Các nhà nghiên cứu bảo mật từ Swascan, một công ty an ninh mạng có trụ sở tại Ý, đã phát hiện ra nhiều lỗ hổng tồn tại trên các hệ thống của Lenovo từ đơn giản đến nguy hiểm. Những lỗ hổng này nếu được exploit thành công, gây tổn hại nghiêm trọng đến mức độ bảo mật và tính toàn vẹn của các hệ thống trực thuộc Lenovo.
Theo thông tin được đăng tải trên blog cá nhân của nhóm Swascan, đã có tổng cộng 9 lỗ hổng bảo mật khác nhau được tìm thấy trong cơ sở hạ tầng máy chủ của Lenovo. Trong đó, có 2 trường hợp được xếp vào loại đặc biệt nghiêm trọng, có thể dẫn tới rủi ro bảo mật cao, và 7 lỗ hổng được đánh giá ở mức trung bình.
Các nhà nghiên cứu không nêu rõ thông tin chi tiết về những lỗ hổng đã được phát hiện. Tuy nhiên họ đã chia sẻ một số thông tin tương đối quan trọng liên quan đến bản chất của các lỗ hổng này thông qua số hiệu CWE. Các lỗ hổng đã ghi nhận bao gồm lỗi hạn chế hoạt động không chính xác trong giới hạn của bộ nhớ đệm, NULL Pointer Pereference, xác thực đầu vào không chính xác, trung lập hóa không chính xác các yếu tố đặc biệt được sử dụng trong lệnh OS, lỗi xác thực sai… Những lỗ hổng này về cơ bản có thể cho phép kẻ tấn công thực thi mã tùy ý, đọc thông tin nhạy cảm và kích hoạt sự cố hệ thống từ xa.
Lỗ hổng đã được vá
Ngay sau khi phát hiện ra những sai sót nêu trên, các nhà nghiên cứu Swascan đã kịp thời thông báo cho bộ phận an ninh – bảo mật của Lenovo. Cùng với sự trợ giúp của nhóm bảo mật Ý, nhà sản xuất công nghệ Trung Quốc đã nhanh chóng vá thành công các lỗ hổng ảnh hưởng nghiêm trọng đến tính khả dụng, tính toàn vẹn và khả năng bảo mật của các hệ thống.
Giới quan sát cũng như các chuyên gia bảo mật đánh giá cao sự nhanh nhẹn, nghiêm túc của đội ngũ bảo mật Lenovo trong việc xử lý các lỗ hổng trước khi chúng kịp để lại hậu quả. Trên blog cá nhân, nhóm Swascan đưa ra nhận xét như sau:
“Lenovo đã thể hiện sự nghiêm túc và tập trung tuyệt đối vào những phát hiện của chúng tôi. Cùng với hoạt động trao đổi công việc qua email, phân tích, đánh giá tình hình và lên kế hoạch khắc phục vấn đề gần như ngay lập tức, không ngạc nhiên khi họ có thể xử lý xong các lỗ hổng nhanh chóng đến vậy. Có thể nói Lenovo đang sở hữu đội ngũ bảo mật nghiêm túc, chuyên nghiệp và minh bạch nhất mà chúng tôi từng chứng kiến và cộng tác”.
Bên cạnh đó, các nhà nghiên cứu cũng không quên nhấn mạnh tầm quan trọng của sự hợp tác ăn ý giữa nhóm nghiên cứu bảo mật và nhà cung cấp trong việc xử lý kịp thời mọi sự cố bảo mật.
Nguồn: THN