Google hỗ trợ vá lỗ hổng nghiêm trọng “Mad Gadget” cho hàng ngàn mã nguồn mở

By | 2:47 pm | 03/03/2017

Năm ngoái, nhân viên của Google có một dự án nhằm giúp đỡ hàng ngàn dự án mã nguồn mở vá một lỗ hổng nguy hiểm cho phép thực thi mã từ xa trong bộ thư viện Apache Commons Collections (ACC).

google-mad-gadget-vulnerability-operation-rosehub-open-source-projects

Được gọi là Operation Rosehub, dự án này được 50 nhân viên của Google tham gia tình nguyện, họ đã bỏ ra 20 phần trăm thời gian làm việc của mình để vá hàng ngàn dự án mã nguồn mở trên Github, những dự án mà có lỗ hổng liên quan đến “Mad Gadget vulnerability”.

Mad Gadget vulnerability (CVE-2015-6420) là một lỗi thực thi mã từ xa trong Java deserialization được sử dụng bởi thư viện Apache Commons Collections (ACC) có thể cho phép kẻ tấn công thực thi mã từ xa tùy ý trên hệ thống mà không được thẩm định.

Thư viện ACC được triển khai rộng rãi bởi nhiều ứng dụng Java chúng được dùng để giải mã dữ liệu truyền giữa các máy tính. Để khai thác lỗ hổng này, kẻ tấn công trái phép cần phải đẩy mã độc thông qua một ứng dụng trên hệ thống mục tiêu sử dụng thư viện ACC.

Một khi các thư viện ACC tấn công dựa trên Java deserializes, những kẻ tấn công từ xa có thể thực thi mã tùy ý trên hệ thống bị xâm nhập, và sau đó có thể được sử dụng để tiến hành các cuộc tấn công lâu dài nữa.

Cuối năm ngoái, trên hệ thống tàu điện ngầm Muni, một hacker ẩn danh đã lây nhiễm ransomware trên 2.000 máy tính sử dụng cùng một lỗ hổng Gadget Mad này trong phần mềm sử dụng để vận hành hệ thống giao thông công cộng San Francisco.

Sau khi công bố công khai về lỗ hổng Mad Gadget, hầu hết các doanh nghiệp thương mại bao gồm Oracle, Cisco, Red Hat, VMWare, IBM, Intel, Adobe, HP, Jenkins, và SolarWinds chính thức tiết lộ rằng họ có bị ảnh hưởng bởi lỗ hổng này và đã vá nó trong các phần mềm của họ.

Tuy nhiên, vài tháng sau khi tất cả các doanh nghiệp lớn vá lỗ hổng này, một nhân viên của Google nhận thấy rằng một số thư viện mã nguồn mở nổi tiếng vẫn còn phụ thuộc vào phiên bản cũ có tồn tại lỗ hổng trên thư viện ACC.

“We recognized that the industry best practices had failed. An action was needed to keep the open source community safe. So rather than simply posting a security advisory asking everyone to address the vulnerability, we formed a task force to update their code for them. That initiative was called Operation Rosehub,” Justine Tunney, Software Engineer on TensorFlow, wrote on Google Open Source Blog.

Tạm dịch: Chúng tôi ghi nhận rằng các hoạt động đã thất bại. Một hành động khắc phục là cần thiết để giữ cho cộng đồng mã nguồn mở an toàn. Vì vậy, thay vì chỉ đơn giản đăng một khuyến nghị an ninh yêu cầu mọi người giải quyết các lỗ hổng, chúng tôi đã thành lập một đội ngũ chuyên biệt để cập nhật mã của mình cho họ. Dự án đó đã được gọi là Operation Rosehub, “Justine Tunney, Kỹ sư phần mềm TensorFlow, đã viết trên Google Open Source Blog.

Theo Operation Rosehub, các bản vá lỗi đã được gửi đến các dự án mã nguồn mở, mặc dù các nhân viên của Google chỉ có thể vá các dự án mã nguồn mở trên GitHub trực tiếp sử dụng phiên bản có lỗ hổng của thư viện ACC.

Theo Open Source Blog, nếu hệ thống phần mềm của Cơ quan Giao thông vận tải thành phố San Francisco là mã nguồn mở, thì các kỹ sư của Google đã có thể cung cấp các bản vá lỗi Mad Gadget cho họ, và hệ thống của họ sẽ không bao giờ bị xâm nhập.