Trong một báo cáo, nhà nghiên cứu bảo mật Artur Oleyarsh thuộc đơn vị số 42 của Palo Alto Networks cho biết: “Bằng cách khai thác lỗ hổng này, tin tặc có thể thực thi mã từ xa trên máy chủ yêu cầu xác minh mã web token định dạng JSON được tạo một cách độc hại”.
Lỗ hổng này có mã định danh CVE-2022-23529 có điểm CVSS 7.6, ảnh hưởng đến tất cả các phiên bản của thư viện, bao gồm cả phiên bản 8.5.1 trở xuống và đã được xử lý trong phiên bản 9.0.0.
Jsonwebtoken, được phát triển và cập nhật bởi Okta's Auth0, là một mô-đun JavaScript cho phép người dùng giải mã, xác minh và tạo mã web token định dạng JSON như một phương tiện truyền thông tin an toàn giữa hai bên để ủy quyền và xác thực. Nó có hơn 10 triệu lượt tải xuống hàng tuần trên sổ đăng ký phần mềm npm và được hơn 22.000 dự án sử dụng.
Do đó, khả năng chạy mã độc hại trên máy chủ có thể phá vỡ các đảm bảo về tính bảo mật và tính toàn vẹn, có khả năng cho phép tin tặc ghi đè lên các tệp tùy ý trên máy chủ và thực hiện bất kỳ hành động nào mà chúng chọn bằng cách sử dụng khóa bí mật bị nhiễm độc. Hiện nay, phần mềm mã nguồn mở được nhắm đến đầu tiên bởi tin tặc thực hiện các cuộc tấn công chuỗi cung ứng. Do đó, các lỗ hổng trong các phần mềm đó phải được người dùng chủ động xác định, giảm thiểu và cập nhật bản vá.
Có một thực tế là tội phạm mạng hiện nay đã nhanh hơn rất nhiều trong việc khai thác các lỗ hổng mới được tiết lộ. Để chống lại vấn đề này, Google, vào tháng trước, đã công bố phát hành OSV-Scanner, một tiện ích mã nguồn mở nhằm xác định tất cả các thư viện mà dự án sử dụng và làm nổi bật những lỗ hổng của các thư viện này.
Bùi Thanh ( Theo The Hacker News)
08:00 | 19/12/2022
15:00 | 03/09/2023
16:00 | 01/11/2022
16:00 | 19/10/2022
09:00 | 06/02/2023
12:00 | 10/03/2023
14:00 | 25/04/2024
Nhóm tình báo mối đe dọa Threat Intelligence của Microsoft cho biết, các tác nhân đe dọa đang tích cực khai thác các lỗ hổng nghiêm trọng trong OpenMetadata để có quyền truy cập trái phép vào khối lượng workload trong Kubernetes và lạm dụng chúng cho hoạt động khai thác tiền điện tử.
15:00 | 25/03/2024
Ngày 15/3/2024, Quỹ Tiền tệ Quốc tế (IMF) cho biết họ đã bị tấn công mạng sau khi những kẻ tấn công xâm phạm 11 tài khoản email của tổ chức này vào đầu năm nay.
10:00 | 21/02/2024
Một tác nhân đe dọa có động cơ tài chính đã sử dụng thiết bị USB để lây nhiễm phần mềm độc hại ban đầu và lạm dụng các nền tảng trực tuyến hợp pháp, bao gồm GitHub, Vimeo và Ars Technica để lưu trữ các payload được mã hóa.
08:00 | 06/02/2024
GitLab vừa phát hành các bản vá lỗi để giải quyết một lỗ hổng bảo mật nghiêm trọng trong phiên bản dành cho cộng đồng (CE) và phiên bản dành cho doanh nghiệp (EE). Lỗ hổng có thể bị khai thác để ghi các tệp tùy ý trong khi tạo workspace.
08:00 | 11/01/2024 | Chính sách - Chiến lược
09:00 | 10/01/2024 | Giải pháp khác
09:00 | 05/01/2024|Chính sách - Chiến lược
09:00 | 05/01/2024|An ninh – Quốc Phòng
Nhóm tình báo mối đe dọa Threat Intelligence của Microsoft cho biết, các tác nhân đe dọa đang tích cực khai thác các lỗ hổng nghiêm trọng trong OpenMetadata để có quyền truy cập trái phép vào khối lượng workload trong Kubernetes và lạm dụng chúng cho hoạt động khai thác tiền điện tử.
14:00 | 25/04/2024
