R là ngôn ngữ lập trình nguồn mở đặc biệt phổ biến trong tính toán thống kê và trực quan hóa dữ liệu, phù hợp với những người phát triển và sử dụng các mô hình phân tích dữ liệu tùy chỉnh, ngôn ngữ này hiện đang được áp dụng ngày càng nhiều trong trí tuệ nhân tạo và học máy.
Các nhà nghiên cứu tại công ty bảo mật ứng dụng HiddenLayer gần đây đã phát hiện ra một lỗ hổng trong R, được gắn mã theo dõi là CVE-2024-27322 (CVSS: 8,8), cho phép kẻ tấn công thực thi mã tùy ý trên các máy mục tiêu khi nạn nhân mở các tệp RDS hoặc R package files (RDX).
Trung tâm điều phối CERT (CERT/CC) của Đại học Carnegie Mellon (Hoa Kỳ) đưa ra lời khuyến nghị với CVE-2024-27322, lưu ý rằng lỗ hổng này có thể bị khai thác để thực thi mã tùy ý trên thiết bị mục tiêu của nạn nhân thông qua các tệp RDS hoặc RDX độc hại.
CERT/CC cho biết : “Kẻ tấn công có thể tạo các tệp .rds và .rdx độc hại và sử dụng kỹ nghệ xã hội để phân phối các tệp đó nhằm thực thi mã tùy ý trên thiết bị của nạn nhân. Các dự án (project) sử dụng readRDS trên các tệp không đáng tin cậy cũng dễ bị tấn công”.
RDS tương tự như pickle trong Python, là một định dạng được sử dụng để chuyển đổi trạng thái của một đối tượng thành một chuỗi byte sao cho chuỗi byte này có thể chuyển đổi ngược lại thành một đối tượng (serialization) và lưu trạng thái của cấu trúc dữ liệu hoặc đối tượng trong ngôn ngữ lập trình R.
Lỗ hổng CVE-2024-2732 khai thác cách R xử lý saveRDS và readRDS, đặc biệt thông qua các đối tượng Promise object (đại diện cho một giá trị ở thời điểm hiện tại có thể chưa tồn tại, nhưng sẽ được xử lý và có giá trị vào một thời gian nào đó trong tương lai) và cơ chế Lazy Evaluation.
Những kẻ tấn công có thể nhúng các đối tượng Promise object với mã tùy ý vào siêu dữ liệu (metadata) tệp RDS dưới dạng các biểu thức. Nguyên nhân chính phía sau lỗ hổng này là nó có thể dẫn đến thực thi mã tùy ý khi thực hiện quá trình Deserialization (cơ chế chuyển đổi trạng thái của một đối tượng), do đó khiến người dùng phải đối mặt với các cuộc tấn công chuỗi cung ứng thông qua các gói R được chế tạo đặc biệt.
Nạn nhân phải bị thuyết phục hoặc bị đánh lừa thực thi các tệp đó, vì vậy đây có thể là cuộc tấn công kỹ nghệ xã hội. Tuy nhiên, những kẻ tấn công có thể lựa chọn cách tiếp cận bị động hơn, đó là phân phối các gói độc hại trên các kho được sử dụng rộng rãi và chờ nạn nhân tải chúng xuống.
Vũ Hùng
(Tổng hợp)
14:00 | 25/04/2024
15:00 | 16/04/2024
15:00 | 16/04/2024
10:00 | 18/10/2024
Công ty bảo mật Zimperium (Mỹ) đã xác định được 40 biến thể mới của trojan ngân hàng TrickMo trên Android. Các biến thể này được liên kết với 16 chương trình dropper (một loại trojan horse để cài đặt phần mềm độc hại) và 22 cơ sở hạ tầng của máy chủ điều khiển và ra lệnh (C2) riêng biệt, với các tính năng mới để đánh cắp mã PIN Android.
16:00 | 04/09/2024
Kaspersky vừa phát hiện một nhóm tin tặc có tên Head Mare, chuyên tấn công các tổ chức ở Nga và Belarus bằng cách khai thác lỗ hổng zero-day trong phần mềm nén và giải nén phổ biến WinRAR.
08:00 | 26/08/2024
Trong vòng 6 tháng đầu năm 2024, các nạn nhân của mã độc tống tiền (ransomware) trên toàn cầu đã phải chi trả một con số khổng lồ lên tới 459,8 triệu USD cho tội phạm mạng, dự báo một kỷ lục đáng sợ mới về thiệt hại do ransomware gây ra trong năm nay. Bất chấp các nỗ lực của cơ quan chức năng, các băng nhóm tội phạm vẫn tiếp tục lộng hành, nhắm vào những mục tiêu lớn hơn, gây ra những cuộc tấn công quy mô với mức tiền chuộc ngày càng tăng chóng mặt.
14:00 | 05/08/2024
Các chuyên gia bảo mật vừa phát hiện chiến dịch độc hại nhằm vào thiết bị Android toàn cầu, sử dụng hàng nghìn bot Telegram để lây nhiễm mã độc đánh cắp mã OTP của người dùng tại 113 quốc gia.
14:00 | 11/09/2024|Công nghệ PKI
11:00 | 03/09/2024|GP ATM
08:00 | 26/08/2024|GP ATM
10:00 | 19/08/2024|Tin tức sản phẩm
Trong tháng 9/2024, Trung tâm Giám sát an toàn không gian mạng quốc gia (Cục An toàn thông tin, Bộ TT&TT) đã ghi nhận 125.338 địa chỉ website giả mạo các cơ quan, tổ chức tăng hơn 100 địa chỉ so với tháng 8 trước đó.
14:00 | 24/10/2024
