Lỗ hổng có mã định danh là CVE-2023-6246, được phát hiện trong hàm _vsyslog_internal() của glibc, gọi bởi các hàm phổ biến syslog và vsyslog để ghi dữ liệu trong các hệ thống ghi log (system message logger).
Lỗ hổng này bắt nguồn từ một lỗi tràn bộ đệm (heap-based buffer overflow) xuất hiện trong glibc 2.37 vào tháng 8/2022 và sau đó được backport (cập nhật từ một phiên bản phần mềm mới về phiên bản cũ hơn) về phiên bản glibc 2.36 để giải quyết một lỗ hổng ít nghiêm trọng hơn có định danh CVE-2022-39046.
Các nhà nghiên cứu bảo mật của công ty công nghệ Qualys (Mỹ) cho biết: “Vấn đề tràn bộ đệm đặt ra một mối đe dọa đáng kể vì nó có thể cho phép leo thang đặc quyền cục bộ, cho phép người dùng không có đặc quyền giành được quyền truy cập root thông qua các dữ liệu độc hại gửi đến các ứng dụng sử dụng các chức năng ghi nhật ký. Mặc dù lỗ hổng này yêu cầu các điều kiện cụ thể để khai thác (chẳng hạn như đối số nhận dạng argv[0] hoặc openlog() dài bất thường)”.
Trong quá trình kiểm tra lỗ hổng, Qualys xác nhận rằng Debian 12 và 13, Ubuntu 23.04 và 23.10 cũng như Fedora 37 đến 39 đều bị ảnh hưởng bởi CVE-2023-6246, cho phép người dùng không có đặc quyền có thể truy cập root trên các bản cài đặt mặc định. Mặc dù, các thử nghiệm chỉ giới hạn ở một số bản phân phối, nhưng các nhà nghiên cứu của Qualys cho biết rằng các bản phân phối khác cũng có thể bị khai thác.
Trong khi phân tích glibc để tìm kiếm các vấn đề bảo mật tiềm ẩn, các nhà nghiên cứu cũng phát hiện ba lỗ hổng khác, hai trong số đó khó khai thác hơn nằm trong hàm _vsyslog_internal() (CVE-2023-6779 và CVE-2023-6780) và lỗ hổng thứ ba (một vấn đề gây hỏng bộ nhớ và chưa được định danh CVE) trong hàm qsort() của glibc.
Saeed Abbasi, Giám đốc sản phẩm tại Đơn vị nghiên cứu mối đe dọa của Qualys cho biết: “Những lỗ hổng này cho thấy sự quan trọng của các biện pháp bảo mật nghiêm ngặt trong việc phát triển phần mềm, đặc biệt là đối với các thư viện quan trọng được sử dụng rộng rãi trên nhiều hệ thống và ứng dụng”.
Trong vài năm qua, các nhà nghiên cứu tại Qualys đã tìm thấy một số lỗ hổng bảo mật trên Linux khác có thể cho phép tin tặc giành quyền kiểm soát hoàn toàn các hệ thống Linux chưa được vá, ngay cả trong cấu hình mặc định.
Các lỗ hổng mà Qualys phát hiện bao gồm một lỗ hổng trong trình tải động ld.so của glibc (Looney Tunables), một lỗ hổng trong thành phần pkexec của Polkit (được đặt tên là PwnKit), một lỗ hổng khác trong lớp hệ thống tệp của Kernel (được đặt tên là Sequoia) và trong chương trình Sudo Unix (còn gọi là Baron Samedit) .
Vài ngày sau khi lỗ hổng Looney Tunables (CVE-2023-4911) được tiết lộ, các PoC đã được công bố trực tuyến và tin tặc bắt đầu khai thác nó một tháng sau đó để đánh cắp thông tin đăng nhập của nhà cung cấp dịch vụ đám mây trong các cuộc tấn công sử dụng phần mềm độc hại Kinsing.
Nhóm Kinsing nổi tiếng với việc triển khai phần mềm độc hại khai thác tiền điện tử trên các hệ thống dựa trên đám mây bị xâm nhập, bao gồm các máy chủ Kubernetes, Docker API, Redis và Jenkins.
CISA sau đó đã thông báo cho các cơ quan liên bang Hoa Kỳ bảo vệ hệ thống Linux của họ trước các cuộc tấn công khai thác lỗ hổng CVE-2023-4911 sau khi thêm nó vào danh mục các lỗ hổng được khai thác tích cực và cảnh báo rằng đây là rủi ro đáng kể cho doanh nghiệp liên bang.
Hà Phương
10:00 | 10/04/2024
15:00 | 13/10/2023
08:00 | 12/03/2024
08:00 | 25/01/2024
13:00 | 20/09/2023
12:00 | 14/01/2025
Hiệp hội thời tiết Nhật Bản (JWA) ngày 09/1 thông báo, tổ chức này đã bị tấn công mạng và tạm thời khiến website thông tin mà tổ chức này vận hành không thể truy cập được.
10:00 | 31/12/2024
Các nhà nghiên cứu an ninh mạng đang đưa ra cảnh bảo về sự gia tăng đột biến của những hoạt động phá hoại liên quan đến việc kết nối các bộ định tuyến D-Link trong 2 mạng botnet khác nhau, một biến thể Mirai có tên là FICORA và một biến thể Kaiten (Tsunami) được gọi là CAPSAICIN.
09:00 | 27/12/2024
Các tên miền mới như ".shop", ".xyz" đang ngày càng trở nên phổ biến với tội phạm mạng do giá rẻ và quy trình đăng ký đơn giản là cảnh báo được đưa ra trong báo cáo Cybercrime Supply Chain 2024 của Interisle Consulting Group (Mỹ).
08:00 | 15/11/2024
Hơn 30 lỗ hổng bảo mật đã được tiết lộ trong nhiều mô hình trí tuệ nhân tạo (AI) và máy học (ML) nguồn mở khác nhau. Đáng lưu ý, một số trong đó có thể dẫn đến thực thi mã từ xa và đánh cắp thông tin.
Trong thời đại kỹ thuật số, dữ liệu và thông tin cá nhân được xem như nguồn tài nguyên vô cùng quan trọng, đó là lý do tin tặc luôn tìm cách đánh cắp dữ liệu người dùng. Theo một báo cáo của công ty an ninh mạng CloudSEK (Ấn Độ), tin tặc đã đánh cắp lượng dữ liệu người dùng khổng lồ trong năm 2024.
12:00 | 14/01/2025