Thứ ba 07/07/2026 04:38
Hotline: 024.355.63.010
Kinh tế số

Cảnh báo nguy cơ bị tấn công khi dùng các sản phẩm phần mềm mã nguồn mở của WSO2

21/04/2022 23:05
WSO2 cung cấp các sản phẩm phần mềm mã nguồn mở thường được sử dụng nhiều trong các cơ quan tổ chức có hệ thống thông tin với quy mô lớn như một giải pháp chia sẻ dữ liệu tập trung. Vì vậy theo đánh giá sơ bộ của Trung tâm Giám sát an toàn không gian

Ngày 1/4/2022, WSO2 đã công bố lỗ hổng bảo mật CVE-2022-29464 (WSO2-2021-1738) ảnh hưởng đến các sản phẩm của WSO2 bao gồm WSO2 API Manager, WSO2 Identity Server, WSO2 Enterprise Integrator. Lỗ hổng này có điểm CVSS: 9.8 (nghiêm trọng) cho phép đối tượng tấn công tải tệp tùy ý lên máy chủ từ đó thực thi mã từ xa.

WSO2 cung cấp các sản phẩm phần mềm mã nguồn mở thường được sử dụng nhiều trong các cơ quan tổ chức có hệ thống thông tin với quy mô lớn như một giải pháp chia sẻ dữ liệu tập trung. Vì vậy theo đánh giá sơ bộ của Trung tâm Giám sát an toàn không gian mạng quốc gia (NCSC, Cục An toàn thông tin) mức độ ảnh hưởng của lỗ hổng này rất lớn.

Nhằm đảm bảo an toàn thông tin cho hệ thống thông tin, NCSC khuyến nghị các cơ quan, tổ chức đơn vị kiểm tra, rà soát và xác minh hệ thống thông tin có sử dụng sản phẩm WSO2. Trong trường hợp bị ảnh hưởng, đơn vị cần nâng cấp lên phiên bản mới nhất hoặc thực hiện các biện pháp khắc phục thay thế nhằm giảm thiểu nguy cơ tấn công.

Cảnh báo nguy cơ bị tấn công khi dùng các sản phẩm phần mềm mã nguồn mở của WSO2
Cảnh báo nguy cơ bị tấn công khi dùng các sản phẩm phần mềm mã nguồn mở của WSO2.

Ngoài ra, cần tăng cường giám sát và sẵn sàng phương án xử lý khi phát hiện có dấu hiệu bị khai thác, tấn công mạng; đồng thời thường xuyên theo dõi kênh cảnh báo của các cơ quan chức năng và các tổ chức lớn về an toàn thông tin để phát hiện kịp thời các nguy cơ tấn công mạng.

Trong trường hợp cần hỗ trợ, các tổ chức đơn vị có thể liên hệ Trung tâm Giám sát an toàn không gian mạng quốc gia (NCSC), điện thoại: 02432091616, thư điện tử: [email protected].

Ngoài phần mềm nguồn mở WSO2, Microsoft cũng đã phát hành danh sách bản vá trong tháng Tư với 128 lỗ hổng bảo mật trong các sản phẩm của hãng. Trong bản phát hành lần này, đặc biệt đáng chú ý có 3 lỗ hổng bảo mật mức nghiêm trọng và 4 lỗ hổng mức cao. Cụ thể, các lỗ hổng bảo mật có mức ảnh hưởng nghiêm trọng gồm CVE-2022-26809, CVE-2022-24491 và CVE-2022-24497.

Trong số đó, lỗ hổng bảo mật CVE-2022-26809 tồn tại trong RPC Runtime Library, ảnh hưởng đến các máy dùng hệ điều hành Windows 7/8.1/10/11 và Windows Server 2008/2012/2016/2019/2022. Lỗ hổng này cho phép đối tượng tấn công thực thi mã từ xa với đặc quyền cao trên hệ thống bị ảnh hưởng.

Hai lỗ hổng bảo mật có mức ảnh hưởng nghiêm trọng khác là CVE-2022-24491 và CVE-2022-24497 tồn tại trong Windows Network File System, cho phép đối tượng tấn công thực thi mã từ xa với đặc quyền cao.

Các lỗ hổng bảo mật có mức ảnh hưởng cao được Cục An toàn thông tin cảnh báo tới các cơ quan, tổ chức, doanh nghiệp gồm: Lỗ hổng CVE-2022-26815 trong Windows DNS Server cho phép đối tượng tấn công thực thi mã từ xa; Lỗ hổng CVE-2022-26904 trong Windows User Profile Service cho phép đối tượng tấn công thực hiện tấn công nâng cao đặc quyền, đáng chú ý là lỗ hổng này đã có mã khai thác công khai trên Internet.

Lỗ hổng bảo mật CVE-2022-26919 trong Windows LDAP cho phép đối tượng tấn công thực thi mã từ xa; và lỗ hổng bảo mật CVE-2022-24521 trong Windows Common Log File System Driver cho phép đối tượng tấn công thực hiện tấn công nâng cao đặc quyền.

PV

Bài liên quan
Tin bài khác
Nhà nước hỗ trợ 100% lãi vay thúc đẩy doanh nghiệp công nghệ chiến lược phát triển mạnh

Nhà nước hỗ trợ 100% lãi vay thúc đẩy doanh nghiệp công nghệ chiến lược phát triển mạnh

Nghị định 260/2026/NĐ-CP mở ra cơ chế ưu đãi vượt trội, cho phép doanh nghiệp công nghệ chiến lược được hỗ trợ tới 100% lãi vay, đồng thời tài trợ toàn bộ kinh phí nghiên cứu, đào tạo và phát triển sản phẩm.
Liên hợp quốc cảnh báo AI phát triển nhanh hơn khả năng kiểm soát của con người

Liên hợp quốc cảnh báo AI phát triển nhanh hơn khả năng kiểm soát của con người

Tổng Thư ký Liên hợp quốc Antonio Guterres kêu gọi xây dựng các quy tắc hài hòa ở cấp độ toàn cầu nhằm giảm thiểu rủi ro từ trí tuệ nhân tạo, trong bối cảnh công nghệ này đang phát triển với tốc độ vượt xa khả năng theo kịp của con người.
Phê duyệt Đề án đào tạo nhân lực ngành tiêu chuẩn đo lường chất lượng

Phê duyệt Đề án đào tạo nhân lực ngành tiêu chuẩn đo lường chất lượng

Không dừng lại ở câu chuyện kỹ thuật, hạ tầng chất lượng quốc gia chính là bệ đỡ cho năng lực cạnh tranh toàn cầu. Đề án mới tập trung giải quyết triệt để tình trạng thiếu chuyên gia sâu, chuẩn bị nguồn lực cho làn sóng xanh hóa và số hóa thị trường.
Microsoft ký thỏa thuận sử dụng nội dung báo chí của Nine trên Copilot

Microsoft ký thỏa thuận sử dụng nội dung báo chí của Nine trên Copilot

Microsoft sẽ đưa nội dung từ các ấn phẩm của Nine Entertainment vào kết quả phản hồi trên Copilot, trong thỏa thuận được xem là bước ngoặt giữa một tập đoàn công nghệ lớn và giới truyền thông Australia giữa lúc tranh cãi về bản quyền nội dung AI vẫn gay gắt.
NuraLogix: Khi chiếc gương trong phòng tắm biết nhiều hơn về sức khỏe của bạn

NuraLogix: Khi chiếc gương trong phòng tắm biết nhiều hơn về sức khỏe của bạn

Có một khoảnh khắc mà rất nhiều người từng trải qua nhưng ít ai kể lại thành lời, đó là lúc đứng trước gương buổi sáng, nhìn thấy khuôn mặt quen thuộc của mình và tự hỏi liệu bên trong cơ thể này thực sự đang khỏe mạnh hay đang âm thầm xuống dốc mà mình không hề hay biết. Nỗi bất an ấy không phải chuyện nhỏ, bởi phần lớn bệnh tật nguy hiểm nhất đều không gõ cửa trước, chúng đến lặng lẽ và chỉ lộ diện khi mọi thứ đã đi quá xa để can thiệp kịp thời.
John Deere See & Spray: Phun thuốc sâu theo cách mới nhất tác động mạnh mẽ cuộc cách mạng nông nghiệp toàn cầu

John Deere See & Spray: Phun thuốc sâu theo cách mới nhất tác động mạnh mẽ cuộc cách mạng nông nghiệp toàn cầu

Trong nông nghiệp truyền thống, có một quy tắc ngầm mà hàng triệu nông dân trên thế giới chấp nhận như một lẽ hiển nhiên, đó là khi phun thuốc trừ cỏ, phun đều khắp cánh đồng vì không ai có thời gian phân biệt chỗ nào có cỏ dại, chỗ nào chỉ có cây trồng. Phương pháp phun phủ toàn bộ cánh đồng này đã tồn tại hàng thập kỷ và trở thành tiêu chuẩn công nghiệp toàn cầu không phải vì đó là cách tốt nhất, mà vì đó là cách duy nhất con người có thể làm được ở quy mô đủ lớn.
Viture Helix: Cặp kính bảo hộ thay đổi toàn bộ cách vận hành của nhà máy, bệnh viện và khu công nghiệp

Viture Helix: Cặp kính bảo hộ thay đổi toàn bộ cách vận hành của nhà máy, bệnh viện và khu công nghiệp

Hãy thử hình dung một kỹ thuật viên bảo trì đang đứng trước một trạm biến áp phức tạp lần đầu tiên trong đời, hoặc một y tá mới bắt đầu ca đêm và phải xử lý một quy trình y tế phức tạp chưa từng thực hiên. Trước đây, họ có hai lựa chọn, một là gọi điện cho chuyên gia ở đầu dây kia và mô tả bằng lời những gì đang thấy, hai là dừng lại toàn bộ công việc để chờ người có kinh nghiệm đến tận nơi.
Mark Zuckerberg thừa nhận Meta tái cấu trúc “chưa sạch sẽ”, AI chưa tiến nhanh như kỳ vọng

Mark Zuckerberg thừa nhận Meta tái cấu trúc “chưa sạch sẽ”, AI chưa tiến nhanh như kỳ vọng

Trong cuộc họp nội bộ mới đây, CEO Meta Mark Zuckerberg thừa nhận quá trình tái cấu trúc quy mô lớn của công ty chưa diễn ra như kỳ vọng, trong khi các hệ thống tác nhân AI cũng phát triển chậm hơn so với tính toán ban đầu.
Microsoft chuẩn bị cắt giảm hàng nghìn nhân sự để kiểm soát chi phí, tăng đầu tư AI

Microsoft chuẩn bị cắt giảm hàng nghìn nhân sự để kiểm soát chi phí, tăng đầu tư AI

Microsoft được cho là sắp cắt giảm hàng nghìn nhân sự tại nhiều bộ phận, trong bối cảnh tập đoàn đẩy mạnh đầu tư vào trí tuệ nhân tạo (AI) và tiếp tục tái cơ cấu để kiểm soát chi phí vận hành.
Microsoft cùng Lightstorm xây cáp ngầm nối Ấn Độ với Đông Nam Á

Microsoft cùng Lightstorm xây cáp ngầm nối Ấn Độ với Đông Nam Á

Microsoft và Lightstorm sẽ hợp tác xây tuyến cáp ngầm dài 3.600 km, dự kiến đi vào hoạt động năm 2029, nhằm phục vụ nhu cầu AI, điện toán đám mây và trung tâm dữ liệu tại Ấn Độ.
Meta chuẩn bị gia nhập thị trường điện toán đám mây, cạnh tranh AWS và Google Cloud

Meta chuẩn bị gia nhập thị trường điện toán đám mây, cạnh tranh AWS và Google Cloud

Meta được cho là đang lên kế hoạch cung cấp dịch vụ điện toán đám mây và hạ tầng AI, mở rộng cạnh tranh với các "ông lớn" như AWS, Microsoft Azure và Google Cloud.
OpenAI đề xuất trao 5% cổ phần cho Chính phủ Mỹ?

OpenAI đề xuất trao 5% cổ phần cho Chính phủ Mỹ?

Trong bối cảnh làn sóng AI ngày càng chịu sức ép từ Washington, OpenAI được cho là đã thảo luận phương án nhượng 5% cổ phần cho Chính phủ Mỹ. Đề xuất này, nếu thành hiện thực, có thể mở ra một mô hình chia sẻ lợi ích tài chính từ trí tuệ nhân tạo với công chúng.
Drone tự động kiểm tra hạ tầng: Xóa bỏ những công việc nguy hiểm và tốn kém nhất của nhiều ngành

Drone tự động kiểm tra hạ tầng: Xóa bỏ những công việc nguy hiểm và tốn kém nhất của nhiều ngành

Có một công việc mà gần như không ai muốn làm nhưng cả ngành công nghiệp toàn cầu không thể thiếu, đó là kiểm tra hạ tầng. Mỗi năm, hàng nghìn kỹ sư leo lên những cột điện cao hàng chục mét, treo lơ lửng bên thân tháp khoan dầu ngoài khơi, hay bò vào bên trong những bể chứa nhiên liệu khổng lồ để tìm kiếm vết nứt, điểm ăn mòn hay rò rỉ tiềm ẩn.
Washington xây khung tiêu chuẩn mới cho các mô hình AI

Washington xây khung tiêu chuẩn mới cho các mô hình AI

Chính phủ Mỹ đang thúc đẩy bộ tiêu chuẩn tự nguyện cho việc phát hành các mô hình AI tiên tiến, trong bối cảnh rủi ro an ninh mạng và cuộc cạnh tranh công nghệ với Trung Quốc ngày càng gia tăng.
Tối ưu hóa trải nghiệm mua sắm cùng Gemini

Tối ưu hóa trải nghiệm mua sắm cùng Gemini

Google chính thức ra mắt bản cập nhật lớn cho trải nghiệm mua sắm tích hợp AI trên ứng dụng Gemini tại Việt Nam, giúp việc tìm kiếm thông tin sản phẩm và chọn lựa quà tặng trở nên dễ dàng hơn bao giờ hết.