CISA và FBI cảnh báo các tác nhân đe dọa lợi dụng các lỗ hổng phần mềm Path Traversal trong các cuộc tấn công nhắm vào cơ sở hạ tầng quan trọng. Các tác nhân đe dọa có thể khai thác các lỗ hổng Path Traversal (còn được gọi là Directory Traversal) để tạo hoặc ghi đè các tệp quan trọng nhằm thực thi mã hoặc bỏ qua các cơ chế bảo mật như xác thực.
Được biết, Path Traversal là một lỗ hổng bảo mật phổ biến trên các ứng dụng web. Lỗ hổng này cho phép kẻ tấn công truy cập vào các tệp tin và thư mục trên máy chủ web vốn không được phép truy cập. Điều này có thể gây ra nhiều nguy hiểm cho hệ thống web và dữ liệu của người dùng.
Những lỗ hổng bảo mật như vậy cũng có thể cho phép các tác nhân đe dọa truy cập vào dữ liệu nhạy cảm, chẳng hạn như thông tin xác thực mà sau này có thể được sử dụng để tấn công các tài khoản hiện có nhằm xâm phạm các hệ thống được nhắm mục tiêu.
Một trường hợp khác có thể xảy ra là chặn quyền truy cập vào các hệ thống dễ bị tấn công bằng cách ghi đè, xóa hoặc làm hỏng các tệp quan trọng được sử dụng để xác thực (điều này sẽ khóa tất cả người dùng).
CISA và FBI cho biết: “Lỗ hổng Path Traversal dễ bị khai thác thành công vì thông thường các nhà phát triển công nghệ không xác định nội dung do người dùng cung cấp là có khả năng độc hại, do đó không bảo vệ đầy đủ khách hàng của họ. Các lỗ hổng như Path Traversal đến nay vẫn được xem là một trong những lỗ hổng phổ biến”.
Cảnh báo chung này được đưa ra khi thời gian gần đây các chiến dịch tấn công mạng đã khai thác các lỗ hổng Path Traversal trong phần mềm (ví dụ như CVE-2024-1708 hay CVE-2024-20345) để xâm phạm người dùng sử dụng các phần mềm, ảnh hưởng đến các lĩnh vực cơ sở hạ tầng quan trọng, trong đó có ngành y tế.
Ví dụ: Lỗ hổng Path Traversal ScreenConnect CVE-2024-1708 có liên quan đến lỗ hổng vượt qua xác thực CVE-2024-1709 trong các cuộc tấn công mã độc tống tiền Black Basta và Bl00dy để phân phối CobaltStrike beacon và các biến thể của mã độc tống tiền LockBit.
CISA và FBI khuyến nghị các nhà phát triển phần mềm nên triển khai các biện pháp giảm thiểu nhằm ngăn chặn các lỗ hổng Path Traversal, bao gồm:
- Tạo mã định danh ngẫu nhiên cho từng tệp và lưu trữ siêu dữ liệu (metadata) liên quan riêng biệt (ví dụ trong cơ sở dữ liệu) thay vì sử dụng thông tin đầu vào của người dùng khi đặt tên tệp.
- Giới hạn chặt chẽ các loại ký tự có thể được cung cấp trong tên tệp.
- Đảm bảo rằng các tệp đã tải lên (upload) không có quyền thực thi.
CISA hiện liệt kê 55 lỗ hổng Path Traversal trong Danh mục các lỗ hổng bị khai thác đã biết (KEV). CISA và FBI cũng nhấn mạnh rằng vòng đời phát triển phần mềm an toàn theo thiết kế là cơ sở để loại bỏ các lỗ hổng bảo mật, bao gồm cả Path Traversal.
Hai cơ quan cho biết, bằng cách thực hiện đầy đủ các nguyên tắc và thực tiễn thiết kế an toàn được khuyến nghị, các nhà sản xuất phần mềm có thể bảo vệ khách hàng của họ trước các mối đe dọa tấn công độc hại.
Trước đây, tháng 3/2024, CISA và FBI đã đưa ra một cảnh báo bảo mật khác, kêu gọi giám đốc điều hành của các công ty sản xuất phần mềm thực hiện các biện pháp giảm thiểu để ngăn chặn các lỗ hổng bảo mật SQL Injection.
Vũ Mạnh Hà
(Tổng hợp)
09:00 | 04/03/2024
13:00 | 17/04/2024
09:00 | 20/06/2024
13:00 | 23/01/2024
07:00 | 02/12/2024
GenAI hay AI tạo sinh đang nhanh chóng thay đổi quy trình phát triển phần mềm bằng cách tự động hóa các tác vụ mà trước đây các nhà phát triển phải mất hàng giờ, thậm chí hàng ngày để hoàn thành, giúp tăng cường hiệu quả và năng suất. Thế nhưng, nhiều tổ chức cho rằng chính vì sự phụ thuộc vào GenAI có thể gây ra một số mối lo ngại đối với các nhà phát triển phần mềm và phát sinh nhiều vấn đề liên quan đến bảo mật.
10:00 | 19/11/2024
Bộ Thông tin và Truyền thông (TT&TT) cho biết tình hình an ninh mạng tại Việt Nam đã được cải thiện đáng kể trong 10 tháng đầu năm nay, với số vụ tấn công mạng gây sự cố giảm 57,4% so với cùng kỳ năm ngoái. Cụ thể, chỉ có 4.483 vụ tấn công được ghi nhận, cảnh báo và xử lý.
14:00 | 28/10/2024
Mới đây, Eric Council Jr., 25 tuổi đã bị bắt giữ tại Mỹ do bị cáo buộc tấn công tài khoản mạng xã hội X của Ủy ban Chứng khoán và Giao dịch Mỹ (SEC) nhằm thao túng giá Bitcoin hồi đầu năm nay. Vụ việc này một lần nữa gióng lên hồi chuông cảnh báo về an ninh mạng và những rủi ro tiềm ẩn từ các cuộc tấn công mạng có chủ đích.
09:00 | 28/10/2024
Ngày 28/10, tại Vĩnh Phúc, Cục Cơ yếu Đảng - Chính quyền/Ban Cơ yếu Chính phủ tổ chức khai mạc Hội thi Kỹ thuật nghiệp vụ mật mã Hệ Cơ yếu Đảng - Chính quyền năm 2024. Đồng chí Thiếu tướng Nguyễn Hữu Hùng, Phó Trưởng ban Ban Cơ yếu Chính phủ đã đến dự và chỉ đạo Hội thi.
Sau phán quyết của tòa án về hành vi độc quyền của Google, Bộ Tư pháp Mỹ yêu cầu công ty này phải tách rời trình duyệt Chrome.
11:00 | 29/11/2024
Nhân dịp Kỷ niệm 80 năm Ngày thành lập Quân đội nhân dân Việt Nam (22/12/1944 - 22/12/2024) và 35 năm Ngày hội Quốc phòng toàn dân (22/12/1989 - 22/12/2024), Ban Cơ yếu Chính phủ tổ chức các hoạt động tri ân tại tỉnh Quảng Ninh.
09:00 | 14/11/2024
Theo Tổ chức Thương mại thế giới (WTO), trí tuệ nhân tạo (AI) có thể giảm chi phí giao dịch, thay đổi ngành dịch vụ, thúc đẩy thương mại liên quan đến AI và định hình lại lợi thế cạnh tranh của các quốc gia.
17:00 | 29/11/2024