Lỗ hổng CVE-2021-43798 là lỗ hổng bảo mật ở mức độ cao, ảnh hưởng đến Grafana các phiên bản từ 8.0.0-beta1 đến 8.3.0.
Trung tâm Giám sát an toàn không gian mạng quốc gia (NCSC) thuộc Cục An toàn thông tin (Bộ TT-TT) đã có thông tin cảnh báo về lỗ hổng bảo mật trong Grafana.
Theo NCSC, Grafana là một nền tảng để xây dựng các analytics và monitoring, đang được sử dụng phổ biến tại nhiều cơ quan, tổ chức để hỗ trợ quản trị viên theo dõi hệ thống, truy xuất dữ liệu…
Qua công tác giám sát kỹ thuật, NCSC nhận thấy lỗ hổng CVE-2021-43798 là lỗ hổng bảo mật ở mức độ cao, ảnh hưởng đến Grafana các phiên bản từ 8.0.0-beta1 đến 8.3.0. Đây là lỗ hổng directory traversal, lỗ hổng này cho phép kẻ tấn công truy cập local files.
Vừa qua, Grafana đã phát hành bản vá cho lỗ hổng CVE-2021-43798 trên các phiên bản 8.3.1, 8.2.7, 8.1.8 và 8.0.7.
Để tránh nguy cơ bị tấn công, các chuyên gia của NCSC khuyến nghị các đơn vị, tổ chức cần thực hiện cập nhật bản vá trong thời gian sớm. Trong trường hợp chưa thể cập nhật, quản trị viên có thể thiết lập các giải pháp WAF/reverse proxy để ngăn chặn tấn công.
Trước đó, tại Hội thảo và Triển lãm quốc tế về An toàn không gian mạng -Vietnam Security Summit 2021, các chuyên gia cho biết thống kê trên thế giới cho thấy có 900 cuộc tấn công mạng, có 5 mã độc mới sinh ra trong mỗi giây, phát hiện 40 điểm yếu, lỗ hổng mỗi ngày. Đó đều là những nguy cơ hiện hữu mà chúng ta phải đối mặt và điều này có thể tăng lên theo hàm số mũ trong thời gian tới.
Theo ông Nguyễn Thành Phúc - Cục trưởng Cục An toàn thông tin, nhu cầu nhân lực an toàn không gian mạng vào 2025 được dự báo sẽ tăng trưởng gấp đôi so với năm 2020, tức là cần khoảng 6 triệu người. Cũng vào năm 2025, đối tượng bị tấn công dự báo sẽ gấp 2,7 lần so với năm 2020 và gấp tới 7,5 lần vào năm 2030.
Cùng với đó, vào năm 2025, dự báo rằng mỗi giây sẽ có 3.000 cuộc tấn công mạng và 12 mã độc mới, tăng tương ứng 3 lần và 2,4 lần so với năm 2020. Số lỗ hổng, điểm yếu mới xuất hiện mỗi ngày vào 2025 là khoảng 70, tăng 1,75 lần so với năm 2020.
Theo đó, Bộ TT-TT đã xác định 8 mục tiêu cần đạt được thời gian tới. Cụ thể, duy trì thứ hạng 25, hướng tới thứ hạng 20 về chỉ số An toàn thông tin toàn cầu (GCI). Mỗi người dân có một “Hiệp sĩ” bảo vệ.
Mỗi cơ quan, tổ chức, doanh nghiệp có 1 đơn vị chuyên nghiệp bảo vệ. 100% bộ, ngành, địa phương bảo đảm an toàn thông tin theo 4 lớp. Bảo vệ cơ sở hạ tầng thông tin 11 lĩnh vực quan trọng. 100% người sử dụng được tiếp cận nâng cao nhận thức, kỹ năng an toàn thông tin. Tỷ lệ thông tin tiêu cực duy trì dưới 10%; và 100% nền tảng số tuân thủ quy định pháp luật.