R là ngôn ngữ lập trình nguồn mở đặc biệt phổ biến trong tính toán thống kê và trực quan hóa dữ liệu, phù hợp với những người phát triển và sử dụng các mô hình phân tích dữ liệu tùy chỉnh, ngôn ngữ này hiện đang được áp dụng ngày càng nhiều trong trí tuệ nhân tạo và học máy.
Các nhà nghiên cứu tại công ty bảo mật ứng dụng HiddenLayer gần đây đã phát hiện ra một lỗ hổng trong R, được gắn mã theo dõi là CVE-2024-27322 (CVSS: 8,8), cho phép kẻ tấn công thực thi mã tùy ý trên các máy mục tiêu khi nạn nhân mở các tệp RDS hoặc R package files (RDX).
Trung tâm điều phối CERT (CERT/CC) của Đại học Carnegie Mellon (Hoa Kỳ) đưa ra lời khuyến nghị với CVE-2024-27322, lưu ý rằng lỗ hổng này có thể bị khai thác để thực thi mã tùy ý trên thiết bị mục tiêu của nạn nhân thông qua các tệp RDS hoặc RDX độc hại.
CERT/CC cho biết : “Kẻ tấn công có thể tạo các tệp .rds và .rdx độc hại và sử dụng kỹ nghệ xã hội để phân phối các tệp đó nhằm thực thi mã tùy ý trên thiết bị của nạn nhân. Các dự án (project) sử dụng readRDS trên các tệp không đáng tin cậy cũng dễ bị tấn công”.
RDS tương tự như pickle trong Python, là một định dạng được sử dụng để chuyển đổi trạng thái của một đối tượng thành một chuỗi byte sao cho chuỗi byte này có thể chuyển đổi ngược lại thành một đối tượng (serialization) và lưu trạng thái của cấu trúc dữ liệu hoặc đối tượng trong ngôn ngữ lập trình R.
Lỗ hổng CVE-2024-2732 khai thác cách R xử lý saveRDS và readRDS, đặc biệt thông qua các đối tượng Promise object (đại diện cho một giá trị ở thời điểm hiện tại có thể chưa tồn tại, nhưng sẽ được xử lý và có giá trị vào một thời gian nào đó trong tương lai) và cơ chế Lazy Evaluation.
Những kẻ tấn công có thể nhúng các đối tượng Promise object với mã tùy ý vào siêu dữ liệu (metadata) tệp RDS dưới dạng các biểu thức. Nguyên nhân chính phía sau lỗ hổng này là nó có thể dẫn đến thực thi mã tùy ý khi thực hiện quá trình Deserialization (cơ chế chuyển đổi trạng thái của một đối tượng), do đó khiến người dùng phải đối mặt với các cuộc tấn công chuỗi cung ứng thông qua các gói R được chế tạo đặc biệt.
Nạn nhân phải bị thuyết phục hoặc bị đánh lừa thực thi các tệp đó, vì vậy đây có thể là cuộc tấn công kỹ nghệ xã hội. Tuy nhiên, những kẻ tấn công có thể lựa chọn cách tiếp cận bị động hơn, đó là phân phối các gói độc hại trên các kho được sử dụng rộng rãi và chờ nạn nhân tải chúng xuống.
Vũ Hùng
(Tổng hợp)
14:00 | 25/04/2024
15:00 | 16/04/2024
15:00 | 16/04/2024
15:00 | 24/12/2024
Theo thông tin do đội ngũ chuyên gia của Kaspersky chia sẻ, trong nửa đầu năm 2024, số lượng người dùng bị tội phạm mạng nhắm đến, sử dụng mồi nhử là các trò chơi phổ biến dành cho trẻ em đã tăng 30% so với nửa cuối năm 2023. Sau khi phân tích rủi ro tiềm ẩn đến từ các đối tượng trẻ em có sở thích chơi trò chơi điện tử, các nhà nghiên cứu phát hiện hơn 132.000 trường hợp đã trở thành mục tiêu của tội phạm mạng. Bài viết dưới đây sẽ thông tin tới độc giả các nội dung trong báo cáo mới nhất của Kaspersky về thực trạng tội phạm mạng nêu trên.
12:00 | 23/12/2024
Mỹ tuyên bố thưởng 10 triệu USD cho người cung cấp thông tin về tin tặc Trung Quốc bị cáo buộc tấn công 81.000 thiết bị tường lửa.
09:00 | 18/11/2024
Tin tặc đang lợi dụng cụm từ tìm kiếm "Mèo Bengal có hợp pháp ở Úc không" trên Google để phát tán phần mềm độc hại, gây nguy hiểm cho thiết bị của người dùng.
07:00 | 17/10/2024
Các tin tặc Triều Tiên mới đây đã bị phát hiện đang phân phối một Trojan truy cập từ xa (RAT) và backdoor chưa từng được ghi nhận trước đây có tên là VeilShell, như một phần của chiến dịch tấn công mạng nhắm vào các cơ quan, tổ chức tại Campuchia và các quốc gia Đông Nam Á khác.
Năm 2025 được dự báo sẽ chứng kiến sự gia tăng các cuộc tấn công mạng, với sự xuất hiện và phát triển mạnh mẽ của những phần mềm độc hại nhắm vào cả cá nhân lẫn tổ chức trên toàn cầu. Bài viết tập trung nghiên cứu và phân tích 5 mối đe dọa phần mềm độc hại hàng đầu được dự báo sẽ gây ảnh hưởng lớn nhất trong năm nay. Từ những dòng mã độc tống tiền tinh vi đến trojan đánh cắp thông tin và công cụ truy cập từ xa. Những mối đe dọa này không chỉ đặt ra thách thức lớn cho các chuyên gia an ninh mạng mà còn yêu cầu sự chuẩn bị kỹ lưỡng từ mọi tổ chức và cá nhân.
10:00 | 06/02/2025