Mới đây, lỗ hổng bảo mật nghiêm trọng trên ứng dụng Jenkins đã được Công ty cổ phần An ninh mạng Việt Nam (VSEC) vừa đưa ra cảnh báo khẩn cấp.
Theo đó, khi khai thác nhờ lỗ hổng này thì hacker sẽ tấn công và xâm nhập được dữ liệu quan trọng của người dùng, từ đó tạo tiền đề chiếm quyền điều khiển hệ thống. Lỗ hổng đạt mức độ nghiêm trọng lên đến 9,4/10 theo thang điểm CVSS 3.1. Lỗ hổng bắt đầu xuất hiện từ phiên bản Jetty 9.4.27 - phiên bản bổ sung cơ chế xử lý nhiều request đến hệ thống cùng lúc gây lỗi tràn bộ đệm khiến ứng dụng bị lỗi.
Cùng với đó, nguyên nhân do phiên bản Jetty 9.4.27 sẽ có cơ chế giả lập 1 lỗi HTTP 431 cố ý, nhằm gửi thông báo về việc đang có request quá lớn lên máy chủ để hệ thống tự động xử lý trước khi bị tràn bộ nhớ. Cơ chế này lại vô tình tạo ra một lỗi đó là khiến luồng hoạt động của 2 người dùng độc lập có khả năng sẽ có cùng 1 bộ đệm vào cùng 1 thời điểm.
Tóm lại, nhờ khai thác lỗ hổng mà hacker sẽ trộm được thông tin người dùng, thậm chí phát tán dữ liệu mật, thậm chí chiếm được quyền điều khiển máy chủ, kiểm soát toàn bộ hệ thống thông tin quan trọng của doanh nghiệp. Hiện tại lỗ hổng đã được gắn mã định danh CVE-2019-17638 với đánh giá mức độ theo NIST: Critical - 9.4 (Nghiêm trọng)
Đến thời điểm hiện tại đã có hơn 200.000 máy chủ cài đặt Jenkins phiên bản bị lỗi công khai trên internet. Chính vì vậy, VSEC khuyến cáo các tổ chức, doanh nghiệp cần cập nhật phiên bản mới đã vá lỗ hổng (Jetty 9.4.30.v20200611) sớm nhất và nhanh nhất có thể.
Cùng với đó, một lưu ý nữa là các doanh nghiệp cũng cần hạn chế công khai những hệ thống đang sử dụng trong mạng nội bộ, cấu hình Whitelist các IP được truy cập vào các hệ thống quan trọng, đồng thời cài đặt mật khẩu mạnh đối với tài khoản hệ thống kể cả tài khoản có quyền hạn thấp.
