Lỗ hổng nghiêm trọng “tiếp sức” hacker đánh cắp thông tin từ máy chủ

Một phần mềm mã nguồn mở dính lỗ hổng nghiêm trọng khiến các máy chủ có nguy cơ bị tin tặc tấn công cài chương trình độc hại, đánh cắp thông tin, mã hóa dữ liệu...

Lỗ hổng nghiêm trọng “tiếp sức” hacker đánh cắp thông tin từ máy chủ

(Ảnh minh họa. Nguồn: bitcoinexchangeguide.com)

Công ty Cổ phần an ninh mạng Việt Nam (VSEC) chiều 11/5 phát đi cảnh báo việc nhiều doanh nghiệp Việt có thể phải đối mặt với nguy cơ lộ lọt thông tin bởi lỗ hổng trên SaltStack RCE.

SaltStack là một phần mềm mã nguồn mở, dùng để quản lý cấu hình và là công cụ để điều khiển từ xa các ứng dụng trên máy chủ doanh nghiệp, hoạt động với mô hình client-server. Trong đó một máy chủ ra lệnh được gọi là master, còn các máy chủ nhận lệnh từ máy chủ master với các hệ điều hành khác nhau được gọi là minion.

Để khai thác thành công lỗ hổng này, các tin tặc đã sử dụng kết hợp hai mã lỗi được định danh lần lượt là CVE-2020-11651 và CVE-2020-11652 tồn tại trong các phiên bản 3000.1 trở về trước của SaltStack để can thiệp vào quá trình trao đổi dữ liệu giữa máy chủ master và các máy chủ minions.

Theo đại diện VSEC, nếu các lỗ hổng khác sau khi bị khai thác chỉ tác động tại máy chủ tồn tại lỗ hổng thì SaltStack RCE có thể gây ảnh hưởng tới toàn bộ các máy chủ trong hệ thống với mức độ tác động lớn hơn rất nhiều lần.

Tin tặc sau khi khai thác có thể vượt qua xác thực và thu thập khóa điều khiển các máy minions với quyền người dùng cao nhất đồng thời có thể kiểm soát trái phép các thư mục, chiếm toàn quyền với không chỉ máy chủ master mà với toàn bộ các máy minions. Từ đó, kẻ tấn công có thể cài đặt trái phép các chương trình độc hại, phần mềm đào bitcoin, thậm chí là cài đặt vào các gián điệp hoặc mã độc mã hóa tống tiền dữ liệu.

Ông Trương Đức Lượng, CEO của VSEC cho hay hiện có rất nhiều doanh nghiệp lớn trên thế giới đang sử dụng SaltStack để hỗ trợ quản lý máy chủ như DigiCert Inc., LineageOS…

“Tại Việt Nam, rất nhiều doanh nghiệp cung cấp dịch vụ, hạ tầng công nghệ thông tin cũng đang đang sử dụng phần mềm mở này. Nếu hạ tầng của các doanh nghiệp này bị tấn công có thể dẫn đến các máy chủ, dữ liệu của các khách hàng bị rò rỉ, gây ảnh hưởng hàng trăm nghìn doanh nghiệp,” ông Lượng cảnh báo.

Do đó, chuyên gia VSEC khuyến nghị người dùng cài đặt chế độ tự động cập nhật cho SaltStack để đảm bảo hệ thống luôn sử dụng những bản vá bảo mật mới nhất. Thắt chặt quyền truy cập vào máy chủ master, thu hẹp phạm vi những thiết bị có thể truy cập vào các cổng mặc định của SaltStack...

Theo Vietnam+

Đọc thêm

Cách cài ChatGPT làm tìm kiếm mặc định trên iPhone

Cách cài ChatGPT làm tìm kiếm mặc định trên iPhone

Apple vừa bổ sung thêm một vài tính năng trong bản iOS mới đầy hữu ích, cho phép bạn đặt ChatGPT làm công cụ tìm kiếm mặc định trên điện thoại iPhone. Điều này giúp bạn truy vấn thông tin nhanh hơn, nhận câu trả lời thông minh mà không cần mở ứng dụng riêng.
Tin vui cho người dùng điện thoại Samsung

Tin vui cho người dùng điện thoại Samsung

Samsung xác nhận One UI 7 sẽ được phát hành trong tháng 4, mang đến trải nghiệm mới nhờ nâng cấp AI, cải tiến bảo mật và giao diện mới trên loạt thiết bị Galaxy.
iPhone và iPad gập lộ ngày lên kệ

iPhone và iPad gập lộ ngày lên kệ

Nhà phân tích Jeff Pu cho biết Apple sắp bắt đầu sản xuất mẫu thử cho hai thiết bị có thể gập đầu tiên và lên kế hoạch sản xuất hàng loạt vào năm 2026.
Cách bật bình luận trên Story Facebook iPhone

Cách bật bình luận trên Story Facebook iPhone

Tính năng bình luận trên Story Facebook mang lại những tiện ích đáng kể cho người dùng. Đây là cách để bạn kết nối, tương tác trực tiếp với những người xem story của mình.
Tại sao Zalo gọi đến không hiện lên màn hình?

Tại sao Zalo gọi đến không hiện lên màn hình?

Zalo không chỉ là phương tiện liên lạc mà còn là một công cụ đắc lực hỗ trợ cho công việc hằng ngày. Tuy nhiên, ứng dụng này cũng hay thường xuyên xảy ra lỗi gây bất tiện cho người dùng.
5 cách đơn giản khắc phục lỗi Bluetooth trên điện thoại

5 cách đơn giản khắc phục lỗi Bluetooth trên điện thoại

Bluetooth là một công nghệ không dây phổ biến, giúp kết nối các thiết bị như điện thoại, tai nghe, loa, bàn phím, chuột… một cách thuận tiện. Tuy nhiên, đôi khi người dùng có thể gặp lỗi không kết nối được Bluetooth, gây gián đoạn trải nghiệm.
Cách tải ảnh TikTok không dính ID trên máy tính

Cách tải ảnh TikTok không dính ID trên máy tính

Khi xem những bức ảnh thú vị trên TikTok, bạn có thể muốn lưu chúng về máy tính mà không bị dính ID người dùng. Việc tải ảnh từ TikTok không hề khó khăn nếu bạn biết đúng cách.
Làm sao tải Story Instagram về điện thoại nhanh chóng?

Làm sao tải Story Instagram về điện thoại nhanh chóng?

Story trên Instagram thường chứa những khoảnh khắc thú vị mà bạn muốn lưu giữ hoặc chia sẻ lại. Việc tải Story về điện thoại không chỉ giúp bạn dễ dàng truy cập ngoại tuyến mà còn là cách để lưu trữ những nội dung yêu thích.
Cách tạo đề thi bằng AI siêu tiện lợi

Cách tạo đề thi bằng AI siêu tiện lợi

Công nghệ AI ngày càng phát triển, giúp việc soạn đề thi trên máy tính trở nên nhanh chóng và hiệu quả hơn. Thay vì làm thủ công, bạn có thể dùng AI để tạo đề thi theo từng môn học.
iPhone mới gây ngạc nhiên

iPhone mới gây ngạc nhiên

iPhone 16e mới có thể không phải là phiên bản kế nhiệm iPhone SE giá rẻ mà nhiều người mong đợi, nhưng thiết bị mang đến một bất ngờ lớn và rất thú vị.
Loạt laptop AI hiệu năng cao

Loạt laptop AI hiệu năng cao

Lenovo, Asus, MSI chọn trang bị vi xử lý AMD Ryzen AI với NPU tích hợp để tăng tốc độ, hiệu năng AI cho các sản phẩm ở nhiều phân khúc.