R là ngôn ngữ lập trình nguồn mở đặc biệt phổ biến trong tính toán thống kê và trực quan hóa dữ liệu, phù hợp với những người phát triển và sử dụng các mô hình phân tích dữ liệu tùy chỉnh, ngôn ngữ này hiện đang được áp dụng ngày càng nhiều trong trí tuệ nhân tạo và học máy.
Các nhà nghiên cứu tại công ty bảo mật ứng dụng HiddenLayer gần đây đã phát hiện ra một lỗ hổng trong R, được gắn mã theo dõi là CVE-2024-27322 (CVSS: 8,8), cho phép kẻ tấn công thực thi mã tùy ý trên các máy mục tiêu khi nạn nhân mở các tệp RDS hoặc R package files (RDX).
Trung tâm điều phối CERT (CERT/CC) của Đại học Carnegie Mellon (Hoa Kỳ) đưa ra lời khuyến nghị với CVE-2024-27322, lưu ý rằng lỗ hổng này có thể bị khai thác để thực thi mã tùy ý trên thiết bị mục tiêu của nạn nhân thông qua các tệp RDS hoặc RDX độc hại.
CERT/CC cho biết : “Kẻ tấn công có thể tạo các tệp .rds và .rdx độc hại và sử dụng kỹ nghệ xã hội để phân phối các tệp đó nhằm thực thi mã tùy ý trên thiết bị của nạn nhân. Các dự án (project) sử dụng readRDS trên các tệp không đáng tin cậy cũng dễ bị tấn công”.
RDS tương tự như pickle trong Python, là một định dạng được sử dụng để chuyển đổi trạng thái của một đối tượng thành một chuỗi byte sao cho chuỗi byte này có thể chuyển đổi ngược lại thành một đối tượng (serialization) và lưu trạng thái của cấu trúc dữ liệu hoặc đối tượng trong ngôn ngữ lập trình R.
Lỗ hổng CVE-2024-2732 khai thác cách R xử lý saveRDS và readRDS, đặc biệt thông qua các đối tượng Promise object (đại diện cho một giá trị ở thời điểm hiện tại có thể chưa tồn tại, nhưng sẽ được xử lý và có giá trị vào một thời gian nào đó trong tương lai) và cơ chế Lazy Evaluation.
Những kẻ tấn công có thể nhúng các đối tượng Promise object với mã tùy ý vào siêu dữ liệu (metadata) tệp RDS dưới dạng các biểu thức. Nguyên nhân chính phía sau lỗ hổng này là nó có thể dẫn đến thực thi mã tùy ý khi thực hiện quá trình Deserialization (cơ chế chuyển đổi trạng thái của một đối tượng), do đó khiến người dùng phải đối mặt với các cuộc tấn công chuỗi cung ứng thông qua các gói R được chế tạo đặc biệt.
Nạn nhân phải bị thuyết phục hoặc bị đánh lừa thực thi các tệp đó, vì vậy đây có thể là cuộc tấn công kỹ nghệ xã hội. Tuy nhiên, những kẻ tấn công có thể lựa chọn cách tiếp cận bị động hơn, đó là phân phối các gói độc hại trên các kho được sử dụng rộng rãi và chờ nạn nhân tải chúng xuống.
Vũ Hùng
(Tổng hợp)
14:00 | 25/04/2024
15:00 | 16/04/2024
15:00 | 16/04/2024
14:00 | 29/07/2024
Công ty cung cấp dịch vụ Communication APIs Twilio (Mỹ) đã xác nhận rằng một API không bảo mật đã cho phép các tác nhân đe dọa xác minh số điện thoại của hàng triệu người dùng xác thực đa yếu tố Authy, khiến họ có khả năng bị tấn công lừa đảo qua tin nhắn SMS và tấn công hoán đổi SIM.
08:00 | 17/07/2024
Mới đây, một lỗ hổng bảo mật nghiêm trọng trong Exim Mail Server đã được phát hiện có thể cho phép kẻ tấn công gửi các tệp đính kèm độc hại đến hộp thư của người dùng mục tiêu.
10:00 | 25/06/2024
Một chiến dịch phát tán mã độc mới đang giả mạo các thông báo lỗi của Google Chrome, Word và OneDrive để lừa người dùng chạy các “bản sửa lỗi” PowerShell nhằm cài đặt phần mềm độc hại.
16:00 | 30/05/2024
Các nhà nghiên cứu tới từ công ty bảo mật đám mây Zscaler (Mỹ) gần đây đã phân tích phiên bản HijackLoader mới có bổ sung các kỹ thuật lẩn tránh phát hiện. Bài viết này sẽ cùng khám phá về khả năng của phiên bản cập nhật này dựa trên báo cáo của Zscaler.
Ngày 21/8, công ty dịch vụ dầu khí hàng dầu Mỹ Halliburton bị tấn công mạng, gây ảnh hưởng tới hoạt động kinh doanh và một số mạng kết nối toàn cầu.
13:00 | 28/08/2024