GitHub đã triển khai các bản vá bảo mật để giải quyết một lỗ hổng có độ nghiêm trọng tối đa trong GitHub Enterprise Server (GHES) có thể cho phép kẻ tấn công vượt qua các biện pháp bảo vệ xác thực.
Có định danh CVE-2024-4985 (điểm CVSS: 10.0), lỗ hổng có thể cho phép kẻ tấn công truy cập trái phép vào máy chủ bị ảnh hưởng mà không yêu cầu xác thực.
Trong một tư vấn bảo mật, công ty cho biết: “Trong các trường hợp sử dụng xác thực đăng nhập một lần (SSO) SAML với tính năng xác nhận được mã hóa tùy chọn, kẻ tấn công có thể giả mạo phản hồi SAML để cung cấp và/hoặc giành quyền truy cập vào một tài khoản người dùng với quyền quản trị viên”.
GHES là một nền tảng tự lưu trữ để phát triển phần mềm, cho phép các tổ chức lưu trữ và xây dựng phần mềm bằng cách sử dụng tính năng kiểm soát phiên bản Git cũng như tự động hóa quy trình triển khai.
Sự cố này ảnh hưởng đến tất cả các phiên bản GHES trước 3.13.0 và đã được giải quyết trong các phiên bản 3.9.15, 3.10.12, 3.11.10 và 3.12.4.
GitHub lưu ý thêm rằng các xác nhận được mã hóa không được bật theo mặc định và lỗ hổng này không ảnh hưởng đến các trường hợp không sử dụng đăng nhập một lần (SSO) SAML hoặc những trường hợp sử dụng xác thực SAML SSO nhưng không sử dụng xác nhận được mã hóa.
Xác nhận được mã hóa (Encrypted assertions) cho phép quản trị viên trang web cải thiện tính bảo mật của phiên bản GHES với SAML SSO bằng cách mã hóa thư mà nhà cung cấp danh tính SAML (IdP) gửi trong quá trình xác thực.
Các tổ chức đang sử dụng phiên bản GHES dễ bị tấn công nên cập nhật lên phiên bản mới nhất ngay để bảo vệ trước các mối đe dọa bảo mật tiềm ẩn.
Nguồn: thehackernews.com.
Một lỗ hổng nghiêm trọng của Fluent Bit có thể bị khai thác trong các cuộc tấn công từ chối dịch vụ và thực thi mã từ xa, ảnh hưởng đến tất cả các nhà cung cấp dịch vụ cloud lớn và nhiều công ty công nghệ lớn.
Các tác nhân đe dọa đứng sau trojan ngân hàng Grandoreiro đã quay trở lại trong một chiến dịch toàn cầu bắt đầu từ tháng 3 năm 2024 sau khi bị cơ quan thực thi pháp luật triệt phá vào tháng 1.
Thứ Năm vừa qua, cơ quan An ninh cơ sở hạ tầng và an ninh mạng Mỹ (CISA) đã bổ sung hai lỗ hổng bảo mật ảnh hưởng đến bộ định tuyến D-Link vào danh mục Các lỗ hổng bị khai thác đã biết (KEV).
Các nhà nghiên cứu đã phát hiện một "chiến dịch đa diện" lạm dụng các dịch vụ hợp pháp như GitHub và FileZilla để phát tán một loạt mã độc đánh cắp thông tin và trojan ngân hàng như Atomic (còn gọi là AMOS), Vidar, Lumma (hay LummaC2) và Octo bằng cách giả mạo phần mềm đáng tin cậy như 1Password, Bartender 5 và Pixelmator Pro.
Tín nhiệm mạng | Nhóm Tình báo mối đe dọa của Microsoft cho biết họ đã phát hiện một tác nhân đe dọa, được theo dõi dưới tên Storm-1811, đang lạm dụng công cụ quản lý khách hàng Quick Assist để nhắm mục tiêu vào người dùng trong các cuộc tấn công nhằm lây nhiễm ransomware.
Google đã phát hành bản cập nhật bảo mật khẩn cấp mới cho Chrome để giải quyết lỗ hổng zero-day thứ ba, CVE-2024-4947, bị khai thác trong các cuộc tấn công trong vòng một tuần.
Chúng tôi sẽ sớm liên hệ với bạn để xác thực các thông tin & hoàn tất quá trình kiểm duyệt để cấp chứng nhận.
Cảm ơn bạn đã thực hiện đánh giá.
