An ninh mạng tháng 7/2021: Câu chuyện phần mềm nguồn mở và đồng xu hai mặt

[Ginny Hà]

Bức tranh an ninh mạng tháng 7/2021 có phông nền quen thuộc với bản vá định kỳ của các hãng lớn như Microsoft, Google; bên cạnh đó là hoạt động của các mã độc – những kẻ đeo bám không khi nào vắng mặt. Nhấn nhá trên bức tranh tháng này có thể kể đến loạt lỗ hổng mới phát hiện trên phần mềm nguồn mở “đình đám” Zimbra và Jira.

Câu chuyện số 1

28/7 là ngày bận rộn với đội ngũ IT của nhiều doanh nghiệp khi bộ email, lịch và cộng tác dựa trên đám mây Zimbra bị phát hiện tồn tại lỗ hổng.

Lỗ hổng XSS (CVE-2021-35208) trong thành phần Calendar Invite của Zimbra có thể bị kích hoạt trên trình duyệt người dùng khi xem tin nhắn email chứa payload JavaScript. Lỗ hổng khi thực thi sẽ cấp quyền truy cập vào toàn bộ hộp thư đến cũng như phiên web client, từ đó tiến hành các cuộc tấn công tiếp theo.

Nghiêm trọng hơn, nếu khai thác lỗ hổng kết hợp cùng lỗi SSRF (CVE-2021-35208), hacker có thể chuyển hướng máy khách HTTP mà Zimbra sử dụng đến một URL tùy ý và trích xuất thông tin nhạy cảm từ đám mây, bao gồm mã thông báo truy cập Google Cloud API và thông tin xác thực IAM từ AWS, từ đó xâm nhập hệ thống.

Phần mềm Zimbra hiện được hơn 200.000 doanh nghiệp trên 160 quốc gia sử dụng.

Câu chuyện số 2

Trước đó chỉ vài ngày, các doanh nghiệp sử dụng phần mềm Jira để theo dõi, quản lý dự án cũng được phen “hú hồn” khi một lỗ hổng nghiêm trọng trên sản phẩm được phát hiện. Lỗ hổng ảnh hưởng đến Jira Data Center và Jira Service Management Data Center, cho phép hacker thực thi mã tùy ý từ xa.

Lỗ hổng CVE-2020-36239 liên quan đến việc xác thực không đầy đủ khi triển khai Ehcache của Jira, ảnh hưởng tới phiên bản 6.3.0 của Jira Data Center, Jira Core Data Center, Jira Software Data Center và Jira Service Management Data Center (còn gọi là Jira Service Desk trước 4.14).

Atlassian, hãng đứng sau phần mềm Jira hiện cung cấp nền tảng cho khoảng 180.000 doanh nghiệp sử dụng để thiết kế phần mềm và quản lý dự án.

Phần mềm nguồn mở

Nguy hiểm là vậy, nhưng phần mềm nguồn mở (open source) vẫn đang là xu thế hiện nay. Vì sao vậy nhỉ? Câu trả lời là: vì nó NGON, BỔ, RẺ!

Trước hết là RẺ. Phần mềm nguồn mở được cung cấp dưới dạng mã, nguồn, chia sẻ miễn phí để bất kỳ ai cũng có quyền sửa đổi, cải tiến, phát triển và nâng cấp trong phạm vi quy định (nguyên tắc trong giấy phép phần mềm nguồn mở).

Tức là thế nào nhỉ, Developer không cần lo lắng bản quyền, không cần xin phép tác giả gốc mà chỉ cần tải về là có “hàng” để xài rồi.

Tiếp đến là NGON. Chính vì tính public, “dùng chung” nên ngoài cha đẻ (tác giả gốc), phần mềm nguồn mở sẽ có vô vàn cha dượng, cha nuôi, rồi cả mẹ kế cùng góp sức “chăm sóc”. Sản phẩm nhờ thế sẽ cải tiến và sở hữu nhiều chức năng “ngon nghẻ” hơn.

Còn BỔ, ờ thì cũng… Thông thường, phần mềm nguồn mở đã được kiểm duyệt bởi các tổ chức uy tín, nên cũng sẽ đáp ứng chất lượng ở mức độ tương đối về bảo mật, tối ưu và một số tiêu chuẩn khác. Ngoài ra, đối với các Designer, mã nguồn mở đã có phần lớn công cụ có thể giúp họ giải quyết nhiều vấn đề một cách nhanh chóng, không tốn thời gian, công sức viết code.

Nhưng BỔ cũng chỉ ở mức “ờ thì cũng”. Đồng xu nào chẳng có hai mặt. Vì là “mở” nên bất cứ ai cũng có thể download về, tìm tòi và vọc vạch. Khi phát hiện vấn đề trên phần mềm nguồn mở, người tốt thì báo lỗi, đóng góp bản vá, kẻ xấu thì im ỉm để khai thác trục lợi. Và hacker, thật tình cờ, lại thường là kẻ xấu!

Báo cáo an ninh phần mềm hàng năm của công ty bảo mật Veracode (Hoa Kỳ), khoảng 70% ứng dụng cho thiết bị điện thoại, máy tính đang sử dụng hiện nay tồn tại ít nhất một lỗ hổng xuất phát từ việc sử dụng thư viện nguồn mở.

Tạm kết

Các lỗ hổng cả trên Zimbra và Jira đều đã có bản vá. Tuy nhiên, đó mới là phần nổi của tảng băng chìm. Người dùng Zimbra, Jira nói riêng và phần mềm nguồn mở nói chung cần thường xuyên rà soát và cập nhật lỗ hổng sớm nhất có thể để không trở thành “miếng mồi béo bở” cho hacker.

WhiteHat​