Năm ngoái, các nhân viên của Google đã có sáng kiến giúp hàng nghìn Dự án nguồn mở vá lỗ hổng thực thi mã từ xa quan trọng trong thư viện Bộ sưu tập Apache Commons (ACC) được sử dụng rộng rãi.
mệnh danh Chiến dịch Rosehubsáng kiến này do khoảng 50 nhân viên của Google tình nguyện, những người đã sử dụng 20 phần trăm thời gian làm việc của mình để vá hơn 2600 dự án nguồn mở trên Github, những dự án dễ bị tổn thương bởi “lỗ hổng Mad Gadget”.
Lỗ hổng Mad Gadget (CVE-2015-6420) là một lỗi thực thi mã từ xa trong quá trình giải tuần tự hóa Java được thư viện Bộ sưu tập Apache Commons (ACC) sử dụng. Lỗi này có thể cho phép kẻ tấn công từ xa, không được xác thực thực thi mã tùy ý trên hệ thống.
Thư viện ACC được nhiều ứng dụng Java triển khai rộng rãi để giải mã dữ liệu được truyền giữa các máy tính. Để khai thác lỗ hổng này, tất cả những gì kẻ tấn công trái phép cần làm là gửi đầu vào được tạo thủ công một cách độc hại tới một ứng dụng trên hệ thống được nhắm mục tiêu sử dụng thư viện ACC.
Sau khi thư viện ACC dễ bị tấn công trên hệ thống bị ảnh hưởng giải tuần tự hóa nội dung, kẻ tấn công có thể thực thi mã tùy ý từ xa trên hệ thống bị xâm nhập, mã này sau đó có thể được sử dụng để tiến hành các cuộc tấn công tiếp theo.
Bạn có nhớ cuộc tấn công ransomware vào Hệ thống Muni Metro không? Cuối năm ngoái, một hacker ẩn danh đã lây nhiễm và chiếm quyền kiểm soát hơn 2.000 máy tính bằng cách sử dụng cùng lỗ hổng Mad Gadget này trong phần mềm được sử dụng để vận hành hệ thống giao thông công cộng của San Francisco.
Sau khi lỗ hổng Mad Gadget được tiết lộ công khai, hầu hết mọi doanh nghiệp thương mại bao gồm Oracle, Cisco, Red Hat, VMWare, IBM, Intel, Adobe, HP, Jenkins và SolarWinds đã chính thức tiết lộ rằng họ đã bị ảnh hưởng bởi lỗ hổng này và đã vá nó trong phần mềm của họ.
Học cách bảo vệ phạm vi nhận dạng – Các chiến lược đã được chứng minh
Cải thiện bảo mật doanh nghiệp của bạn với hội thảo trực tuyến về an ninh mạng do chuyên gia hướng dẫn sắp tới của chúng tôi: Khám phá các chiến lược Vành đai nhận dạng!
Đừng bỏ lỡ – Tiết kiệm chỗ ngồi của bạn!
Tuy nhiên, vài tháng sau khi tất cả các doanh nghiệp lớn vá lỗ hổng, một trong những nhân viên của Google nhận thấy rằng một số thư viện nguồn mở nổi bật vẫn phụ thuộc vào các phiên bản dễ bị tấn công của thư viện ACC.
“Chúng tôi nhận ra rằng các phương pháp hay nhất trong ngành đã thất bại. Cần phải có hành động để giữ an toàn cho cộng đồng nguồn mở. Vì vậy, thay vì chỉ đăng một lời khuyên bảo mật yêu cầu mọi người giải quyết lỗ hổng, chúng tôi đã thành lập một nhóm đặc nhiệm để cập nhật mã của họ cho họ. Sáng kiến đó được gọi là Chiến dịch Rosehub,” Justine Tunney, Kỹ sư phần mềm trên TensorFlow, đã viết trên Google Open Source Blog.
Trong Chiến dịch Rosehub, các bản vá đã được gửi tới nhiều dự án nguồn mở, mặc dù các nhân viên của Google chỉ có thể vá các dự án nguồn mở trên GitHub tham chiếu trực tiếp các phiên bản dễ bị tấn công của thư viện ACC.
Theo Blog nguồn mở, nếu hệ thống phần mềm của Cơ quan Giao thông vận tải thành phố San Francisco là nguồn mở, thì các kỹ sư của Google cũng có thể cung cấp các bản vá lỗi cho Mad Gadget cho họ và hệ thống của họ sẽ không bao giờ bị xâm phạm.
