-
09/04/2020
-
124
-
1.521 bài viết
Căng cực: Zoom và GitLab vá lỗi nghiêm trọng có nguy cơ chiếm quyền và làm sập hệ thống
Zoom và GitLab vừa phát hành bản vá để xử lý nhiều lỗ hổng nguy hiểm. Nếu bị khai thác, các lỗ hổng này có thể khiến hệ thống bị làm tê liệt dịch vụ, chiếm quyền điều khiển từ xa hoặc vượt qua lớp bảo vệ xác thực hai bước.
Nghiêm trọng nhất là một lỗ hổng trong Zoom Node Multimedia Router (MMR) - bộ phận trung gian xử lý dữ liệu âm thanh, hình ảnh của các cuộc họp Zoom. Lỗ hổng này có mã CVE-2026-22844, điểm 9,9/10 do chính đội ngũ an ninh nội bộ của Zoom phát hiện.
Theo Zoom, lỗi nằm ở cơ chế xử lý lệnh trong các phiên bản MMR cũ hơn 5.2.1716.0. Kẻ tấn công có thể lợi dụng lỗi này để đưa lệnh trái phép vào hệ thống, từ đó điều khiển máy chủ xử lý cuộc họp từ xa thông qua kết nối mạng. Hệ quả có thể là gián đoạn cuộc họp, mất kiểm soát hệ thống hoặc làm suy yếu hạ tầng họp trực tuyến của tổ chức.
Nghiêm trọng nhất là một lỗ hổng trong Zoom Node Multimedia Router (MMR) - bộ phận trung gian xử lý dữ liệu âm thanh, hình ảnh của các cuộc họp Zoom. Lỗ hổng này có mã CVE-2026-22844, điểm 9,9/10 do chính đội ngũ an ninh nội bộ của Zoom phát hiện.
Theo Zoom, lỗi nằm ở cơ chế xử lý lệnh trong các phiên bản MMR cũ hơn 5.2.1716.0. Kẻ tấn công có thể lợi dụng lỗi này để đưa lệnh trái phép vào hệ thống, từ đó điều khiển máy chủ xử lý cuộc họp từ xa thông qua kết nối mạng. Hệ quả có thể là gián đoạn cuộc họp, mất kiểm soát hệ thống hoặc làm suy yếu hạ tầng họp trực tuyến của tổ chức.
Các hệ thống bị ảnh hưởng gồm:
- Zoom Node Meetings Hybrid - MMR trước phiên bản 5.2.1716.0
- Zoom Node Meeting Connector - MMR trước phiên bản 5.2.1716.0
Zoom khuyến cáo các cơ quan, doanh nghiệp đang sử dụng các mô hình triển khai trên cập nhật ngay bản vá mới nhất. Hiện chưa ghi nhận trường hợp lỗ hổng bị khai thác.
Cùng thời điểm, GitLab cũng vá nhiều lỗ hổng mức cao trên cả bản miễn phí và doanh nghiệp. Một số lỗi cho phép kẻ tấn công chưa cần đăng nhập gửi yêu cầu bất thường làm hệ thống quá tải dẫn đến ngừng cung cấp dịch vụ.
Đáng chú ý là lỗ hổng CVE-2026-0723 cho phép kẻ tấn công nếu đã biết một số thông tin xác thực nhất định có thể giả mạo thiết bị đăng nhập, qua đó vượt qua lớp xác thực hai bước. Ngoài ra, GitLab cũng xử lý thêm các lỗi khác liên quan đến tài liệu Wiki cấu hình sai và các yêu cầu đăng nhập SSH bất thường, vốn có thể bị lợi dụng để gây tê liệt hệ thống.
Các chuyên gia an ninh mạng khuyến cáo đội ngũ quản trị nâng cấp GitLab lên các phiên bản đã được vá lỗi nhằm tránh nguy cơ gián đoạn dịch vụ và rủi ro mất an toàn thông tin.
Cùng thời điểm, GitLab cũng vá nhiều lỗ hổng mức cao trên cả bản miễn phí và doanh nghiệp. Một số lỗi cho phép kẻ tấn công chưa cần đăng nhập gửi yêu cầu bất thường làm hệ thống quá tải dẫn đến ngừng cung cấp dịch vụ.
Đáng chú ý là lỗ hổng CVE-2026-0723 cho phép kẻ tấn công nếu đã biết một số thông tin xác thực nhất định có thể giả mạo thiết bị đăng nhập, qua đó vượt qua lớp xác thực hai bước. Ngoài ra, GitLab cũng xử lý thêm các lỗi khác liên quan đến tài liệu Wiki cấu hình sai và các yêu cầu đăng nhập SSH bất thường, vốn có thể bị lợi dụng để gây tê liệt hệ thống.
Các chuyên gia an ninh mạng khuyến cáo đội ngũ quản trị nâng cấp GitLab lên các phiên bản đã được vá lỗi nhằm tránh nguy cơ gián đoạn dịch vụ và rủi ro mất an toàn thông tin.
Theo The Hacker News
Chỉnh sửa lần cuối: