Báo cáo An toàn thông tin 2017

Năm 2017 vừa qua, VSEC đã cung cấp dịch vụ đến một số lượng lớn khách hàng trong và ngoài nước, bảo đảm được sự an toàn cho nhiều hệ thống. Các khách hàng hầu hết đều là doanh nghiệp có tiếng nên tổng số người sử dụng dịch vụ của khách hàng cũng rất khổng lồ, lên đến hàng chục triệu người. Điều này cũng đồng nghĩa rằng VSEC đã giúp bảo vệ trực tiếp và gián tiếp hàng loạt người dùng khỏi các cuộc tấn công.

Trong quá trình hợp tác, VSEC nhận thấy có một số lỗi và lỗ hổng giống nhau trong các hệ thống của khách hàng. Những lỗi này đều có mức độ nguy hiểm cao và dễ mang lại rủi ro. Vì vậy, VSEC tổng hợp các lỗ hổng phổ biến đó lại để mọi người chủ động nhận thức và đưa ra các hành động hợp lý, bảo đảm tính tự vệ cho hệ thống của mình. Những lỗi này xuất hiện chủ yếu trên máy chủ và ứng dụng web.

4676

Cách khắc phục các lỗ hổng:

  1. ETERNALBLUE (MS-17-010)

Cập nhật bản vá từ Microsoft https://docs.microsoft.com/en-us/security-updates/securitybulletins/2017/ms17-010

  1. HTTP.sys Remote Code Execution Vulnerability (MS-15-034)

Cập nhật bản vá:  https://technet.microsoft.com/library/security/ms15-034

  1. Weblogic Server RCE (CVE-2015-4852), IBM WebSphere RCE (CVE-2015-7450)

Cập nhật bản vá từ nhà phát hành.

  1. SQL injection và XSS:

Để khắc phục 2 lỗ hổng trên lập trình viên cần tuân thủ các quy tắc trong việc kiểm tra các dữ liệu đầu vào:

  1. Broken Access Control:

Đối với mỗi truy vấn cần kiểm tra quyền truy cập tài nguyên và quyền sử dụng chức năng của người dùng trước khi thực hiện (kiểm tra session hiện tại của người dùng nào, người dùng đó có những quyền nào.

Tham khảo https://www.owasp.org/index.php/Top_10-2017_A5 Broken_Access_Control

  1. Apache Struts Remote Code Execution (CVE-2017-5638)

Đây là lỗ hổng cực kỳ nghiêm trọng, khuyến cáo các lập trình viên cần cập nhật phiên bản mới nhất cho framework apache struts2.

TỔNG KẾT

Công nghệ càng phát triển thì càng có nhiều lỗ hổng bảo mật khó nhận biết, các suy đoán chỉ là nhất thời và không triệt để, kể cả những cảnh báo mà VSEC cùng các công ty an ninh mạng đưa ra. Vì vậy, để bảo đảm tối đa cho hệ thống của bạn, nếu không có đội ngũ kỹ thuật riêng cho mình, hãy tìm tới các doanh nghiệp cung cấp dịch vụ bảo mật chuyên nghiệp, các chuyên gia cùng hệ thống kỹ thuật chuyên dụng sẽ bảo vệ hệ thống của bạn một cách toàn diện nhất!