Nhóm nghiên cứu của EVA Information Security (công ty và kiểm thử tại Israel), cho biết đã phát hiện lỗi trong Cocoapods, trình quản lý phụ thuộc (Dependency Manager) được sử dụng rộng rãi cho các dự án phần mềm được mã hóa bằng ngôn ngữ lập trình Swift và Objective-C. Dependency Manager là công cụ quan trọng trong quá trình phát triển phần mềm, cho phép xác thực và ký mã hóa các gói phần mềm. Do đó, việc một công cụ như vậy gặp vấn đề sẽ tác động xấu đến nhiều phần của phần mềm hoặc web. Công ty cũng cho biết ba lỗ hổng này đã được CocoaPods vá kể từ tháng 10/2023.
Một trong ba lỗ hổng này có mã định danh là CVE-2024-38368 (điểm CVSS: 9.3), cho phép kẻ tấn công lạm dụng quy trình "Claim Your Pods" và chiếm quyền kiểm soát gói (package), dẫn đến việc can thiệp vào mã nguồn và thực hiện những thay đổi độc hại. Tuy nhiên, điều này yêu cầu tất cả những người bảo trì trước đó phải bị xóa khỏi dự án.
Nguồn gốc của vấn đề bắt nguồn từ năm 2014, khi quá trình chuyển đổi (migration) sang máy chủ Trunk đã khiến hàng nghìn package không rõ chủ sở hữu (hoặc chưa được xác nhận), cho phép kẻ tấn công sử dụng API công khai để xác nhận chủ sở hữu các pod và địa chỉ email có trong mã nguồn CocoaPods ("[email protected]") để chiếm quyền kiểm soát.
thứ hai thậm chí còn nghiêm trọng hơn (có mã định danh là CVE-2024-38366, điểm CVSS: 10.0), cho phép kẻ tấn công lợi dụng quy trình xác minh email không an toàn để thực thi mã tùy ý trên máy chủ Trunk, sau đó có thể được sử dụng để thao túng hoặc thay thế các package.
Lỗ hổng thứ 3 cũng được phát hiện trong thành phần xác minh địa chỉ email của dịch vụ này (có mã định danh là CVE-2024-38367, điểm CVSS: 8,2), có thể bị khai thác để đánh lừa người nhận truy cập vào liên kết xác minh trông có vẻ vô hại, nhưng thực tế, nó chuyển hướng yêu cầu đến miền do kẻ tấn công kiểm soát để có quyền truy cập vào mã xác thực phiên của nhà phát triển.
Nguy hiểm hơn, điều này có thể được nâng cấp thành cuộc tấn công không cần nhấp chuột bằng cách giả mạo tiêu đề HTTP - tức là sửa đổi trường tiêu đề X-Forwarded-Host - và lợi dụng các công cụ bảo mật email được cấu hình không an toàn.
Với việc nhiều ứng dụng có quyền truy cập vào thông tin nhạy cảm của người dùng như thẻ tín dụng, hồ sơ y tế, tài liệu riêng tư, hacker có thể lợi dụng lỗ hổng, cài ransomware hoặc các loại mã độc khác để thu thập chúng.
Cũng theo nhóm nghiên cứu, Apple là "trung tâm của mớ hỗn độn" khi đa số ứng dụng iOS và macOS đều được mã hóa bằng ngôn ngữ Swift và Objective-C, gồm cả những cái tên phổ biến như TikTok, Snapchat, LinkedIn, Netflix, Microsoft Teams, Facebook, Messenger. Do đó, hàng nghìn ứng dụng trên các nền tảng này có thể bị ảnh hưởng và "một cuộc tấn công vào hệ sinh thái ứng dụng di động có thể lây nhiễm cho hầu hết thiết bị của Apple, khiến hàng nghìn tổ chức dễ bị tổn thương về mặt tài chính và danh tiếng".
Bá Phúc
(Theo thehackernews)
10:00 | 28/06/2024
14:00 | 02/07/2024
14:00 | 05/08/2024
14:00 | 08/07/2024
10:00 | 19/08/2024
Công ty an ninh mạng Fortra (Hoa Kỳ) đã đưa ra cảnh báo về một lỗ hổng mới nghiêm trọng được phát hiện trên Windows có thể gây ra hiện tượng “màn hình xanh chết chóc”, đe dọa đến dữ liệu và hệ thống của hàng triệu người dùng.
13:00 | 06/08/2024
Các nhà nghiên cứu đã phát hiện ra một lỗ hổng nghiêm trọng mới trong Hệ thống phân giải tên miền (DNS) cho phép thực hiện một cuộc tấn công có tên là TuDoor. Cuộc tấn công này có thể được sử dụng nhằm vào bộ đệm DNS, khởi tạo các điều kiện để tấn công từ chối dịch vụ (DoS) và làm cạn kiệt tài nguyên, điều đó khiến nó trở thành mối đe dọa mới.
14:00 | 30/07/2024
Một nhóm tin tặc có liên quan đến Trung Quốc có tên là APT17 đã được phát hiện nhắm mục tiêu vào các công ty và tổ chức của Chính phủ Ý bằng cách sử dụng một biến thể của phần mềm độc hại đã biết có tên là 9002 RAT.
10:00 | 04/07/2024
Các nhà nghiên cứu đã phát hành một tập lệnh khai thác (PoC) cho chuỗi lỗ hổng dẫn đến thực thi mã từ xa (RCE) trên các máy chủ Progress Telerik Report.
Trong vòng 6 tháng đầu năm 2024, các nạn nhân của mã độc tống tiền (ransomware) trên toàn cầu đã phải chi trả một con số khổng lồ lên tới 459,8 triệu USD cho tội phạm mạng, dự báo một kỷ lục đáng sợ mới về thiệt hại do ransomware gây ra trong năm nay. Bất chấp các nỗ lực của cơ quan chức năng, các băng nhóm tội phạm vẫn tiếp tục lộng hành, nhắm vào những mục tiêu lớn hơn, gây ra những cuộc tấn công quy mô với mức tiền chuộc ngày càng tăng chóng mặt.
08:00 | 26/08/2024