G
Genk tin-ict
Guest
Vào đầu tháng 10 năm 2020, Zoho - tập đoàn công nghệ phát triển phần mềm hàng đầu thế giới đã công bố một lỗ hổng vô cùng nguy hiểm trên MEAM (ManageEngine Application Manager) – phần mềm giám sát máy chủ và ứng dụng. Lỗ hổng nghiêm trọng này được phát hiện có mức độ nguy hiểm gần như tuyệt đối 9.8/10 (đánh giá theo Viện Tiêu chuẩn và Kỹ thuật quốc gia NIST) và được gắn mã định danh là CVE-2020-15394.
Điều đặc biệt, người phát hiện ra lỗ hổng này là anh Giang Tuấn Anh - một kỹ sư bảo mật người Việt hiện đang công tác tại công ty cổ phần an ninh mạng Việt Nam (VSEC) - anh đã được Zoho vinh danh trên website tìm kiếm Bug Bounty của hãng.
Lỗ hổng này cho phép hacker thực thi các câu lệnh SQL tùy ý mà không cần xác thực và lợi dụng một số "chức năng" của Postgresql để thực thi lệnh hệ điều hành trái phép trên máy chủ, dẫn tới việc hacker chiếm quyền điều khiển cao nhất với máy chủ (bao gồm quyền system trên windows và quyền root trên linux).
Do có nhiệm vụ giám sát nên phần mềm ManageEngine Application Manager (MEAM) chứa rất nhiều dữ liệu nhạy cảm như thông tin đăng nhập của các thiết bị được giám sát, SSH key,.. do đó khi chiếm quyền đc MEAM, hacker hoàn toàn có thể chiếm quyền điều khiển các thiết bị, máy chủ khác trong mạng.
Theo anh Giang Tuấn Anh chia sẻ: "Do tính chất phức tạp của MEAM nên việc debug tốn rất nhiều thời gian, nhất là phần tìm cách bỏ qua xác thực, nhưng cuối cùng tôi cũng tìm được và xâu chuỗi các lỗ hổng riêng lẻ thành lỗ hổng có tác động cao".
MEAM là một trong những phần mềm giám sát máy chủ và ứng dụng phổ biến nhất trên thế giới. Tại Việt Nam, 70% ngân hàng và hơn 500 khách hàng là doanh nghiệp vừa và lớn đang sử dụng phần mềm này. Việc phát hiện ra lỗi này sẽ giúp hàng nghìn doanh nghiệp đang sử dụng phần mềm tránh khỏi nguy cơ bị tấn công và đánh cắp dữ liệu. Zoho cũng cho biết họ đã tiến hành vá lỗ hổng trong phiên bản 14750 trở lên.
Anh Giang Tuấn Anh là một trong số ít các kỹ sư bảo mật Việt Nam sở hữu 3 chứng chỉ quốc tế về An toàn thông tin uy tín hàng đầu thế giới là OSCE, OSCP, OSWE.
Điều đặc biệt, người phát hiện ra lỗ hổng này là anh Giang Tuấn Anh - một kỹ sư bảo mật người Việt hiện đang công tác tại công ty cổ phần an ninh mạng Việt Nam (VSEC) - anh đã được Zoho vinh danh trên website tìm kiếm Bug Bounty của hãng.
Lỗ hổng này cho phép hacker thực thi các câu lệnh SQL tùy ý mà không cần xác thực và lợi dụng một số "chức năng" của Postgresql để thực thi lệnh hệ điều hành trái phép trên máy chủ, dẫn tới việc hacker chiếm quyền điều khiển cao nhất với máy chủ (bao gồm quyền system trên windows và quyền root trên linux).
Do có nhiệm vụ giám sát nên phần mềm ManageEngine Application Manager (MEAM) chứa rất nhiều dữ liệu nhạy cảm như thông tin đăng nhập của các thiết bị được giám sát, SSH key,.. do đó khi chiếm quyền đc MEAM, hacker hoàn toàn có thể chiếm quyền điều khiển các thiết bị, máy chủ khác trong mạng.
Theo anh Giang Tuấn Anh chia sẻ: "Do tính chất phức tạp của MEAM nên việc debug tốn rất nhiều thời gian, nhất là phần tìm cách bỏ qua xác thực, nhưng cuối cùng tôi cũng tìm được và xâu chuỗi các lỗ hổng riêng lẻ thành lỗ hổng có tác động cao".
MEAM là một trong những phần mềm giám sát máy chủ và ứng dụng phổ biến nhất trên thế giới. Tại Việt Nam, 70% ngân hàng và hơn 500 khách hàng là doanh nghiệp vừa và lớn đang sử dụng phần mềm này. Việc phát hiện ra lỗi này sẽ giúp hàng nghìn doanh nghiệp đang sử dụng phần mềm tránh khỏi nguy cơ bị tấn công và đánh cắp dữ liệu. Zoho cũng cho biết họ đã tiến hành vá lỗ hổng trong phiên bản 14750 trở lên.
Anh Giang Tuấn Anh là một trong số ít các kỹ sư bảo mật Việt Nam sở hữu 3 chứng chỉ quốc tế về An toàn thông tin uy tín hàng đầu thế giới là OSCE, OSCP, OSWE.
Tin tức khác
- Satya Nadella nối gót Bill Gates, trở thành CEO kiêm Chủ tịch hội đồng quản trị của Microsoft
- OnePlus và Oppo chính thức sáp nhập với nhau
- Giải thưởng “Sản phẩm Công nghệ số Make in Viet Nam” năm 2021 sắp được phát động
- Giới đào coin đã mua sạch card đồ họa ra sao: 700.000 GPU thành 'trâu cày', 25% số card bán ra rơi vào tay thợ đào coin
- EZVIZ chung tay tạo môi trường làm việc an toàn hơn cho y bác sĩ ngày đêm chống dịch
- Apple mời cựu giám đốc BMW về làm việc cho dự án xe điện?
- Tìm hiểu về công nghệ điều hoà không gió buốt siêu tiết kiệm điện của Samsung
- Các dòng code làm nên World Wide Web sắp được bán đấu giá dưới dạng NFT, khởi điểm từ 1.000 USD
- Bong bóng vật phẩm ảo NFT đang xì hơi?
- Một ai đó vừa chi ra 92 tỷ đồng để sở hữu meme huyền thoại nhất trong lịch sử Internet
- Hệ điều hành iOS sẽ sớm “khai tử” mật khẩu và nâng cấp tài khoản của chúng ta khó bị hack hơn
- Thu 10 đồng lãi 6 lại được miễn thuế, công ty phần mềm diệt virus của BKAV được định giá gần 100 triệu USD
