Trong quý 3 năm 2024, thông qua các chương trình bug bounty (tìm kiếm lỗ hổng bảo mật), đội ngũ chuyên gia Redteam của VNCS Global đã phát hiện lỗ hổng bảo mật trên nhiều nền tảng hệ thống của các doanh nghiệp lớn. Những lỗ hổng này ảnh hưởng trực tiếp đến tính bảo mật và quyền riêng tư của các dữ liệu nhạy cảm trong hệ thống. Dưới đây là tổng hợp chi tiết về các lỗ hổng được phát hiện:
Lỗ hổng ảnh hưởng đến ứng dụng web của LG
Tháng 7/2024, các chuyên gia redteam của VNCS Global phát hiện 1 lỗ hổng Insecure design to inforamation disclosure tồn tại trong ứng dụng web của LG. Đây là một lỗ hổng an ninh xuất phát từ thiết kế hệ thống không an toàn, gây ra việc rò rỉ thông tin nhạy cảm. Lỗ hổng được đánh giá có mức độ nghiêm trọng trung bình, có thể khiến hệ thống vô tình chia sẻ thông tin mà người dùng không nên truy cập được, như cấu hình hệ thống, dữ liệu cá nhân, hoặc thậm chí là dữ liệu của các người dùng khác.
Thư cảm ơn từ LG Electronics Product Security Response Team
Hiện LG đã công nhận và xử lý lỗ hổng. Theo các chuyên gia từ VNCS Global, Sensitive inforamation disclosure là một lỗ hổng an ninh khá phổ biến. Các chuyên gia khuyến nghị quản trị viên không cho phép truy cập tài liệu API từ môi trường Internet public để không gặp phải lỗ hổng này.
Lỗ hổng của Apple gây lộ lọt thông tin người dùng
Trong tháng 8/2024, đội ngũ chuyên gia của VNCS Global đã được Apple ghi nhận và trao thưởng cho việc phát hiện một lỗ hổng có mức độ nghiêm trọng cao (điểm CVSS là 7.5) trong Hệ thống quản lý tài nguyên và cổng thông tin doanh nghiệp dành cho nhân viên của Apple.
Thư cảm ơn từ Apple
Cụ thể, lỗ hổng gây ra do cấu hình không an toàn cho Hệ thống quản lý tài nguyên sử dụng nên tảng mã nguồn mở DXP dẫn đến việc tiết lộ thông tin nhạy cảm. Khi khai thác thành công lỗ hổng, tin tặc có thể thấy được những nội dung như ảnh, bài viết… và danh sách người dùng trên hệ thống mà không cần đăng nhập.
Bộ đôi lỗ hổng trong Umbraco CMS
Umbraco CMS là một hệ quản trị nội dung mã nguồn mở trên nền tảng .NET của Microsoft. Đây là một trong những CMS phổ biến nhờ tính linh hoạt, dễ sử dụng, và khả năng tùy chỉnh cao, phù hợp cho cả người dùng không chuyên và các nhà phát triển chuyên nghiệp.
Hệ thống quản lý nội dung dựa trên đám mây Umbraco
VNCS Global đã phát hiện 2 lỗ hổng được đánh giá mức độ nghiêm trọng trung bình và cao trong CMS này vào tháng 9/2024, cụ thể:
- Lỗ hổng Broken Access Control, ảnh hưởng đến Umbraco CMS phiên bản 14.2.0, điểm CVSS là 6.5. Lỗ hổng này cho phép Người dùng có quyền thấp có thể đọc tất cả thông tin cấu hình về Webhook.
- Lỗ hổng Stored XSS, ảnh hưởng đến Umbraco CMS phiên bản 14.2.0, điểm CVSS là 8.7. Tin tặc có thể lấy được access token của người dùng khác khi khai thác thành công lỗ hổng.
Hiện, cả 2 lỗ hổng đều đã được xử lý.
Về đội ngũ chuyên gia red team của chúng tôi
Đội ngũ red team của VNCS Global là tập hợp các chuyên gia an ninh mạng hàng đầu, chuyên trách trong việc kiểm thử xâm nhập và phát hiện lỗ hổng bảo mật với nhiều năm kinh nghiêm và năng lực được khẳng định qua các chứng chỉ quốc tế như CEH, ECSA, GSEC, OSCP… Với tinh thần không ngừng học hỏi và ứng dụng công nghệ mới, đội ngũ đã đạt được những thành tích ấn tượng, như TOP 3 toàn Đông Nam Á tại cuộc thi AISP ASEAN Bug Bounty 2024 – Beta Edition và phát hiện ra các lỗ hổng bảo mật trong nhiều hệ thống CNTT quan trọng.
VNCS Global đại thắng tại cuộc thi AISP ASEAN Bug Bounty 2024
Về dịch vụ kiểm tra, đánh giá an toàn thông tin của VNCS Global
VNCS Global cung cấp dịch vụ kiểm tra, đánh giá an toàn thông tin chuyên sâu, VNCS Pentest (kiểm thử xâm nhập), giúp doanh nghiệp đánh giá mức độ an toàn của hệ thống thông tin và phát hiện những lỗ hổng bảo mật kịp thời, từ đó có tăng cường bảo mật cho hệ thống.
VNCS Pentest cung cấp các gói dịch vụ:
- Kiểm tra đánh giá ứng dụng web
- Kiểm tra đánh giá ứng dụng mobile và các ứng dụng desktop
- Kiểm tra đánh giá hệ thống cơ sở dữ liệu
- Kiểm tra đánh giá hệ thống máy chủ dịch vụ
- Kiểm tra đánh giá thiết bị mạng và bảo mật
- Kiểm tra đánh giá hệ thống mạng không dây
- Kiểm tra đánh giá an toàn thông tin tổng thể
Ngoài ra chúng tôi cũng cung cấp dịch vụ: Đánh giá khả năng bị tấn công từ chối dịch vụ (DoS/DDoS), Đánh giá khả năng bị tấn công sử dụng kỹ nghệ xã hội (social engineering), Đánh giá thiết bị và quá trình sao lưu phục hồi, Đánh giá hệ thống diệt virus, Đào tạo kỹ năng thực hiện đánh giá bảo mật.
Tìm hiểu thêm về cách VNCS Global giúp doanh nghiệp kiểm tra, đánh giá an toàn thông tin tại đây.
