Tối ngày 18/9, VSEC – công ty cổ phần An ninh mạng Việt Nam đã đưa ra cảnh báo khẩn cấp về lỗ hổng bảo mật nghiêm trọng trên ứng dụng mã nguồn mở Jenkins. Nếu khai thác thành công lỗ hổng này, hacker có thể thực thi lệnh trái phép từ xa. Lỗ hổng nghiêm trọng này có thể ảnh hưởng đến tới hệ thống máy tính của nhiều doanh nghiệp Việt Nam.
Theo VSEC, lỗ hổng này có mã là CVE-2019-10392 được đánh giá mức độ nguy hiểm 8/10, được phát hiện bởi chuyên gia bảo mật người Hà Lan Francesco Soncina. Lợi dụng lỗ hổng này, hacker có thể dễ dàng chiếm được quyền điều khiển máy chủ, kiểm soát toàn bộ hệ thống thông tin của doanh nghiệp, từ đó tiến hành các hoạt động trái phép như phát tán dữ liệu mật, đánh cắp thông tin…
Các chuyên gia bảo mật VSEC cho biết, để khai thác thành công lỗ hổng này, hacker cần có tài khoản người dùng cùng quyền cấu hình “Git Client Plugin” và “Job/Configure (USE_ITEM)” từ phiên bản 2.8.4 trở về trước. Yếu tố quan trọng cho phép hacker thực thi mã lệnh trái phép trên máy chủ chính là việc không kiểm soát giá trị đầu vào tại tham số Repository URL trong Git Client Plugin.
Hiện nay, hệ thống CI (Continuous Integration) khá phổ biến tại các doanh nghiệp công nghệ cao tại Việt Nam. 80% trong số đó có hệ thống CI sử dụng ứng dụng Jenkins.
Chuyên gia VSEC cho biết, trên Internet hiện đang công khai hơn 200.000 máy chủ cài đặt Jenkins phiên bản bị lỗi chứa lỗ hổng.
VSEC khuyến cáo các tổ chức, doanh nghiệp nên thực hiện những điều dưới đây để tránh bị ảnh hưởng từ lỗ hổng nghiêm trọng này.
Nhanh chóng cập nhật Git Client Plugin của Jenkins phiên bản mới nhất.
Hạn chế công khai những hệ thống đang sử dụng trong mạng nội bộ.
Cấu hình Whitelist các IP được truy cập vào các hệ thống quan trọng.
Cài đặt mật khẩu mạnh đối với tài khoản hệ thống, bao gồm cả tài khoản có quyền hạn thấp
Hiện nay, hệ thống CI (Continuous Integration) khá phổ biến tại các doanh nghiệp công nghệ cao tại Việt Nam. 80% trong số đó có hệ thống CI sử dụng ứng dụng Jenkins.
