Lỗ hổng có mã định danh là CVE-2023-6246, được phát hiện trong hàm _vsyslog_internal() của glibc, gọi bởi các hàm phổ biến syslog và vsyslog để ghi dữ liệu trong các hệ thống ghi log (system message logger).
Lỗ hổng này bắt nguồn từ một lỗi tràn bộ đệm (heap-based buffer overflow) xuất hiện trong glibc 2.37 vào tháng 8/2022 và sau đó được backport (cập nhật từ một phiên bản phần mềm mới về phiên bản cũ hơn) về phiên bản glibc 2.36 để giải quyết một lỗ hổng ít nghiêm trọng hơn có định danh CVE-2022-39046.
Các nhà nghiên cứu bảo mật của công ty công nghệ Qualys (Mỹ) cho biết: “Vấn đề tràn bộ đệm đặt ra một mối đe dọa đáng kể vì nó có thể cho phép leo thang đặc quyền cục bộ, cho phép người dùng không có đặc quyền giành được quyền truy cập root thông qua các dữ liệu độc hại gửi đến các ứng dụng sử dụng các chức năng ghi nhật ký. Mặc dù lỗ hổng này yêu cầu các điều kiện cụ thể để khai thác (chẳng hạn như đối số nhận dạng argv[0] hoặc openlog() dài bất thường)”.
Trong quá trình kiểm tra lỗ hổng, Qualys xác nhận rằng Debian 12 và 13, Ubuntu 23.04 và 23.10 cũng như Fedora 37 đến 39 đều bị ảnh hưởng bởi CVE-2023-6246, cho phép người dùng không có đặc quyền có thể truy cập root trên các bản cài đặt mặc định. Mặc dù, các thử nghiệm chỉ giới hạn ở một số bản phân phối, nhưng các nhà nghiên cứu của Qualys cho biết rằng các bản phân phối khác cũng có thể bị khai thác.
Trong khi phân tích glibc để tìm kiếm các vấn đề bảo mật tiềm ẩn, các nhà nghiên cứu cũng phát hiện ba lỗ hổng khác, hai trong số đó khó khai thác hơn nằm trong hàm _vsyslog_internal() (CVE-2023-6779 và CVE-2023-6780) và lỗ hổng thứ ba (một vấn đề gây hỏng bộ nhớ và chưa được định danh CVE) trong hàm qsort() của glibc.
Saeed Abbasi, Giám đốc sản phẩm tại Đơn vị nghiên cứu mối đe dọa của Qualys cho biết: “Những lỗ hổng này cho thấy sự quan trọng của các biện pháp bảo mật nghiêm ngặt trong việc phát triển phần mềm, đặc biệt là đối với các thư viện quan trọng được sử dụng rộng rãi trên nhiều hệ thống và ứng dụng”.
Trong vài năm qua, các nhà nghiên cứu tại Qualys đã tìm thấy một số lỗ hổng bảo mật trên Linux khác có thể cho phép tin tặc giành quyền kiểm soát hoàn toàn các hệ thống Linux chưa được vá, ngay cả trong cấu hình mặc định.
Các lỗ hổng mà Qualys phát hiện bao gồm một lỗ hổng trong trình tải động ld.so của glibc (Looney Tunables), một lỗ hổng trong thành phần pkexec của Polkit (được đặt tên là PwnKit), một lỗ hổng khác trong lớp hệ thống tệp của Kernel (được đặt tên là Sequoia) và trong chương trình Sudo Unix (còn gọi là Baron Samedit) .
Vài ngày sau khi lỗ hổng Looney Tunables (CVE-2023-4911) được tiết lộ, các PoC đã được công bố trực tuyến và tin tặc bắt đầu khai thác nó một tháng sau đó để đánh cắp thông tin đăng nhập của nhà cung cấp dịch vụ đám mây trong các cuộc tấn công sử dụng phần mềm độc hại Kinsing.
Nhóm Kinsing nổi tiếng với việc triển khai phần mềm độc hại khai thác tiền điện tử trên các hệ thống dựa trên đám mây bị xâm nhập, bao gồm các máy chủ Kubernetes, Docker API, Redis và Jenkins.
CISA sau đó đã thông báo cho các cơ quan liên bang Hoa Kỳ bảo vệ hệ thống Linux của họ trước các cuộc tấn công khai thác lỗ hổng CVE-2023-4911 sau khi thêm nó vào danh mục các lỗ hổng được khai thác tích cực và cảnh báo rằng đây là rủi ro đáng kể cho doanh nghiệp liên bang.
Hà Phương
10:00 | 10/04/2024
15:00 | 13/10/2023
08:00 | 12/03/2024
08:00 | 25/01/2024
13:00 | 20/09/2023
10:00 | 28/03/2024
Các nhà nghiên cứu phát hiện nhóm ransomware ShadowSyndicate đang quét các máy chủ tồn tại lỗ hổng directory traversal định danh CVE-2024-23334, hay còn gọi là lỗ hổng path traversal trong thư viện Aiohttp của Python.
14:00 | 05/03/2024
Một sự cố an ninh mạng nghiêm trọng gần đây đã xảy ra khi một trình cài đặt trong phần mềm của Chính phủ Nga bị cài đặt backdoor để phát tán trojan truy cập từ xa có tên Konni RAT (còn gọi là UpDog).
17:00 | 22/12/2023
Mới đây, các nhà nghiên cứu tới từ hãng bảo mật Kaspersky đã đưa ra báo cáo về việc phát hiện một loại Trojan mới có liên quan đến nhóm tin tặc APT BlueNoroff và chiến dịch RustBucket đang diễn ra. Trojan này là một trình tải độc hại được thiết kế để tải và thực thi mã độc khác trên hệ thống bị xâm nhập với mục tiêu nhắm vào người dùng macOS. Bài viết này sẽ cùng tìm hiểu, khám phá Trojan BlueNoroff cũng như thông tin xoay quanh nhóm tin tặc này.
10:00 | 22/11/2023
Các nhà nghiên cứu an ninh mạng của Palo Alto Networks Unit 42 (Đơn vị 42) đã phát hiện ra các hoạt động mạng độc hại do các nhóm tin tặc nổi tiếng của Trung Quốc dàn dựng nhằm vào 24 tổ chức thuộc chính phủ Campuchia.
Trong một chiến dịch tấn công gần đây, các tác nhân đe dọa đã lạm dụng chức năng tìm kiếm của GitHub và sử dụng các kho lưu trữ được thiết kế đặc biệt để phát tán phần mềm độc hại nhằm đánh cắp các khoản thanh toán bằng tiền điện tử.
09:00 | 28/04/2024