Hai lỗ hổng bình an mạng CVE-2017-11317, CVE-2019-18935 tương quan cho tới tlỗi viện Telerik UI vẫn đe dọa các website cùng cổng thông báo điện tử của phòng ban đơn vị nước, trong các số đó gồm hệ thống website của EVNinfobandarpkr.com. infobandarpkr.comIT ngay nhanh chóng sẽ triển khai những phương án để loại bỏ các lỗ hổng an ninh mạng này ngoài khối hệ thống phần mềm, website trên EVNinfobandarpkr.com.
*
Ảnh minh họa

Những lỗ hổng nguy nan của tlỗi viện Telerik UI

Thời gian cách đây không lâu, Bộ Công an cảnh báo việc tin tặc đang lợi dụng hai lỗ hổng mạng CVE-2017-11317 cùng CVE-2019-18935 bên trên những trang web và cổng đọc tin điện tử của các cơ sở đơn vị nước.

Bạn đang xem: Telerik là gì

Theo thông tin số 19/TB-BCA-A05 của Sở Công an, CVE-2017-11317 và CVE-2019-18935 là hai lỗ hổng mạng trường tồn trên thư viện "Telerik UI" của các trang web sử dụng ngôn từ lập trình sẵn ASP.NET. Hai lỗ hổng này cho phép tin tặc kích hoạt tiến hành mã độc trường đoản cú xa nhằm điều hành và kiểm soát hệ thống máy chủ website. Từđó, tin tặc rất có thể xâm nhtràn vào hệ thống cùng thu thập toàn bộ lên tiếng và tài liệu về hệ thống website.

Kẻ tiến công đã mua (upload) được webshell (một dạng mã độc) lên máy chủ web trải qua lỗ hổng của Telerik Web UI. Telerik Web UI là bộ thư viện web trên Framework ASP.NET vô cùng thịnh hành cùng được thực thi nhiều làm việc ban ngành cơ quan chính phủ, doanh nghiệp lớn. Trên thỏng viện mãi sau 02 lỗ hổng nghiêm trọng chất nhận được kẻ tiến công mua xuống, upload tệp ngẫu nhiên hoặc có thể thực hiện mã trường đoản cú xa bên trên sever web, rõ ràng sẽ là CVE 2017-11317, CVE-2019-18935, cả nhị mọi đang công khai minh bạch mã khai thác.

Đặc biệt, lỗ hổng CVE 2017-11317 là lỗ hổng vì chưng hardcoded key (lỗ hổng tiến hành mã hóa nguy hiểm) và unrestricted-file-upload (upload tệp không an toàn) bên trên Telerik Web UI. Nó đã có tìm thấy từ thời điểm năm 2017 tuy nhiên lại không có sẵn vào chữ ký kết (signature) các đồ vật bình yên ban bố (ATTT) với tương đối cạnh tranh vào việc vạc hiện nay tự động hóa bởi vì nó thực hiện tận hưởng (request) một phương pháp hợp lệ. Vì vậy, người tiêu dùng cần từ kiểm soát sản phẩm công nghệ ATTT cai quản với cập nhật.

Xem thêm: Kiến Thức Chuyên Môn Tiếng Anh Là Gì ? Chuyên Ngành Tiếng Anh Là Gì

Đây là lỗ hổng bảo mật thông tin cực kỳ cực kỳ nghiêm trọng, trường tồn do mã hóa yếu vào tệp tin Telerik.Web.UI.dll (Telerik UI for ASP.NET AJAX components). Knhị thác lỗ hổng này, tin tặc có thể giải thuật ra key (Telerik.Web.UI.DialogParametersEncryptionKey hoặc the MachineKey), từ bỏ đó có được con đường links quản lí trị ngôn từ tệp tin và rất có thể tải tệp tin lên máy chủ nếu như cấu hình cho phép (mang định là cho phép).

Qua bình chọn, cơ quan công dụng của Bộ Công an phân phát hiện 704 trang web, cổng công bố năng lượng điện tử của cơ quan nhà nước tất cả áp dụng thư viện "Telerik UI", trong các số đó có 28 trang, cổng đọc tin năng lượng điện tử mãi sau lỗ hổng bảo mật rất có thể bị tin tặc tiến công với khai thác tự xa. điều đặc biệt, Bộ Công an phân phát hiện tại 14 trang, cổng thông báo năng lượng điện tử của phòng ban đơn vị nước trường tồn đường dẫn, hình ảnh lăng xê cho game bài bác V8 Club. Hoạt động này tác động nghiêm trọng mang đến đáng tin tưởng của cơ quan công ty nước cùng trơ khấc từ an toàn làng mạc hội.

*

Hình ảnh minch họa

Rà thẩm tra với fix lỗi đối với các ứng dụng, trang web tại EVNinfobandarpkr.com

Sau khi cảm nhận cảnh báo về các lỗ hổng bảo mật thông tin trên bộ thư viện Telerik UI của Sở Công an, infobandarpkr.comIT đang triển khai lãnh đạo của TCT thực hiện thanh tra rà soát những phần mềm vận dụng có áp dụng tlỗi viện Telerik UI. Qua thanh tra rà soát, infobandarpkr.comIT vẫn tiến hành fix những lỗi tương quan tới Telerik UI bên trên các chương trình ứng dụng, trang web của EVNinfobandarpkr.com thành công xuất sắc.

Lúc bấy giờ, các lịch trình ứng dụng, trang web của EVNinfobandarpkr.com đang vận hành ổn định với những phương án bảo mật bình yên báo cáo cao, phối kết hợp các giải pháp an toàn thông báo tự những thiết bị Hartware bảo vệ khối hệ thống chuyển động tốt Ship hàng công tác làm việc chế tạo, sale của EVNinfobandarpkr.com.