Chủ nhật 19/07/2026 07:58
Hotline: 024.355.63.010
Kinh tế số

Cảnh báo nguy cơ bị tấn công khi dùng các sản phẩm phần mềm mã nguồn mở của WSO2

21/04/2022 23:05
WSO2 cung cấp các sản phẩm phần mềm mã nguồn mở thường được sử dụng nhiều trong các cơ quan tổ chức có hệ thống thông tin với quy mô lớn như một giải pháp chia sẻ dữ liệu tập trung. Vì vậy theo đánh giá sơ bộ của Trung tâm Giám sát an toàn không gian

Ngày 1/4/2022, WSO2 đã công bố lỗ hổng bảo mật CVE-2022-29464 (WSO2-2021-1738) ảnh hưởng đến các sản phẩm của WSO2 bao gồm WSO2 API Manager, WSO2 Identity Server, WSO2 Enterprise Integrator. Lỗ hổng này có điểm CVSS: 9.8 (nghiêm trọng) cho phép đối tượng tấn công tải tệp tùy ý lên máy chủ từ đó thực thi mã từ xa.

WSO2 cung cấp các sản phẩm phần mềm mã nguồn mở thường được sử dụng nhiều trong các cơ quan tổ chức có hệ thống thông tin với quy mô lớn như một giải pháp chia sẻ dữ liệu tập trung. Vì vậy theo đánh giá sơ bộ của Trung tâm Giám sát an toàn không gian mạng quốc gia (NCSC, Cục An toàn thông tin) mức độ ảnh hưởng của lỗ hổng này rất lớn.

Nhằm đảm bảo an toàn thông tin cho hệ thống thông tin, NCSC khuyến nghị các cơ quan, tổ chức đơn vị kiểm tra, rà soát và xác minh hệ thống thông tin có sử dụng sản phẩm WSO2. Trong trường hợp bị ảnh hưởng, đơn vị cần nâng cấp lên phiên bản mới nhất hoặc thực hiện các biện pháp khắc phục thay thế nhằm giảm thiểu nguy cơ tấn công.

Cảnh báo nguy cơ bị tấn công khi dùng các sản phẩm phần mềm mã nguồn mở của WSO2
Cảnh báo nguy cơ bị tấn công khi dùng các sản phẩm phần mềm mã nguồn mở của WSO2.

Ngoài ra, cần tăng cường giám sát và sẵn sàng phương án xử lý khi phát hiện có dấu hiệu bị khai thác, tấn công mạng; đồng thời thường xuyên theo dõi kênh cảnh báo của các cơ quan chức năng và các tổ chức lớn về an toàn thông tin để phát hiện kịp thời các nguy cơ tấn công mạng.

Trong trường hợp cần hỗ trợ, các tổ chức đơn vị có thể liên hệ Trung tâm Giám sát an toàn không gian mạng quốc gia (NCSC), điện thoại: 02432091616, thư điện tử: [email protected].

Ngoài phần mềm nguồn mở WSO2, Microsoft cũng đã phát hành danh sách bản vá trong tháng Tư với 128 lỗ hổng bảo mật trong các sản phẩm của hãng. Trong bản phát hành lần này, đặc biệt đáng chú ý có 3 lỗ hổng bảo mật mức nghiêm trọng và 4 lỗ hổng mức cao. Cụ thể, các lỗ hổng bảo mật có mức ảnh hưởng nghiêm trọng gồm CVE-2022-26809, CVE-2022-24491 và CVE-2022-24497.

Trong số đó, lỗ hổng bảo mật CVE-2022-26809 tồn tại trong RPC Runtime Library, ảnh hưởng đến các máy dùng hệ điều hành Windows 7/8.1/10/11 và Windows Server 2008/2012/2016/2019/2022. Lỗ hổng này cho phép đối tượng tấn công thực thi mã từ xa với đặc quyền cao trên hệ thống bị ảnh hưởng.

Hai lỗ hổng bảo mật có mức ảnh hưởng nghiêm trọng khác là CVE-2022-24491 và CVE-2022-24497 tồn tại trong Windows Network File System, cho phép đối tượng tấn công thực thi mã từ xa với đặc quyền cao.

Các lỗ hổng bảo mật có mức ảnh hưởng cao được Cục An toàn thông tin cảnh báo tới các cơ quan, tổ chức, doanh nghiệp gồm: Lỗ hổng CVE-2022-26815 trong Windows DNS Server cho phép đối tượng tấn công thực thi mã từ xa; Lỗ hổng CVE-2022-26904 trong Windows User Profile Service cho phép đối tượng tấn công thực hiện tấn công nâng cao đặc quyền, đáng chú ý là lỗ hổng này đã có mã khai thác công khai trên Internet.

Lỗ hổng bảo mật CVE-2022-26919 trong Windows LDAP cho phép đối tượng tấn công thực thi mã từ xa; và lỗ hổng bảo mật CVE-2022-24521 trong Windows Common Log File System Driver cho phép đối tượng tấn công thực hiện tấn công nâng cao đặc quyền.

PV

Bài liên quan
Tin bài khác
Thủ tướng Australia chịu sức ép siết quản lý AI và trung tâm dữ liệu

Thủ tướng Australia chịu sức ép siết quản lý AI và trung tâm dữ liệu

AI và trung tâm dữ liệu đang trở thành phép thử mới với chính phủ Australia, khi công đoàn yêu cầu Thủ tướng Anthony Albanese đặt quyền lợi người lao động vào trung tâm của các chính sách công nghệ.
Nhân viên liên bang Mỹ được tải TikTok trên thiết bị chính phủ

Nhân viên liên bang Mỹ được tải TikTok trên thiết bị chính phủ

Bộ Tư pháp Mỹ cho rằng lệnh cấm TikTok trên thiết bị công vụ không còn áp dụng, sau khi ByteDance hoàn tất thỏa thuận chuyển quyền kiểm soát dữ liệu người dùng và hoạt động tại Mỹ cho liên doanh TikTok USDS.
Cuộc chiến chip Mỹ - Trung nóng lên vì Apple

Cuộc chiến chip Mỹ - Trung nóng lên vì Apple

Các nghị sĩ Mỹ đang thúc ép chính quyền Trump ngăn doanh nghiệp trong nước mua chip nhớ từ Trung Quốc, trong đó Apple được nhắc đến giữa lúc nguồn cung DRAM toàn cầu căng thẳng vì làn sóng đầu tư vào AI.
Google mở rộng Chế độ AI, cho phép tương tác trực tiếp với nhiều ứng dụng phổ biến

Google mở rộng Chế độ AI, cho phép tương tác trực tiếp với nhiều ứng dụng phổ biến

Google bắt đầu triển khai khả năng kết nối và tương tác với các ứng dụng bên thứ ba ngay trong Chế độ AI, giúp người dùng thực hiện nhiều tác vụ như mua sắm, thiết kế hay tạo danh sách phát mà không cần rời khỏi giao diện tìm kiếm.
Singapore cân nhắc hạn chế trẻ em tiếp cận mạng xã hội thiếu an toàn

Singapore cân nhắc hạn chế trẻ em tiếp cận mạng xã hội thiếu an toàn

Singapore đang cân nhắc cách tiếp cận linh hoạt nhằm bảo vệ trẻ em trên không gian mạng, trong đó các nền tảng không đáp ứng tiêu chuẩn an toàn có thể bị hạn chế đối với người dùng dưới 18 tuổi.
Apple đối mặt nguy cơ thiếu chip A18 Pro, sản lượng MacBook Neo có thể giảm tới 40%

Apple đối mặt nguy cơ thiếu chip A18 Pro, sản lượng MacBook Neo có thể giảm tới 40%

Nhu cầu chip AI tăng mạnh đang tạo áp lực lên năng lực sản xuất chip tiên tiến của TSMC, khiến Apple đối mặt nguy cơ thiếu chip A18 Pro. Điều này có thể khiến sản lượng MacBook Neo thấp hơn tới 40% so với mục tiêu ban đầu.
Miễn trừ trách nhiệm để gỡ điểm nghẽn cơ chế sandbox

Miễn trừ trách nhiệm để gỡ điểm nghẽn cơ chế sandbox

Dù khung thể chế đã hình thành sau hơn một năm rưỡi thực hiện Nghị quyết 57, các mô hình công nghệ mới vẫn giẫm chân tại chỗ. Rào cản lớn nhất hiện nay là sự e ngại rủi ro của cơ quan quản lý. Để tháo gỡ, cơ chế sandbox phải đi kèm hành lang bảo vệ pháp lý vững chắc cho những người dám làm, dám thử nghiệm.
Hyundai sắp nắm trọn Boston Dynamics: Robot hình người Atlas có thể vào nhà máy từ năm 2028

Hyundai sắp nắm trọn Boston Dynamics: Robot hình người Atlas có thể vào nhà máy từ năm 2028

Hyundai Motor Group cho biết sẽ mua lại phần cổ phần còn lại của SoftBank tại Boston Dynamics, qua đó biến công ty robot nổi tiếng của Mỹ thành công ty con thuộc sở hữu hoàn toàn. Động thái này được xem là bước đi quan trọng trong tham vọng đưa robot và AI vào dây chuyền sản xuất ô tô.
Tây Ninh chọn AI và UAV làm động lực tăng trưởng mới

Tây Ninh chọn AI và UAV làm động lực tăng trưởng mới

“Tây Ninh xác định thiết bị bay không người lái (UAV) và trí tuệ nhân tạo (AI) là hai lĩnh vực công nghệ chiến lược ưu tiên triển khai trong giai đoạn tới”, Chủ tịch UBND tỉnh Tây Ninh Lê Văn Hẳn đặc biệt nhấn mạnh.
Trung Quốc thúc đẩy vai trò trong quản trị trí tuệ nhân tạo toàn cầu

Trung Quốc thúc đẩy vai trò trong quản trị trí tuệ nhân tạo toàn cầu

Hội nghị Trí tuệ nhân tạo thế giới tại Thượng Hải được kỳ vọng trở thành diễn đàn để Trung Quốc thể hiện tầm nhìn về quản trị AI toàn cầu, đồng thời giới thiệu những bước tiến mới trong xây dựng năng lực công nghệ tự chủ giữa lúc cạnh tranh công nghệ với Mỹ tiếp tục gia tăng.
Người Việt dẫn đầu Đông Nam Á về sử dụng Gemini cho học tập

Người Việt dẫn đầu Đông Nam Á về sử dụng Gemini cho học tập

Google cho biết Việt Nam đang dẫn đầu Đông Nam Á về tỷ lệ sử dụng Gemini cho học tập và tương tác bằng tiếng Việt, góp phần thúc đẩy đà tăng trưởng mạnh của công cụ AI này trong khu vực.
Australia thúc đẩy khuôn khổ quốc gia về trí tuệ nhân tạo

Australia thúc đẩy khuôn khổ quốc gia về trí tuệ nhân tạo

Thủ tướng Australia Anthony Albanese dự kiến công bố khuôn khổ quốc gia về trí tuệ nhân tạo, trong bối cảnh Canberra muốn khai thác tiềm năng của công nghệ này đồng thời ứng phó các nguy cơ về an ninh, dân chủ và xã hội.
Anh dự kiến áp "giờ giới nghiêm" mạng xã hội với người dưới 18 tuổi

Anh dự kiến áp "giờ giới nghiêm" mạng xã hội với người dưới 18 tuổi

Chính phủ Anh đang đề xuất dự thảo về việc áp "giờ giới nghiêm" đối với việc sử dụng mạng xã hội của thanh thiếu niên nước này, nhằm bảo vệ sức khoẻ tinh thần của nhóm đối tượng nêu trên trong bối cảnh các nền tảng xã hội đang trở nên thiếu an toàn đối với giới trẻ.
AI thúc đẩy làn sóng doanh nghiệp một người trên toàn cầu

AI thúc đẩy làn sóng doanh nghiệp một người trên toàn cầu

Sự phát triển của AI tạo sinh, mạng xã hội và các nền tảng thương mại điện tử đang làm thay đổi cách doanh nghiệp được hình thành. Chỉ với một người cùng các công cụ số, nhiều mô hình kinh doanh có thể vận hành hiệu quả, tạo nên làn sóng "doanh nghiệp một người" trên phạm vi toàn cầu.
AI giúp đánh giá chất lượng nông sản, giảm thất thoát sau thu hoạch

AI giúp đánh giá chất lượng nông sản, giảm thất thoát sau thu hoạch

Trí tuệ nhân tạo đang mở ra hướng tiếp cận mới trong kiểm định chất lượng nông sản khi có thể đánh giá nhanh, không phá hủy mẫu và hỗ trợ truy xuất nguồn gốc. Công nghệ này được kỳ vọng giúp giảm tổn thất sau thu hoạch, nâng cao chất lượng nông sản và đáp ứng yêu cầu ngày càng khắt khe của thị trường xuất khẩu.