Bản tin an ninh mạng tuần 14

Trong tuần vừa qua đã xảy ra nhiều sự vụ an ninh mạng đã diễn ra. Dưới đây là toàn cảnh tình hình an ninh mạng trong tuần vừa qua. Đáng chú ý là lỗ hổng nguy hiểm trong PHP, lỗ hổng này cho phép kẻ tấn công có thể upload các tệp tin PHP lên máy chủ.

1. Cảnh báo

Cảnh báo lỗ hổng rất nguy hiểm trên các website PHP

Một lỗ hổng rất nghiêm trọng vừa được công bố trong các phiên bản PHP trước 5.4.39, 5.5.x trước 5.5.23, và 5.6.x trước 5.6.7 – tức là ngoài các bản PHP mới nhất trên PHP.net. Lỗ hổng nằm trong hàm move_uploaded_file được sử dụng trong việc xử lý các form upload của PHP. Lỗi này có thể cho phép hacker dễ dàng tải các tệp tin PHP lên server thông qua việc áp dụng một kỹ thuật bypass cổ điển là thêm ký tự nullbyte (x00) vào tên tệp tin trước khi tải lên máy chủ.  Hacker sẽ đổi tên của tệp tin file.php thành  file.phpx00.jpg và sau đó upload lên server, lỗi trong hàm move_uploaded_file sẽ cho phép tin tặc upload thành công tệp tin đó lên máy chủ.

Hàng nghìn tài khoản Uber bị tấn công và rao bán với giá 1 đôla

AlphaBay – một trang web chợ đen được thành lập từ năm 2014 đang rao bán hàng nghìn tài khoản Uber với đầy đủ tên người dùng và mật khẩu chỉ với giá 1 đôla Mỹ. Những tài khoản này hoàn toàn còn hoạt động và có thể giúp người sử dụng có thể thanh toán chi phí đi lại thông qua thông tin trong tài khoản. Ngoài ra, trong tài khoản còn bao gồm những thông tin nhạy cảm khác như dữ liệu thẻ tin dụng, lịch sử giao dịch, địa chỉ email, số điện thoại và thông tin địa chỉ gia đình, cơ quan làm việc của chủ tài khoản.

2. Tin tức

5 công ty hosting lớn bị nhóm tin tặc SEA tấn công

Một lần nữa, Syrian Electronic Army (SEA) lại thu hút sự chú ý của giới truyền thông bằng việc làm bẽ mặt một số hãng cho thuê máy chủ phổ biến của Endurance Interational Group INC – một trong những công ty cho thuê máy chủ hàng đầu thế giới. Công ty này hiện nay đang quản lý trên 60 hãng cho thuê máy chủ khác nhau.

Google loại bỏ 200 quảng cáo rao vặt trên Chrome Extensions

Để giảm tình trạng những quảng cáo rao vặt xuất hiện tràn lan, Google đã bắt đầu loại bỏ các phần mềm quảng cáo Ad-injection trên trình duyệt Chrome. Đã có hơn 200 quảng cáo mở rộng từng tiếp xúc với hàng triệu người sử dụng với các phần mềm độc hại và các hoạt động gian lận bị loại bỏ. Trong ba tháng qua, Google đã nhận được hơn 100 nghìn đơn kiến nghị của người sử dụng khiếu nại về Ad-injection; nhiều hơn cả những vấn đề trục trặc kỹ thuật như lỗi mạng, hiệu suất hay những vấn đề khác. Trên cơ sở đó, Google đã tiến hành hợp tác làm việc với nhóm các nhà nghiên cứu thuộc Đại học California, bang Berkeley và nhận thấy rằng, hơn 5% người dùng bị nhiễm các Ad-injection, một loại phần mềm chèn quảng cáo hoặc thay thế quảng cáo hiện có vào các trang mà người dùng truy cập. Người dùng khi truy cập vào một trang web có thể bị lừa tải về một phần mềm và chương trình tiềm ẩn nguy cơ bảo mật cao.

Cảnh báo tệp tin .SWF lây nhiễm mã độc trên các trang web WordPress và Joomla

Các nhà nghiên cứu mới đây đã tìm ra một tệp tin Adobe Flash .SWF được sử dụng để cài đặt các iFrame độc hại vào các trang web tồn tại trong hàng trăm trang WordPress và Joomla. Chiến dịch này bắt đầu từ tháng 11 năm ngoái.

Mã độc trên máy POS liên tục hoạt động

Các nhà nghiên cứu bảo mật cảnh báo về một mã độc POS mới mang tên Poisedon, có khả năng ăn cắp số thẻ tín dụng ngay lập tức sau khi thẻ thanh toán quẹt vào thiết bị đầu cuối POS. Nguyên nhân khiến mã độc tại các máy POS phát tán trong thời gian dài không chấm dứt là do chính các nhà bán lẻ sử dụng máy POS không thay đổi mật khẩu mặc định hoặc chạy chúng thông qua mạng lưới phân đoạn. Vì thế mà các thiết bị này dễ dàng lây nhiễm mã độc từ xa.

3. Loạt bài viết hay về phân tích mã độc

• Công cụ phân tích động mã độc
• Các công cụ phân tích tĩnh mã độc
• Công cụ tạo môi trường an toàn và hiệu quả để phân tích mã độc
• Các phương pháp phân tích mã độc