​Hơn 5000 hệ thống máy chủ VN đang mở cửa cho hacker

Lỗ hổng "con bò dơ bẩn" đang đe dọa hơn 5000 hệ thống máy chủ tại Việt Nam. - Ảnh: The Hacker News

Lỗ hổng CVE-2016-5195, còn có tên Dirty Cow (con bò dơ bẩn) thuộc dạng leo thang đặc quyền. Nó cho phép hacker khi có một tài khoản người dùng với quyền hạn chế vẫn có thể tấn công để chuyển thành quyền quản trị (admin) trên hệ thống đó - tấn công leo thang.

Chiếm quyền điều khiển hệ thống

Theo thống kê của Công ty an ninh mạng Bkav, Việt Nam hiện có 5.058 hệ thống bao gồm các dịch vụ quan trọng như Webserver và FTP Server bị ảnh hưởng bởi lỗ hổng này.

Dirty Cow được coi lỗ hổng leo thang đặc quyền nghiêm trọng nhất từ trước tới nay bởi hai lý do. Đầu tiên, việc phát triển một công cụ khai thác lỗ hổng không khó. Tiếp đến, Dirty Cow tồn tại trên lõi của Linux – có mặt trên hầu hết các sản phẩm hệ điều hành nguồn mở được phát hành trong gần một thập kỷ qua.

Bkav cũng cho biết rất nhiều nguồn công bố mã khai thác Dirty Cow đã được ghi nhận trong thực tế.

Ông Bùi Tiến Dũng, chuyên gia mảng an ninh hệ thống của Bkav cho biết: “Trong các cuộc tấn công thực tế, Dirty Cow có thể được kết hợp với một số dạng lỗi phổ biến hay gặp như SQL injection, Buffer Overflow… để kiểm soát toàn bộ hệ thống nạn nhân với quyền cao nhất (root, system…)”.

Theo Bkav, người dùng Linux với kernel phiên bản từ 2.6.22 trở lên cần nhanh chóng cập nhật bản vá cho lỗ hổng (kiểm tra phiên bản kernel: uname –r). Đặc biệt đối với các dịch vụ cho phép người dùng đăng nhập hệ thống như hosting, ftp...

Thời gian "nguy hiểm hóa" lỗ hổng 

Lỗ hổng Dirty Cow vốn được cho là ít nguy hiểm hơn các lỗ hổng thực thi từ xa. Thế nhưng việc nó đã tồn tại đến 9 năm trời không được khắc phục đã khiến nó trở nên nguy hiểm với người dùng.

Theo đánh giá của các chuyên gia, mức độ nguy hiểm là nghiêm trọng bởi lỗ hổng này có mặt trên hầu hết các sản phẩm hệ điều hành nguồn mở được phát hành trong gần một thập kỷ qua. Bên cạnh đó, công vụ khai thác lỗ hổng lại không khó để phát triển.

Dan Rosenberg, chuyên gia của Azimuth Security, nhận định: "Đây có thể coi là lỗ hổng leo thang đặc quyền nội bộ nghiêm trọng nhất Linux từ trước đến nay".

Các chuyên gia cũng đã phát hiện các cuộc tấn công khai thác lỗ hổng trong thực tế. Chuyên gia Phil Oester của Linux cho biết đã phát hiện cuộc khai thác sử dụng gói HTTP, nhưng trang web này không phức tạp.

Lỗ hổng đã được Linux vá trong tuần này. Các nhà phân phối của hãng đang trong quá trình phát hành bản các bản cập nhật để khắc phục lỗ hổng.

Thông tin về lỗ hổng 9 năm tuổi được tiết lộ cùng với thời điểm chuyên gia Google, Kees Cook công bố nghiên cứu về tuổi thọ trung bình của một lỗ hổng trên Linux là 5 năm.

Cook cho biết: "Hầu hết các hệ thống sử dụng lõi Linux hiện tại đang chạy song song với các lỗ hổng. Những lỗ hổng này chưa được nhà phát triển biết đến nhưng có vẻ những kẻ tấn công đã tìm ra rồi”.