Phát hiện lỗ hổng Java (Log4Shell) trên các phần mềm của Intel, Nvidia và Microsoft. Lỗ hổng này giúp hacker dễ dàng tấn công máy tính của nạn nhân từ xa mà chỉ cần truy cập vào trình duyệt. Ngược lại, AMD thì hiện tại vẫn được an toàn.
Gần đây, một lỗ hổng Java (Log4Shell) được phát hiện, lỗi này nghiêm trọng đến mức cho phép hacker thực hiện các lệnh từ xa trên máy tính bị tấn công. Lỗ hổng bảo mật này ảnh hưởng đến thư viện logging trong Apache - một mã nguồn mở phổ biến cho các máy chủ. Lỗ hổng bảo mật này ảnh hưởng đến bất kỳ hệ thống nào có thể truy cập trực tiếp từ trình duyệt, thiết bị di động hoặc lệnh gọi giao diện lập trình ứng dụng (hoặc API).
Ngược lại, AMD đã thông báo rằng sản phẩm phần mềm của họ hoàn toàn an toàn trước lỗ hổng này, phía Intel cũng đã liệt kê có tới 9 ứng dụng sử dụng Java đang dễ bị tấn công gồm:
- Intel Audio Development Kit
- Intel Datacenter Manager
- Intel oneAPI sample browser plugin for Eclipse
- Intel System Debugger
- Intel Secure Device Onboard (mitigation available on GitHub)
- Intel Genomics Kernel Library
- Intel System Studio
- Computer Vision Annotation Tool maintained by Intel
- Intel Sensor Solution Firmware Development Kit
Việc khai thác lỗ hổng trong dịch vụ Log4J của Apache cho phép hacker đánh lừa máy chủ nạn nhân tải xuống và chạy mã độc tùy ý được lưu trữ trên máy chủ của hacker kiểm soát, phá vỡ nhiều lớp bảo mật khác nhau của phần mềm. Điều quan trọng, việc đánh cắp thông tin có thể thực hiện từ xa, dễ dàng kích hoạt thông qua bất kỳ máy chủ này có quyền truy cập trình duyệt. Điều này giải thích lý do tại sao lỗ hổng bảo mật được phân loại theo giá trị cao nhất có thể của nguyên tắc "CVSS 3.0": 10. Intel hiện đang làm việc để cung cấp các phiên bản cập nhật của các ứng dụng này nhằm giảm thiểu lỗ hổng.
AMD đã thông báo rằng sau khi điều tra sơ bộ, không có sản phẩm nào của họ bị ảnh hưởng bởi lỗ hổng bảo mật. Tuy nhiên, xem xét tác động tiềm tàng của nó, AMD cho biết họ vẫn đang “tiếp tục phân tích”.
Tình hình của Nvidia phức tạp hơn một chút: Nếu sử dụng các bản cập nhật mới nhất cho các dịch vụ và dịch vụ con của mỗi ứng dụng, thì hiện tại không có lỗ hổng có thể khai thác được. Tuy nhiên, các nhà quản lý máy chủ không phải lúc nào cũng giới thiệu các bản cập nhật mới nhất trên máy của họ và đối với các bản cập nhật đó, công ty liệt kê 4 sản phẩm riêng biệt dễ bị tấn công bởi "Log4Shell" nếu không được cập nhật gồm:
- CUDA Toolkit Visual Profiler and Nsight Eclipse Edition
- DGX Systems
- NetQ
- vGPU Software License Server
Hơn nữa, Nvidia phân phối các hệ thống máy tính doanh nghiệp DGX của mình với các gói Ubuntu-Linux và người dùng có thể tự cài đặt khối chức năng Log4J của Apache. Do đó, các hệ thống được an toàn theo cấu hình của mặc định. Tuy nhiên, trong trường hợp dịch vụ Log4J đã được cài đặt, Nvidia sẽ nhắc người dùng cập nhật dịch vụ lên phiên bản mới nhất để khóa lỗ hổng bảo mật.
Về phần Microsoft, công ty đã phát hành bản cập nhật cho hai sản phẩm của mình nhắm vào lỗ hổng này: Azure Spring Cloud sử dụng một số phần tử Log4J nhất định trong quá trình khởi động, khiến nó dễ bị khai thác trừ khi được cập nhật. Ứng dụng Azure DevOps của Microsoft cũng đã nhận được các biện pháp giảm nhẹ nhằm vô hiệu hóa hoạt động khai thác.
BIÊN TẬP VIÊN - DIỄM TRANG
Viết bình luận
Bình luận
Hiện tại bài viết này chưa có bình luận.