Lỗ hổng bảo mật trên ứng dụng Jenkins cho phép tin tặc điều khiển máy tính từ xa
Lỗ hổng có định danh CVE-2019-10392, được chuyên gia bảo mật Francessco Soncina người Hà Lan phát hiện. Lỗ hổng này có thể giúp tin tặc dễ dàng chiếm quyền điều khiển máy chủ, kiểm soát toàn bộ hệ thống thông tin của doanh nghiệp và thực hiện các hoạt động trái phép như đánh cắp thông tin, phát tán dữ liệu mật, thực hiện các hành vi giao dịch trái phép từ tài khoản khách hàng…
Các chuyên gia bảo mật của VSEC đã nghiên cứu và công bố cách thức tin tặc tấn công vào hệ thống thông qua lỗ hổng này. Để khai thác thành công, tin tặc cần tài khoản người dùng cùng quyền cấu hình Job/Configure (USE_ITEM) và Git Client Plugin từ phiên bản 2.8.4 trở về trước. Việc không kiểm soát giá trị đầu vào tại tham số Repository URL trong Git Client Plugin đã giúp tin tặc thực thi mã trái phép trên máy chủ.
Chuyên gia bảo mật của VSEC cho biết, hệ thống CI (Continuous Integration) là một trong những hệ thống được sử dụng nhiều nhất tại các doanh nghiệp công nghệ Việt Nam. 80% doanh nghiệp có hệ thống CI đều sử dụng ứng dụng Jenkins để giúp tự động hoá nhiều công đoạn phát triển phần mềm và các sản phẩm có nhiều người dùng như mạng xã hội hay các trang thương mại điện tử. Hiện có hơn 200.000 máy chủ công khai trên Internet cài đặt ứng dụng Jenkins phiên bản có lỗ hổng.
VSEC khuyến cáo các tổ chức, doanh nghiệp cần cập nhật Git Client Plugin của Jenkins phiên bản mới. Ngoài ra, các doanh nghiệp cần hạn chế công khai các hệ thống đang sử dụng trong mạng nội bộ, cấu hình Whitelist các địa chỉ IP truy cập vào các hệ thống quan trọng, đồng thời cài đặt mật khẩu mạnh đối với tài khoản hệ thống, kể cả tài khoản có ít quyền truy cập.
M.C