp máy chủ từ xa “WinSCPHelper” với hơn 35.000 lượt tải xuống, sử dụng phiên bản WinSCP 5.11.2 cũ vẫn tồn tại lỗ hổng.

Các nhà nghiên cứu đã chỉ ra rằng hơn 50.000 thành phần phần mềm trong các gói NuGet được liên kết tĩnh với phiên bản chưa được cập nhật của thư viện “zlib”, khiến chúng đứng trước nguy cơ bị tấn công thông qua một loạt lỗ hổng như CVE-2016-9840, CVE- 2016-9841, CVE-2016-9842 và CVE-2016-9843. Một số gói có lỗ hổng zlib là “DicomObjects” và “librdkafka.redist”, mỗi gói được tải xuống khoảng 18,2 triệu lần.

Đáng lưu ý, "librdkafka.redist “là một thành phần phụ thuộc cho một số gói phổ biến khác, bao gồm cả ứng dụng .NET của Confluent cho Apache Kafka (Confluent.Kafka) với hơn 17,6 triệu lượt tải.

Các công ty phát triển giải pháp phần mềm cần nhận thức rõ hơn về những rủi ro và tham gia nhiều hơn vào quá trình xử lý. Cả đầu vào và đầu ra cuối cùng của quá trình phát triển phần mềm đều cần được kiểm tra để phát hiện các vấn đề về chất lượng mã và tính xác thực. Phát triển phần mềm minh bạch là một trong những nền tảng cần thiết để phát hiện sớm và ngăn chặn các cuộc tấn công chuỗi cung ứng phần mềm.

M.H

‹ › ×

Tin liên quan

Adobe phát hành mã nguồn mở 'one-stop shop' phát hiện các mối đe dọa bảo mật và dữ liệu bất thường

15:00 | 31/05/2021

Dự án mã nguồn mở phát hiện bất thường one-stop shop của Adobe trên GitHub, đã được phát triển để giúp phát hiện các bất thường trong tập dữ liệu dễ dàng hơn, cũng như cải thiện quá trình xử lý và định dạng dữ liệu nhật ký bảo mật.

Liquid Global bị tin tặc tấn công chiếm đoạt 94 triệu USD

11:00 | 29/08/2021

Sàn tiền số Liquid Global (Nhật Bản) cho biết đã bị tin tặc tấn công, chiếm đoạt số tiền ảo trị giá hơn 94 triệu USD.

Ứng dụng OpenNMS trong giám sát an ninh mạng (phần 1)

07:00 | 06/08/2021

Phát triển công nghệ mở phục vụ chuyển đổi số, triển khai chính phủ điện tử là một định hướng quan trọng của chiến lược phát triển trong những năm tới đây của các Bộ, Ban, Ngành. Một phần quan trọng trong phát triển công nghệ mở là phát triển, sử dụng các giải pháp mã nguồn mở. Việc xây dựng, triển khai hệ thống giám sát an ninh mạng tại các tổ chức, doanh nghiệp cũng nên xem xét các giải pháp mã nguồn mở như OpenMNS, Zabbix, Spunk,... để ứng dụng hiệu quả cho các hệ thống mạng.

Vụ SolarWinds - tin tặc đánh cắp một số mã nguồn của Microsoft

08:00 | 22/02/2021

Sau khi kết thúc cuộc điều tra về vụ tấn công SolarWinds, Microsoft phát hiện một số mã nguồn đã bị đánh cắp, nhưng không có bằng chứng nào cho thấy tin tặc lợi dụng hệ thống nội bộ của hãng để tấn công các công ty khác hoặc giành quyền truy cập vào các dịch vụ hoặc dữ liệu khách hàng.

10 công cụ thu thập thông tin thông minh mã nguồn mở phổ biến

08:00 | 22/02/2021

Internet đã trở thành một phần không thể thiếu đối với cuộc sống của con người, nó mang lại rất nhiều lợi ích như cung cấp những ứng dụng, thông tin trao đổi phục vụ công việc, học tập, giải trí... Tuy nhiên, người dùng Internet cũng phải đối mặt với nhiều rủi ro mất an toàn thông tin. Thông tin trên In-ternet của người dùng có thể bị sử dụng bởi người khác. Thông tin đó có thể ở nhiều dạng khác nhau như âm thanh, video, hình ảnh, văn bản hay tập tin.

Tin cùng chuyên mục

Tin tặc khai thác lỗ hổng OpenMetadata để khai thác tiền điện tử trên Kubernetes

14:00 | 25/04/2024

Nhóm tình báo mối đe dọa Threat Intelligence của Microsoft cho biết, các tác nhân đe dọa đang tích cực khai thác các lỗ hổng nghiêm trọng trong OpenMetadata để có quyền truy cập trái phép vào khối lượng workload trong Kubernetes và lạm dụng chúng cho hoạt động khai thác tiền điện tử.

Phân tích phiên bản mới của phần mềm độc hại RisePro nhắm mục tiêu vào người dùng GitHub

14:00 | 11/04/2024

RisePro là một trình đánh cắp thông tin dưới dạng dịch vụ, được phát hiện lần đầu tiên vào năm 2022. Tuy nhiên, mới đây phần mềm độc hại này đã xuất hiện trở lại với mã hóa chuỗi mới. Các nhà nghiên cứu tới từ công ty an ninh mạng G Data CyberDefense AG (Đức) tìm thấy một số kho GitHub cung cấp phần mềm bẻ khóa được sử dụng để phân phối RisePro.

Chính phủ Pháp bị tấn công mạng

16:00 | 15/03/2024

Ngày 11/3, Văn phòng Thủ tướng Pháp thông báo một số cơ quan nhà nước của Pháp đã bị tấn công mạng với cường độ chưa từng có đồng thời nhấn mạnh rằng chính phủ đã có thể hạn chế tác động từ vụ việc này.

Khám phá chiến dịch phát tán RAT độc hại thông qua các nền tảng họp trực tuyến

10:00 | 13/03/2024

Các nhà nghiên cứu của công ty bảo mật đám mây Zscaler (Hoa Kỳ) cho biết, kể từ tháng 12/2023 các tác nhân đe dọa đã tạo ra các trang web giả mạo phần mềm họp trực tuyến phổ biến như Google Meet, Skype và Zoom để phát tán Trojan truy cập từ xa (RAT), bao gồm SpyNote RAT cho nền tảng Android, NjRAT và DCRat trên Windows.