Mã nguồn trên NuGet tồn tại lỗ hổng cho phép tin tặc tấn công nền tảng .NET

10:00 | 21/07/2021 | LỖ HỔNG ATTT

Một nghiên cứu mới đây về các gói tiêu chuẩn trên không gian lưu trữ NuGet chỉ ra, có đến 51 thành phần phần mềm đơn lẻ tồn tại các lỗ hổng có mức độ nghiêm trọng và đang bị khai thác. Nghiên cứu một lần nữa cho thấy mối đe dọa mà quá trình phát triển phần mềm phải đối mặt khi phụ thuộc vào các bên thứ ba.

Mã nguồn trên NuGet tồn tại lỗ hổng cho phép tin tặc tấn công nền tảng .NET

Nhà nghiên cứu Karlo Zanki (ReversingLabs) cho biết, trong bối cảnh ngày càng có nhiều sự cố tấn công vào các , việc đánh giá rủi ro bảo mật và giảm thiểu nguy cơ bị tấn công của các môđun bên thứ ba là vô cùng cấp thiết. Đối tượng trong nghiên cứu là các phiên bản khác nhau của 7Zip, WinSCP và PuTTYgen, những chương trình cung cấp chức năng mạng và nén phức tạp. Chúng liên tục được cập nhật để cải thiện chức năng và giải quyết các lỗ hổng bảo mật. Tuy nhiên, đôi khi xảy ra tình huống các chương trình được cập nhật nhưng vẫn sử dụng thành phần phụ thuộc là các phiên bản cũ có nhiều .

Trong một trường hợp, thư viện quản lý tệp máy chủ từ xa “WinSCPHelper” với hơn 35.000 lượt tải xuống, sử dụng phiên bản WinSCP 5.11.2 cũ vẫn tồn tại lỗ hổng.

Các nhà nghiên cứu đã chỉ ra rằng hơn 50.000 thành phần phần mềm trong các gói NuGet được liên kết tĩnh với phiên bản chưa được cập nhật của thư viện “zlib”, khiến chúng đứng trước thông qua một loạt lỗ hổng như CVE-2016-9840, CVE- 2016-9841, CVE-2016-9842 và CVE-2016-9843. Một số gói có lỗ hổng zlib là “DicomObjects” và “librdkafka.redist”, mỗi gói được tải xuống khoảng 18,2 triệu lần.

Đáng lưu ý, "librdkafka.redist “là một thành phần phụ thuộc cho một số gói phổ biến khác, bao gồm cả ứng dụng .NET của Confluent cho Apache Kafka (Confluent.Kafka) với hơn 17,6 triệu lượt tải.

Các công ty phát triển giải pháp phần mềm cần nhận thức rõ hơn về những rủi ro và tham gia nhiều hơn vào quá trình xử lý. Cả đầu vào và đầu ra cuối cùng của quá trình phát triển phần mềm đều cần được kiểm tra để phát hiện các vấn đề về chất lượng mã và tính xác thực. Phát triển phần mềm minh bạch là một trong những nền tảng cần thiết để phát hiện sớm và ngăn chặn các cuộc tấn công chuỗi cung ứng phần mềm.

M.H

‹ › ×

Tin liên quan

Adobe phát hành mã nguồn mở 'one-stop shop' phát hiện các mối đe dọa bảo mật và dữ liệu bất thường

15:00 | 31/05/2021

Dự án mã nguồn mở phát hiện bất thường one-stop shop của Adobe trên GitHub, đã được phát triển để giúp phát hiện các bất thường trong tập dữ liệu dễ dàng hơn, cũng như cải thiện quá trình xử lý và định dạng dữ liệu nhật ký bảo mật.

Liquid Global bị tin tặc tấn công chiếm đoạt 94 triệu USD

11:00 | 29/08/2021

Sàn tiền số Liquid Global (Nhật Bản) cho biết đã bị tin tặc tấn công, chiếm đoạt số tiền ảo trị giá hơn 94 triệu USD.

Ứng dụng OpenNMS trong giám sát an ninh mạng (phần 1)

07:00 | 06/08/2021

Phát triển công nghệ mở phục vụ chuyển đổi số, triển khai chính phủ điện tử là một định hướng quan trọng của chiến lược phát triển trong những năm tới đây của các Bộ, Ban, Ngành. Một phần quan trọng trong phát triển công nghệ mở là phát triển, sử dụng các giải pháp mã nguồn mở. Việc xây dựng, triển khai hệ thống giám sát an ninh mạng tại các tổ chức, doanh nghiệp cũng nên xem xét các giải pháp mã nguồn mở như OpenMNS, Zabbix, Spunk,... để ứng dụng hiệu quả cho các hệ thống mạng.

Vụ SolarWinds - tin tặc đánh cắp một số mã nguồn của Microsoft

08:00 | 22/02/2021

Sau khi kết thúc cuộc điều tra về vụ tấn công SolarWinds, Microsoft phát hiện một số mã nguồn đã bị đánh cắp, nhưng không có bằng chứng nào cho thấy tin tặc lợi dụng hệ thống nội bộ của hãng để tấn công các công ty khác hoặc giành quyền truy cập vào các dịch vụ hoặc dữ liệu khách hàng.

10 công cụ thu thập thông tin thông minh mã nguồn mở phổ biến

08:00 | 22/02/2021

Internet đã trở thành một phần không thể thiếu đối với cuộc sống của con người, nó mang lại rất nhiều lợi ích như cung cấp những ứng dụng, thông tin trao đổi phục vụ công việc, học tập, giải trí... Tuy nhiên, người dùng Internet cũng phải đối mặt với nhiều rủi ro mất an toàn thông tin. Thông tin trên In-ternet của người dùng có thể bị sử dụng bởi người khác. Thông tin đó có thể ở nhiều dạng khác nhau như âm thanh, video, hình ảnh, văn bản hay tập tin.

Tin cùng chuyên mục

Lỗ hổng mới của GitLab có thể cho phép thực thi CI/CD Pipeline tùy ý

10:00 | 18/10/2024

GitLab đã phát hành bản cập nhật bảo mật cho Community Edition (CE) và Enterprise Edition (EE) để giải quyết 08 lỗ hổng bảo mật, bao gồm một lỗ hổng nghiêm trọng có thể cho phép thực thi các CI/CD Pipeline tùy ý.

Hàn Quốc điều tra vai trò của Telegram trong việc lan truyền nội dung deepfake

07:00 | 16/09/2024

Trước những cáo buộc liên quan đến việc hỗ trợ tội phạm tình dục bằng công nghệ deepfake, ứng dụng nhắn tin Telegram đang bị nhà chức trách Hàn Quốc tiến hành điều tra sơ bộ để làm rõ trách nhiệm.

Nhóm tin tặc Stargazer Goblin tạo tài khoản GitHub giả để phát tán phần mềm độc hại và đánh cắp dữ liệu

14:00 | 06/08/2024

Một nhóm tin tặc có tên Stargazer Goblin đã thiết lập một mạng lưới các tài khoản GitHub không xác thực để cung cấp dịch vụ phân phối dưới dạng dịch vụ (DaaS) nhằm phát tán nhiều loại phần mềm độc hại và đánh cắp thông tin, nhóm đã thu về 100.000 USD lợi nhuận bất hợp pháp trong năm qua.

Toàn cảnh Microsoft gặp sự cố dịch vụ quy mô lớn gây ảnh hưởng trên toàn cầu

10:00 | 23/07/2024

Ngày 19/7, dịch vụ đám mây Azure, Microsoft 365 và Teams của Microsoft gặp trục trặc khiến hàng nghìn chuyến bay trên toàn cầu bị hoãn, hủy và gây gián đoạn hoạt động tại nhiều sân bay. Nguyên nhân vấn đề được cho là xuất phát từ lỗi trong hệ thống của Công ty an ninh mạng toàn cầu CrowdStrike (Mỹ) - đối tác của Microsoft. Đây được coi là sự cố lớn nhất trong lịch sử với mức độ ảnh hưởng sâu rộng từ giao thông vận tải, ngân hàng đến an ninh, y tế...