Được sử dụng rộng rãi, nhưng phần mềm Jenkins đang chứa lỗ hổng nghiêm trọng có thể khiến hệ thống của cả doanh nghiệp rơi vào tay hacker

Nguyễn Hải , Theo Pháp luật & Bạn đọc

Trong khi tính năng mới trên phần mềm Jenkins đang giúp ích rất nhiều cho các nhà phát triển, nó lại chứa một lỗ hổng có thể bị hacker khai thác để chiếm quyền toàn bộ hệ thống của doanh nghiệp.

Jenkins – ứng dụng máy chủ tự động mã nguồn mở rất nổi tiếng và đang được sử dụng rộng rãi trong cộng đồng nhà phát triển trên thế giới cũng như tại Việt Nam. Tuy nhiên, mới đây công ty cổ phần An ninh mạng Việt Nam VSEC đã đưa ra một lời cảnh báo về lỗ hổng bảo mật vô cùng nghiêm trọng trong phần mềm này.

Lỗ hổng này bắt đầu xuất hiện từ phiên bản Jetty 9.4.27 – phiên bản này được rất nhiều nhà phát triển sử dụng do nó bổ sung cơ chế xử lý nhiều request đến hệ thống cùng một lúc có thể gây lỗi tràn bộ đệm, khiến ứng dụng bị lỗi.

Khác với những phiên bản trước đấy, phiên bản Jetty 9.4.27 hoạt động với cơ chế giả lập 1 lỗi HTTP 431 cố ý, nhằm gửi thông báo về việc đang có request quá lớn lên máy chủ để hệ thống tự động xử lý trước khi bị tràn bộ nhớ.

Được sử dụng rộng rãi, nhưng phần mềm Jenkins đang chứa lỗ hổng nghiêm trọng có thể khiến hệ thống của cả doanh nghiệp rơi vào tay hacker - Ảnh 1.

Nhưng cơ chế này lại vô tình tạo ra một lỗi không mong muốn, đó là khiến luồng hoạt động của 2 người dùng độc lập có khả năng sẽ có cùng 1 bộ đệm vào cùng 1 thời điểm, điều này đồng nghĩa với người này có thể vào bộ nhớ đệm chung và xem được hoạt động của người còn lại, trong đấy có thể sẽ chứa những thông tin như session ID, thông tin xác thực và thông tin nhạy cảm khác của những thành viên trong hệ thống máy chủ doanh nghiệp.

Với lỗ hổng nguy hiểm này, các hacker sẽ có thể thực hiện các hoạt động trái phép như đánh cắp thông tin, phát tán dữ liệu mật. Thậm chí chiếm được quyền điều khiển máy chủ, kiểm soát toàn bộ hệ thống thông tin quan trọng của doanh nghiệp. Hiện tại lỗ hổng đã được gắn mã định danh CVE-2019-17638 với đánh giá mức độ theo NIST: Critical – 9.4 (Nghiêm trọng) .

Về mức độ ảnh hưởng của lỗ hổng bảo mật ứng dụng mã nguồn mở Jenkins đối với các doanh nghiệp Việt Nam, chuyên gia VSEC cho biết, hệ thống CI (Continuous Integration) là một trong những hệ thống phổ biến nhất tại các doanh nghiệp công nghệ Việt Nam, 80% doanh nghiệp có hệ thống CI đều sử dụng ứng dụng Jenkins để giúp tự động hoá trong nhiều công đoạn phát triển phần mềm và các sản phẩm có nhiều người dùng như mạng xã hội, ứng dụng chát hay các trang thương mại điện tử. Theo thống kê, hiện có hơn 200.000 máy chủ cài đặt Jenkins phiên bản bị lỗi công khai trên Internet.

Do mức độ nghiêm trọng của lỗ hổng, VSEC khuyến cáo các tổ chức, doanh nghiệp cần cập nhật phiên bản mới đã vá lỗ hổng (Jetty 9.4.30.v20200611) sớm nhất và nhanh nhất có thể. Ngoài ra, các doanh nghiệp cần hạn chế công khai những hệ thống đang sử dụng trong mạng nội bộ, cấu hình Whitelist các IP được truy cập vào các hệ thống quan trọng, đồng thời cài đặt mật khẩu mạnh đối với tài khoản hệ thống kể cả tài khoản có quyền hạn thấp.