Lỗ hổng có mã định danh là CVE-2023-6246, được phát hiện trong hàm _vsyslog_internal() của glibc, gọi bởi các hàm phổ biến syslog và vsyslog để ghi dữ liệu trong các hệ thống ghi log (system message logger).
Lỗ hổng này bắt nguồn từ một lỗi tràn bộ đệm (heap-based buffer overflow) xuất hiện trong glibc 2.37 vào tháng 8/2022 và sau đó được backport (cập nhật từ một phiên bản phần mềm mới về phiên bản cũ hơn) về phiên bản glibc 2.36 để giải quyết một lỗ hổng ít nghiêm trọng hơn có định danh CVE-2022-39046.
Các nhà nghiên cứu bảo mật của công ty công nghệ Qualys (Mỹ) cho biết: “Vấn đề tràn bộ đệm đặt ra một mối đe dọa đáng kể vì nó có thể cho phép leo thang đặc quyền cục bộ, cho phép người dùng không có đặc quyền giành được quyền truy cập root thông qua các dữ liệu độc hại gửi đến các ứng dụng sử dụng các chức năng ghi nhật ký. Mặc dù lỗ hổng này yêu cầu các điều kiện cụ thể để khai thác (chẳng hạn như đối số nhận dạng argv[0] hoặc openlog() dài bất thường)”.
Trong quá trình kiểm tra lỗ hổng, Qualys xác nhận rằng Debian 12 và 13, Ubuntu 23.04 và 23.10 cũng như Fedora 37 đến 39 đều bị ảnh hưởng bởi CVE-2023-6246, cho phép người dùng không có đặc quyền có thể truy cập root trên các bản cài đặt mặc định. Mặc dù, các thử nghiệm chỉ giới hạn ở một số bản phân phối, nhưng các nhà nghiên cứu của Qualys cho biết rằng các bản phân phối khác cũng có thể bị khai thác.
Trong khi phân tích glibc để tìm kiếm các vấn đề bảo mật tiềm ẩn, các nhà nghiên cứu cũng phát hiện ba lỗ hổng khác, hai trong số đó khó khai thác hơn nằm trong hàm _vsyslog_internal() (CVE-2023-6779 và CVE-2023-6780) và lỗ hổng thứ ba (một vấn đề gây hỏng bộ nhớ và chưa được định danh CVE) trong hàm qsort() của glibc.
Saeed Abbasi, Giám đốc sản phẩm tại Đơn vị nghiên cứu mối đe dọa của Qualys cho biết: “Những lỗ hổng này cho thấy sự quan trọng của các biện pháp bảo mật nghiêm ngặt trong việc phát triển phần mềm, đặc biệt là đối với các thư viện quan trọng được sử dụng rộng rãi trên nhiều hệ thống và ứng dụng”.
Trong vài năm qua, các nhà nghiên cứu tại Qualys đã tìm thấy một số lỗ hổng bảo mật trên Linux khác có thể cho phép tin tặc giành quyền kiểm soát hoàn toàn các hệ thống Linux chưa được vá, ngay cả trong cấu hình mặc định.
Các lỗ hổng mà Qualys phát hiện bao gồm một lỗ hổng trong trình tải động ld.so của glibc (Looney Tunables), một lỗ hổng trong thành phần pkexec của Polkit (được đặt tên là PwnKit), một lỗ hổng khác trong lớp hệ thống tệp của Kernel (được đặt tên là Sequoia) và trong chương trình Sudo Unix (còn gọi là Baron Samedit) .
Vài ngày sau khi lỗ hổng Looney Tunables (CVE-2023-4911) được tiết lộ, các PoC đã được công bố trực tuyến và tin tặc bắt đầu khai thác nó một tháng sau đó để đánh cắp thông tin đăng nhập của nhà cung cấp dịch vụ đám mây trong các cuộc tấn công sử dụng phần mềm độc hại Kinsing.
Nhóm Kinsing nổi tiếng với việc triển khai phần mềm độc hại khai thác tiền điện tử trên các hệ thống dựa trên đám mây bị xâm nhập, bao gồm các máy chủ Kubernetes, Docker API, Redis và Jenkins.
CISA sau đó đã thông báo cho các cơ quan liên bang Hoa Kỳ bảo vệ hệ thống Linux của họ trước các cuộc tấn công khai thác lỗ hổng CVE-2023-4911 sau khi thêm nó vào danh mục các lỗ hổng được khai thác tích cực và cảnh báo rằng đây là rủi ro đáng kể cho doanh nghiệp liên bang.
Hà Phương
10:00 | 10/04/2024
15:00 | 13/10/2023
08:00 | 12/03/2024
08:00 | 25/01/2024
13:00 | 20/09/2023
12:00 | 03/10/2024
Mới đây, các chuyên gia bảo mật tại Kaspersky phát hiện ra 2 phần mềm có chứa mã độc Necro trên cửa hàng ứng dụng Play Store của Google. Đáng chú ý, 2 phần mềm độc hại này đã có tới hơn 11 triệu lượt tải xuống trước khi được các chuyên gia phát hiện.
10:00 | 02/10/2024
Công ty Ivanti (Hoa Kỳ) tiết lộ một lỗ hổng bảo mật mới được vá trong Thiết bị dịch vụ đám mây (Cloud Service Appliance - CSA) của công ty đã bị tin tặc khai thác tích cực trong thực tế.
07:00 | 27/09/2024
Tổng cộng 6 triệu mã số định danh người nộp thuế Indonesia đã bị rò rỉ và rao bán công khai với giá 10.000 USD. Ngoài mã số định danh người nộp thuế, dữ liệu bị rò rỉ bao gồm mã số định danh quốc gia, email, địa chỉ, số điện thoại và thông tin cá nhân khác.
14:00 | 05/09/2024
Công ty an ninh mạng Lumen Technologies (Mỹ) cho biết, một nhóm tin tặc Trung Quốc đã khai thác một lỗ hổng phần mềm để xâm nhập vào một số công ty Internet tại Hoa Kỳ và nước ngoài.
Các nhà nghiên cứu của công ty bảo mật đám mây Aqua Nautilus (Mỹ) cho biết một tác nhân đe dọa có tên là Matrix đã được liên kết với một chiến dịch từ chối dịch vụ phân tán (DoD) trên diện rộng, lợi dụng các lỗ hổng và cấu hình lỗi trong các thiết bị Internet vạn vật (IoT) để biến chúng thành một mạng lưới botnet tinh vi.
10:00 | 12/12/2024