Kỹ sư của Việt Nam tìm ra lỗ hổng bảo mật nguy hiểm quốc tế

Minh Sơn| 16/10/2020 10:02
Theo dõi ICTVietnam trên

Anh Giang Tuấn Anh, kỹ sư bảo mật của công ty Cổ phần an ninh mạng Việt Nam VSEC tìm ra lỗ hổng bảo mật đặc gắn mã CVE và đạt mức điểm 9,8/10 (lỗ hổng nguy hiểm).

Kỹ sư của Việt Nam tìm ra lỗ hổng bảo mật nguy hiểm quốc tế - Ảnh 1.

Anh Giang Tuấn Anh cùng đồng nghiệp (thứ 2 từ phải sang).

Zoho, tập đoàn công nghệ phát triển phần mềm hàng đầu thế giới đã công bố một lỗ hổng nguy hiểm trên MEAM (ManageEngine Application Manager) - phần mềm giám sát máy chủ và ứng dụng.

Lỗ hổng nghiêm trọng này được phát hiện có mức độ nguy hiểm gần như tuyệt đối 9,8/10 (đánh giá theo Viện Tiêu chuẩn và Kỹ thuật Quốc gia Mỹ - NIST) và được gắn mã định danh là CVE-2020-15394.

Điều đặc biệt, người phát hiện ra lỗ hổng này là anh Giang Tuấn Anh, một kỹ sư bảo mật người Việt đang công tác tại Công ty cổ phần an ninh mạng Việt Nam (VSEC). Kỹ sư này đã được Zoho vinh danh trên website tìm kiếm Bug Bounty của hãng.

Lỗ hổng do Tuấn Anh tìm thấy cho phép tin tặc thực thi các câu lệnh SQL tùy ý mà không cần xác thực và lợi dụng một số “chức năng” của Postgresql để thực thi lệnh hệ điều hành trái phép trên máy chủ, dẫn tới việc tin tặc chiếm quyền điều khiển cao nhất với máy chủ (bao gồm quyền system trên windows và quyền root trên linux).

Có nhiệm vụ giám sát nên phần mềm MEAM chứa nhiều dữ liệu nhạy cảm như thông tin đăng nhập của các thiết bị được giám sát, SSH key... Do đó khi khống chế MEAM, tin tặc hoàn toàn có thể chiếm quyền điều khiển các thiết bị, máy chủ khác trong mạng.

MEAM là một trong những phần mềm giám sát máy chủ và ứng dụng phổ biến nhất trên thế giới. Tại Việt Nam, hơn 500 khách hàng là doanh nghiệp vừa và lớn đang sử dụng phần mềm này. Việc phát hiện ra lỗi sẽ giúp hàng nghìn doanh nghiệp đang sử dụng phần mềm tránh khỏi nguy cơ bị tấn công và đánh cắp dữ liệu. Zoho cũng cho biết họ đã tiến hành vá lỗ hổng trong phiên bản 14750 trở lên.

Anh Giang Tuấn Anh là một trong số ít các kỹ sư bảo mật Việt Nam sở hữu 3 chứng chỉ quốc tế về an toàn thông tin uy tín hàng đầu thế giới là OSCE, OSCP, OSWE. Anh cũng là thành viên nòng cốt của VSEC VADAR, dịch vụ giám sát an toàn thông tin toàn diện dành cho doanh nghiệp./.


Bài liên quan
Nổi bật Tạp chí Thông tin & Truyền thông
Đừng bỏ lỡ
Kỹ sư của Việt Nam tìm ra lỗ hổng bảo mật nguy hiểm quốc tế
POWERED BY ONECMS - A PRODUCT OF NEKO