Các nhà bảo trì dự án máy chủ web NGINX đã đưa ra các biện pháp giảm nhẹ để khắc phục các lỗ hổng bảo mật trong triển khai tham chiếu (reference implementation) giao thức Lightweight Directory Access (LDAP).
Liam Crilly và Timo Stark của F5 Networks cho biết “NGINX Open Source và NGINX Plus không bị ảnh hưởng và không cần thực hiện bất kỳ hành động khắc phục nào nếu không triển khai tham chiếu”.
NGINX cho biết việc triển khai tham chiếu, sử dụng LDAP để xác thực người dùng, chỉ bị ảnh hưởng dưới ba điều kiện:
- Các tham số dòng lệnh để cấu hình daemon triển khai dựa trên Python
- Các thông số cấu hình tùy chọn không được sử dụng
- Thành viên trong một nhóm (group) xác định thực hiện xác thực LDAP
Nếu một trong những điều kiện trên được đáp ứng, kẻ tấn công có khả năng ghi đè các tham số cấu hình và thậm chí có thể bỏ qua yêu cầu về group để xác thực LDAP thành công.
NGINX khuyến nghị người dùng đảm bảo các ký tự đặc biệt được loại bỏ khỏi trường tên người dùng trong biểu mẫu đăng nhập được hiển thị trong quá trình xác thực và cập nhật các thông số cấu hình thích hợp với giá trị rỗng ("").
Thông tin được tiết lộ sau khi chi tiết về vấn đề này được chia sẻ công khai vào cuối tuần qua, khi nhóm tin tặc BlueHornet cho biết họ đã "có được bản khai thác thử nghiệm cho NGINX 1.18".
Nguồn: thehackernews.com.
Tín nhiệm mạng | Mạng botnet Qbot hiện đang phát tán mã độc thông qua email lừa đảo với các tệp đính kèm dạng ZIP được bảo vệ bằng mật khẩu có chứa các tệp MSI Windows Installer độc hại.
Tín nhiệm mạng | Hệ thống chuyển hướng lưu lượng truy cập Parrot đang lạm dụng các máy chủ lưu trữ khoảng 16.500 trang web để chuyển hướng mục tiêu đến các trang web lừa đảo và chứa phần mềm độc hại.
Tín nhiệm mạng | Các nhà nghiên cứu đã phát hiện bảy ứng dụng Android độc hại trên Cửa hàng Google Play giả dạng ứng dụng chống vi-rút để triển khai mã độc SharkBot.
Tín nhiệm mạng | Một kỹ thuật tấn công mới nhằm vào hệ thống sạc kết hợp (CCS) phổ biến có khả năng làm gián đoạn quá trình sạc xe điện trên quy mô lớn.
Tín nhiệm mạng | Phát hiện phần mềm gián điệp Android mới giả mạo dịch vụ Process Manager để lén lút lấy cắp thông tin nhạy cảm được lưu trữ trong các thiết bị bị nhiễm.
Tín nhiệm mạng | 'Spring4Shell', lỗ hổng zero-day mới trong Spring Core Java framework đã được tiết lộ công khai, cho phép thực thi mã từ xa mà không cần xác thực trên các ứng dụng.