R là ngôn ngữ lập trình nguồn mở đặc biệt phổ biến trong tính toán thống kê và trực quan hóa dữ liệu, phù hợp với những người phát triển và sử dụng các mô hình phân tích dữ liệu tùy chỉnh, ngôn ngữ này hiện đang được áp dụng ngày càng nhiều trong trí tuệ nhân tạo và học máy.
Các nhà nghiên cứu tại công ty bảo mật ứng dụng HiddenLayer gần đây đã phát hiện ra một lỗ hổng trong R, được gắn mã theo dõi là CVE-2024-27322 (CVSS: 8,8), cho phép kẻ tấn công thực thi mã tùy ý trên các máy mục tiêu khi nạn nhân mở các tệp RDS hoặc R package files (RDX).
Trung tâm điều phối CERT (CERT/CC) của Đại học Carnegie Mellon (Hoa Kỳ) đưa ra lời khuyến nghị với CVE-2024-27322, lưu ý rằng lỗ hổng này có thể bị khai thác để thực thi mã tùy ý trên thiết bị mục tiêu của nạn nhân thông qua các tệp RDS hoặc RDX độc hại.
CERT/CC cho biết : “Kẻ tấn công có thể tạo các tệp .rds và .rdx độc hại và sử dụng kỹ nghệ xã hội để phân phối các tệp đó nhằm thực thi mã tùy ý trên thiết bị của nạn nhân. Các dự án (project) sử dụng readRDS trên các tệp không đáng tin cậy cũng dễ bị tấn công”.
RDS tương tự như pickle trong Python, là một định dạng được sử dụng để chuyển đổi trạng thái của một đối tượng thành một chuỗi byte sao cho chuỗi byte này có thể chuyển đổi ngược lại thành một đối tượng (serialization) và lưu trạng thái của cấu trúc dữ liệu hoặc đối tượng trong ngôn ngữ lập trình R.
Lỗ hổng CVE-2024-2732 khai thác cách R xử lý saveRDS và readRDS, đặc biệt thông qua các đối tượng Promise object (đại diện cho một giá trị ở thời điểm hiện tại có thể chưa tồn tại, nhưng sẽ được xử lý và có giá trị vào một thời gian nào đó trong tương lai) và cơ chế Lazy Evaluation.
Những kẻ tấn công có thể nhúng các đối tượng Promise object với mã tùy ý vào siêu dữ liệu (metadata) tệp RDS dưới dạng các biểu thức. Nguyên nhân chính phía sau lỗ hổng này là nó có thể dẫn đến thực thi mã tùy ý khi thực hiện quá trình Deserialization (cơ chế chuyển đổi trạng thái của một đối tượng), do đó khiến người dùng phải đối mặt với các cuộc tấn công chuỗi cung ứng thông qua các gói R được chế tạo đặc biệt.
Nạn nhân phải bị thuyết phục hoặc bị đánh lừa thực thi các tệp đó, vì vậy đây có thể là cuộc tấn công kỹ nghệ xã hội. Tuy nhiên, những kẻ tấn công có thể lựa chọn cách tiếp cận bị động hơn, đó là phân phối các gói độc hại trên các kho được sử dụng rộng rãi và chờ nạn nhân tải chúng xuống.
Vũ Hùng
(Tổng hợp)
14:00 | 25/04/2024
15:00 | 16/04/2024
15:00 | 16/04/2024
08:00 | 02/01/2025
Mới đây, hãng bảo mật McAfee đã phát hiện một ứng dụng độc hại có chứa mã gián điệp trên Amazon Appstore. Theo thông tin được công bố, ứng dụng độc hại dùng để tính chỉ số khối cơ thể (BMI) nhưng lại được cài cắm phần mềm gián điệp, có khả năng ghi lại màn hình và truy cập danh sách các ứng dụng của người dùng.
10:00 | 25/11/2024
Apple vừa phát hành bản cập nhật iOS 18.1.1 và macOS 15.1.1 để khắc phục hai lỗ hổng bảo mật nguy hiểm, đồng thời khuyến cáo người dùng iPhone nên cập nhật càng sớm càng tốt.
10:00 | 01/10/2024
MoneyGram, công ty cung cấp dịch vụ chuyển tiền lớn thứ hai thế giới đã xác nhận bị tấn công mạng sau nhiều ngày người dùng gặp sự cố và phàn nàn về dịch vụ. Sự cố bắt đầu từ ngày 20/9 khiến người dùng không thể nhận tiền hay xử lý giao dịch, website cũng không thể truy cập.
13:00 | 30/09/2024
Cơ quan Cơ sở hạ tầng và An ninh mạng Hoa Kỳ (CISA) đã thêm 5 lỗ hổng vào danh mục Các lỗ hổng đã biết bị khai thác (KEV), trong đó có lỗ hổng thực thi mã từ xa (RCE) ảnh hưởng đến Apache HugeGraph-Server.
Trong thời đại kỹ thuật số, dữ liệu và thông tin cá nhân được xem như nguồn tài nguyên vô cùng quan trọng, đó là lý do tin tặc luôn tìm cách đánh cắp dữ liệu người dùng. Theo một báo cáo của công ty an ninh mạng CloudSEK (Ấn Độ), tin tặc đã đánh cắp lượng dữ liệu người dùng khổng lồ trong năm 2024.
12:00 | 14/01/2025