jQuery là một thư viện được xây dựng từ Javascript nhằm giúp lập trình viên xây dựng những chức năng có sử dụng Javascript trở nên dễ dàng hơn. jQuery được tích hợp nhiều module khác nhau từ module hiệu ứng cho đến module truy vấn selector. jQuery được sử dụng đến 99% trên tổng số website trên thế giới. Trong bộ thư viện này có một plugin rất quan trọng, jQuery File Upload được phát triển bới chuyên gia người Đức - Sebastian Tscha, plugin này hỗ trợ việc upload file lên máy chủ với rất nhiều tính năng ưu việt, thuận tiện cho người sử dụng trong việc viết các ứng dụng dựa trên nền tảng Apache Websever.
Tuy nhiên, một công bố mới đây của Nhà nghiên cứu về bảo mật Lary Cashdollar đã chỉ ra rằng, có tồn tại lỗ hổng cho phép việc tấn công chiếm quyền các máy chủ WebServer có sử dụng công cụ jQuery File Upload.
Báo cáo CVE-2018-9206 về phương thức tấn công lỗ hổng của công cụ jQuery File Upload
Vấn đề nghiêm trọng là plugin này đã được triển khai, sử dụng trong 8 năm. Nghiên cứu cho thấy, tin tặc đã âm thầm khai thác lỗ hổng tồn tại này ít nhất 3 năm mà không bị phát hiện ra. Dựa trên các thống kê của GitHub – trang web chuyên cung cấp các phần mềm mã nguồn mở trực tuyến, thì jQuery File Upload là một trong những công cụ được sử dụng rộng rãi, có khoảng 7.800 các ứng dụng có sử dụng công cụ này trong hàng nghìn các dự án khác nhau. Ngoài GitHub, còn rất nhiều những trang web cung cấp mã nguồn mở khác cũng có thể sử dụng jQuery File nên rất khó để có thể xác định được sức ảnh hưởng của lỗ hổng hệ thống này.
Sau khi công bố, Lary Cashdollar và Sebastian Tschan đã cùng làm việc với nhau để tìm ra nguyên nhân. Nguyên nhân được chỉ ra là do có cập nhật trong phiên bản mới của dịch vụ web server Apache HTTPD. Thay đổi mới này được thực hiện trong phiên bản Apache 2.3.9, trước 5 ngày so với ngày công bố đầu tiên của plugin jQuery Upload File. Upload này của Apache đã loại bỏ việc hỗ trợ cấu hình máy chủ thông qua .htaccess nhằm tăng tính bảo mật của hệ thống. Tuy nhiên, plugin jQuery Uploaf File lại dựa vào .htaccess để thi hành các tính năng bảo mật.
Lary Cashdollar khẳng định, việc Apache nâng cấp như vậy hoàn toàn hợp lý, nhưng sự thay đổi này cũng đã tác động không nhỏ đến các nhà phát triển cũng như các dự án, đặc biệt khi có sử dụng .htaccess như một tính năng bảo mật hệ thống.
Trong báo cáo CVE-2018-9206 của mình, Cashdollar đã chỉ ra rằng, các hướng dẫn khai thác lỗ hổng này thực tế đã được trình diễn, qua những video tràn lan trên Youtube từ năm 2015 và tìm kiếm trên Google cũng ra những kết quả tương tự.
Mặc dù Sebastian Tschan đã cải thiện vấn đề trong plugin jQuery Upload File phiên bản 9.22.1, tuy nhiên số lượng các phiên bản, các sản phẩm còn tồn tại lỗ hổng do có sử dụng công cụ này vẫn đang còn là ẩn số.
Tuấn Dũng
Tổng hợp
16:39 | 10/01/2017
08:00 | 19/10/2017
08:00 | 17/07/2019
15:41 | 17/04/2017
14:00 | 14/12/2018
14:00 | 20/08/2024
Theo Cisco Talos, một viện nghiên cứu trực thuộc chính phủ Đài Loan chuyên về điện toán và các công nghệ liên quan đã bị nhóm tin tặc có mối liên kết với Trung Quốc tấn công.
12:00 | 19/06/2024
Một lỗ hổng bảo mật ở mức điểm nghiêm trọng tối đa đã được phát hiện trong bộ định tuyến TP-Link Archer C5400X gaming có thể dẫn đến việc thực thi mã từ xa trên các thiết bị bằng cách gửi các yêu cầu độc hại.
11:00 | 29/05/2024
Nhóm tin tặc APT tới từ Triều Tiên có tên Kimsuky đã sử dụng một phần mềm độc hại trên Linux mới có tên Gomir để thực hiện các cuộc tấn công mạng vào các thực thể tại Hàn Quốc. Đây là phiên bản của backdoor GoBear được phân phối thông qua trình cài đặt phần mềm bị trojan hóa.
10:00 | 17/05/2024
Một hacker bị cáo buộc đã đánh cắp cơ sở dữ liệu quan trọng do Tập đoàn giao dịch chứng khoán Luân Đôn (LSEG) duy trì có chứa thông tin về những kẻ khủng bố, tội phạm tiềm năng và các cá nhân có nguy cơ cao hiện đang bị đe dọa rò rỉ hàng loạt dữ liệu nhạy cảm.
Cục Điều tra Liên bang Mỹ (FBI) mới đây đã đưa ra thông báo về sự cố gián đoạn cơ sở hạ tầng trực tuyến liên quan đến một nhóm tin tặc mã độc tống tiền mới nổi có tên là Dispossessor. Trong một nỗ lực nhằm giảm thiểu rủi ro do nhóm tội phạm này gây ra, FBI đã thu giữ 03 máy chủ tại Mỹ, 03 máy chủ tại Anh, 18 máy chủ tại Đức, 08 tên miền tại Mỹ và 01 tên miền tại Đức.
21:00 | 29/08/2024