CISA và FBI cảnh báo các tác nhân đe dọa lợi dụng các lỗ hổng phần mềm Path Traversal trong các cuộc tấn công nhắm vào cơ sở hạ tầng quan trọng. Các tác nhân đe dọa có thể khai thác các lỗ hổng Path Traversal (còn được gọi là Directory Traversal) để tạo hoặc ghi đè các tệp quan trọng nhằm thực thi mã hoặc bỏ qua các cơ chế bảo mật như xác thực.
Được biết, Path Traversal là một lỗ hổng bảo mật phổ biến trên các ứng dụng web. Lỗ hổng này cho phép kẻ tấn công truy cập vào các tệp tin và thư mục trên máy chủ web vốn không được phép truy cập. Điều này có thể gây ra nhiều nguy hiểm cho hệ thống web và dữ liệu của người dùng.
Những lỗ hổng bảo mật như vậy cũng có thể cho phép các tác nhân đe dọa truy cập vào dữ liệu nhạy cảm, chẳng hạn như thông tin xác thực mà sau này có thể được sử dụng để tấn công các tài khoản hiện có nhằm xâm phạm các hệ thống được nhắm mục tiêu.
Một trường hợp khác có thể xảy ra là chặn quyền truy cập vào các hệ thống dễ bị tấn công bằng cách ghi đè, xóa hoặc làm hỏng các tệp quan trọng được sử dụng để xác thực (điều này sẽ khóa tất cả người dùng).
CISA và FBI cho biết: “Lỗ hổng Path Traversal dễ bị khai thác thành công vì thông thường các nhà phát triển công nghệ không xác định nội dung do người dùng cung cấp là có khả năng độc hại, do đó không bảo vệ đầy đủ khách hàng của họ. Các lỗ hổng như Path Traversal đến nay vẫn được xem là một trong những lỗ hổng phổ biến”.
Cảnh báo chung này được đưa ra khi thời gian gần đây các chiến dịch tấn công mạng đã khai thác các lỗ hổng Path Traversal trong phần mềm (ví dụ như CVE-2024-1708 hay CVE-2024-20345) để xâm phạm người dùng sử dụng các phần mềm, ảnh hưởng đến các lĩnh vực cơ sở hạ tầng quan trọng, trong đó có ngành y tế.
Ví dụ: Lỗ hổng Path Traversal ScreenConnect CVE-2024-1708 có liên quan đến lỗ hổng vượt qua xác thực CVE-2024-1709 trong các cuộc tấn công mã độc tống tiền Black Basta và Bl00dy để phân phối CobaltStrike beacon và các biến thể của mã độc tống tiền LockBit.
CISA và FBI khuyến nghị các nhà phát triển phần mềm nên triển khai các biện pháp giảm thiểu nhằm ngăn chặn các lỗ hổng Path Traversal, bao gồm:
- Tạo mã định danh ngẫu nhiên cho từng tệp và lưu trữ siêu dữ liệu (metadata) liên quan riêng biệt (ví dụ trong cơ sở dữ liệu) thay vì sử dụng thông tin đầu vào của người dùng khi đặt tên tệp.
- Giới hạn chặt chẽ các loại ký tự có thể được cung cấp trong tên tệp.
- Đảm bảo rằng các tệp đã tải lên (upload) không có quyền thực thi.
CISA hiện liệt kê 55 lỗ hổng Path Traversal trong Danh mục các lỗ hổng bị khai thác đã biết (KEV). CISA và FBI cũng nhấn mạnh rằng vòng đời phát triển phần mềm an toàn theo thiết kế là cơ sở để loại bỏ các lỗ hổng bảo mật, bao gồm cả Path Traversal.
Hai cơ quan cho biết, bằng cách thực hiện đầy đủ các nguyên tắc và thực tiễn thiết kế an toàn được khuyến nghị, các nhà sản xuất phần mềm có thể bảo vệ khách hàng của họ trước các mối đe dọa tấn công độc hại.
Trước đây, tháng 3/2024, CISA và FBI đã đưa ra một cảnh báo bảo mật khác, kêu gọi giám đốc điều hành của các công ty sản xuất phần mềm thực hiện các biện pháp giảm thiểu để ngăn chặn các lỗ hổng bảo mật SQL Injection.
Vũ Mạnh Hà
(Tổng hợp)
09:00 | 04/03/2024
13:00 | 17/04/2024
09:00 | 20/06/2024
13:00 | 23/01/2024
10:00 | 31/07/2024
Ngày 25/7/2024, Trung tâm nâng cao năng lực an ninh mạng ASEAN - Nhật Bản (ASEAN - Japan Cybersecurity Capacity Building Centre, viết tắt là AJCCBC) phối hợp với Cơ quan an ninh mạng quốc gia Thái Lan tổ chức cuộc thi Sinh viên với an toàn thông tin ASEAN. Trong đó, các thí sinh tham gia đến từ Việt Nam đã đạt giành 7 vị trí dẫn đầu cuộc thi.
08:00 | 23/07/2024
Ngày 23/7/1996, Ban Cơ yếu Chính phủ đã có Tờ trình báo cáo Thủ tướng Chính phủ, Ủy ban Pháp luật Quốc hội, Bộ Tư pháp về việc đề nghị đưa dự án Pháp lệnh Cơ yếu vào chương trình xây dựng pháp luật của Chính phủ và Quốc hội.
11:00 | 18/07/2024
Trung tâm Ứng cứu khẩn cấp không gian mạng Việt Nam thuộc Cục An toàn thông tin (Bộ TT&TT) vừa cảnh báo các cơ quan, tổ chức, doanh nghiệp tại Việt Nam về loại mã độc mã hóa dữ liệu mới có tên Eldorado, nhắm vào các hệ thống dùng VMware ESXi và Windows.
14:00 | 08/07/2024
Tin tặc đã sửa đổi mã nguồn của ít nhất 05 plugin được lưu trữ trên WordPress.org để thêm vào các tập lệnh PHP độc hại, nhằm tạo tài khoản mới với đặc quyền quản trị trên các trang web sử dụng chúng.
Xin kính chào quý vị và các bạn đang theo dõi bản tin podcast Ngày này năm xưa của Tạp chí An toàn thông tin điện tử. Sau đây là một số dấu mốc quan trọng, tiêu biểu của ngành Cơ yếu Việt Nam liên quan đến ngày 25/8 mà Tạp chí An toàn thông tin điện tử tổng hợp. Xin kính mời quý vị và các bạn lắng nghe.
14:00 | 25/08/2024
Sáng ngày 07/8/2024, tại Hà Nội, Tạp chí An toàn thông tin đã tổ chức Hội nghị Hội đồng biên tập Ấn phẩm An toàn thông tin năm 2024. Đồng chí Thiếu tướng, TS. Nguyễn Hữu Hùng, Phó Trưởng ban Ban Cơ yếu Chính phủ, Chủ tịch Hội đồng biên tập Ấn phẩm An toàn thông tin chủ trì Hội nghị. Tham dự Hội nghị có các đồng chí trong Hội đồng biên tập Ấn phẩm An toàn thông tin; đại diện lãnh đạo một số cơ quan, đơn vị thuộc Ban và cán bộ thuộc Tạp chí An toàn thông tin.
16:00 | 07/08/2024
Ngày 18/8, tại thành phố Quy Nhơn, tỉnh Bình Định, Lễ khởi công Dự án Trung tâm Trí tuệ nhân tạo - Đô thị phụ trợ đã chính thức diễn ra. Dự án trọng điểm này bao gồm 3 phân khu chức năng chính: Trung tâm trí tuệ nhân tạo, Khu giáo dục và đào tạo, và Khu đô thị phụ trợ.
16:00 | 21/08/2024