200.000 máy chủ cài Jenkins gặp lỗi

Một lỗ hổng được phát hiện trên Jenkins, ứng dụng nguồn mở tự động hóa nhiều công đoạn phát triển phần mềm, giúp hacker chiếm quyền điều khiển máy tính.

Theo chuyên gia bảo mật người Hà Lan Francesco Soncina, thông qua lỗ hổng này, hacker sẽ chiếm được quyền điều khiển máy chủ, kiểm soát toàn bộ hệ thống thông tin của công ty và thực hiện những hoạt động sinh hoạt trái phép như đánh cắp thông tin, phát tán dữ liệu mật…

Hiện có hơn 200.000 máy chủ cài đặt Jenkins chứa lỗ hổng được công khai trên Internet.

Ảnh: Testools.

Công ty An ninh mạng Việt Nam VSEC đánh giá lỗ hổng ở mức nghiêm trọng đối với bộ phận dàn máy tính của công ty Việt. Cụ thể, hiện nay, CI (Continuous Integration) là 1 trong hệ thống phổ biến nhất tại các doanh nghiệp công nghệ Việt Nam, và 80% doanh nghiệp sử dụng hệ thống CI đều dùng Jenkins để tự động hoá trong nhiều công đoạn phát triển phần mềm và sản phẩm có nhiều người dùng như các trang buôn bán điện tử, mạng xã hội, ứng dụng chat…

Lỗ hổng phát triển ra trên Git Client Plugin của Jenkins từ bản 2.8.4 trở về trước. Việc không kiểm soát giá trị đầu vào tại tham số Repository URL trong Git Client Plugin là mấu chốt giúp hacker thực thi mã lệnh trái phép trên máy chủ.

VSEC khuyến cáo các tổ chức, doanh nghiệp cập nhật bản mới nhất của Git Client Plugin. Ngoài ra, doanh nghiệp cần hạn chế công khai các hệ thống đang sử dụng trong mạng nội bộ, cấu hình Whitelist các IP được truy cập vào các hệ thống quan trọng, đồng thời cài đặt mật khẩu mạnh đối với tài khoản hệ thống kể cả tài khoản có quyền hạn thấp.

Châu An

Nguồn:vnexpress

Bài viết 200.000 máy chủ cài Jenkins gặp lỗi đã xuất hiện đầu tiên vào ngày Đồ Chơi Công Nghệ.

source https://dochoicongnghe.com.vn/200-000-may-chu-cai-jenkins-gap-loi-4774.html