Trong một báo cáo, nhà nghiên cứu bảo mật Artur Oleyarsh thuộc đơn vị số 42 của Palo Alto Networks cho biết: “Bằng cách khai thác lỗ hổng này, tin tặc có thể thực thi mã từ xa trên máy chủ yêu cầu xác minh mã web token định dạng JSON được tạo một cách độc hại”.
Lỗ hổng này có mã định danh CVE-2022-23529 có điểm CVSS 7.6, ảnh hưởng đến tất cả các phiên bản của thư viện, bao gồm cả phiên bản 8.5.1 trở xuống và đã được xử lý trong phiên bản 9.0.0.
Jsonwebtoken, được phát triển và cập nhật bởi Okta's Auth0, là một mô-đun JavaScript cho phép người dùng giải mã, xác minh và tạo mã web token định dạng JSON như một phương tiện truyền thông tin an toàn giữa hai bên để ủy quyền và xác thực. Nó có hơn 10 triệu lượt tải xuống hàng tuần trên sổ đăng ký phần mềm npm và được hơn 22.000 dự án sử dụng.
Do đó, khả năng chạy mã độc hại trên máy chủ có thể phá vỡ các đảm bảo về tính bảo mật và tính toàn vẹn, có khả năng cho phép tin tặc ghi đè lên các tệp tùy ý trên máy chủ và thực hiện bất kỳ hành động nào mà chúng chọn bằng cách sử dụng khóa bí mật bị nhiễm độc. Hiện nay, phần mềm mã nguồn mở được nhắm đến đầu tiên bởi tin tặc thực hiện các cuộc tấn công chuỗi cung ứng. Do đó, các lỗ hổng trong các phần mềm đó phải được người dùng chủ động xác định, giảm thiểu và cập nhật bản vá.
Có một thực tế là tội phạm mạng hiện nay đã nhanh hơn rất nhiều trong việc khai thác các lỗ hổng mới được tiết lộ. Để chống lại vấn đề này, Google, vào tháng trước, đã công bố phát hành OSV-Scanner, một tiện ích mã nguồn mở nhằm xác định tất cả các thư viện mà dự án sử dụng và làm nổi bật những lỗ hổng của các thư viện này.
Bùi Thanh ( Theo The Hacker News)
08:00 | 19/12/2022
15:00 | 03/09/2023
16:00 | 01/11/2022
16:00 | 19/10/2022
09:00 | 06/02/2023
12:00 | 10/03/2023
09:00 | 09/04/2024
Các nhà nghiên cứu bảo mật của IBM đã chứng minh rằng tin tặc có thể sử dụng trí tuệ nhân tạo (AI) tạo sinh và công nghệ deepfake âm thanh để chiếm quyền điều khiển và thao túng các cuộc hội thoại trực tiếp.
08:00 | 21/03/2024
Phần mềm độc hại mới trên Linux có tên là GTPDOOR được thiết kế để nhắm mục tiêu vào các mạng viễn thông dựa trên khai thác giao thức đường hầm trên GPRS (GPRS Tunneling Protocol-GTP) để thực thi câu lệnh và điều khiển (C2).
11:00 | 07/02/2024
Ngày 02/02, nhà sản xuất phần mềm điều khiển máy tính từ xa AnyDesk (Đức) tiết lộ rằng họ đã phải hứng chịu một cuộc tấn công mạng dẫn đến sự xâm phạm hệ thống sản xuất của công ty.
12:00 | 15/12/2023
Các nhà nghiên cứu của công ty an ninh mạng Cisco Talos gần đây đã phát hiện một chiến dịch độc hại có khả năng bắt đầu từ tháng 8/2023, phát tán một Trojan truy cập từ xa (RAT) mới có tên gọi là “SugarGh0st”. Cisco Talos cho biết các tin tặc nhắm mục tiêu vào Bộ Ngoại giao Uzbekistan và người dùng tại Hàn Quốc đồng thời quy kết hoạt động này cho tin tặc Trung Quốc.
Công ty an ninh mạng Palo Alto Networks (Mỹ) chuyên cung cấp giải pháp tường lửa cảnh báo một lỗ hổng zero-day nghiêm trọng mới, với điểm CVSS tối đa 10/10. Nếu bị khai thác, kẻ tấn công có thể thực thi mã tùy ý với đặc quyền root mà không cần xác thực.
15:00 | 16/04/2024