DDos
VIP Members
-
22/10/2013
-
524
-
2.191 bài viết
Quản trị viên diễn đàn hãy cập nhật Discourse ngay lập tức!
Tuần trước, một lỗ hổng thực thi mã từ xa tồn tại trong Discourse có mã định danh CVE-2021-41163 đã được vá thông qua một bản cập nhật khẩn cấp.
Discourse là một ứng dụng mã nguồn mở phổ biến được viết bằng ngôn ngữ lập trình Ruby và JavaScript để xây dựng diễn đàn thảo luận trực tuyến. Discourse có nhiều tính năng tích hợp và rất dễ sử dụng.
Phiên bản Discourse 2.7.8 hoặc cũ hơn tồn tại lỗ hổng nguy hiểm, do đó, nhà phát triển đã phát hành phiên bản 2.7.9 cũng như các phiên bản trong kênh thử nghiệm và beta để vá lỗi.
Theo số liệu thống kê chính thức, Discourse được sử dụng để xuất bản 3,5 triệu bài đăng với 405 triệu người dùng xem chỉ tính riêng trong tháng 9 năm 2021.
Do mức độ phổ biến của Discourse, CISA đã phát hành một cảnh báo về lỗ hổng này, thúc giục quản trị viên diễn đàn cập nhật lên phiên bản mới nhất hiện có hoặc áp dụng các biện pháp giảm thiểu cần thiết.
Việc khai thác được kích hoạt bằng cách gửi một yêu cầu độc hại đến phiên bản phần mềm tồn tại lỗ hổng, lợi dụng việc thiếu xác thực trong các giá trị 'subscribe-url'.
Việc gọi tham số `open()` với dữ liệu đầu vào do người dùng cung cấp cho phép gọi các lệnh hệ điều hành với bất kỳ quyền nào mà ứng dụng web chạy trên đó, thường là 'www-data'(admin).
Để khai thác CVE-2021-41163, kẻ tấn công chỉ cần gửi một yêu cầu POST không cần xác thực đến mục tiêu. Do cách thức khai thác rất dễ dàng, lỗ hổng này có điểm số CVSS là 10.
Theo kết quả tìm kiếm trên Shodan, có tới 8.641 lượt triển khai ứng dụng Discourse, rất có thể trong số đó có nhiều phiên bản Discourse tồn tại lỗ hổng.
Nếu quản trị viên không thể nâng cấp lên phiên bản mới nhất, việc chặn các yêu cầu có đường dẫn bắt đầu bằng '/webhooks/aws' là điều cần thiết.
Hiện tại, chi tiết kỹ thuật về lỗ hổng vẫn chưa được công bố. Tuy nhiên, một số nhà nghiên cứu bảo mật đã tiết lộ một vài thông tin cơ bản.
Việc công bố quá nhiều thông tin chi tiết về lỗ hổng chỉ vài ngày sau khi có bản sửa lỗi sẽ dẫn đến việc tin tặc tích cực khai thác lỗ hổng. Tuy nhiên, nhà nghiên cứu phát hiện ra lỗ hổng cho biết, chi tiết kỹ thuật về lỗ hổng sẽ không được công bố đầy đủ.
Discourse là một ứng dụng mã nguồn mở phổ biến được viết bằng ngôn ngữ lập trình Ruby và JavaScript để xây dựng diễn đàn thảo luận trực tuyến. Discourse có nhiều tính năng tích hợp và rất dễ sử dụng.
Phiên bản Discourse 2.7.8 hoặc cũ hơn tồn tại lỗ hổng nguy hiểm, do đó, nhà phát triển đã phát hành phiên bản 2.7.9 cũng như các phiên bản trong kênh thử nghiệm và beta để vá lỗi.
Theo số liệu thống kê chính thức, Discourse được sử dụng để xuất bản 3,5 triệu bài đăng với 405 triệu người dùng xem chỉ tính riêng trong tháng 9 năm 2021.
Do mức độ phổ biến của Discourse, CISA đã phát hành một cảnh báo về lỗ hổng này, thúc giục quản trị viên diễn đàn cập nhật lên phiên bản mới nhất hiện có hoặc áp dụng các biện pháp giảm thiểu cần thiết.
Việc khai thác được kích hoạt bằng cách gửi một yêu cầu độc hại đến phiên bản phần mềm tồn tại lỗ hổng, lợi dụng việc thiếu xác thực trong các giá trị 'subscribe-url'.
Việc gọi tham số `open()` với dữ liệu đầu vào do người dùng cung cấp cho phép gọi các lệnh hệ điều hành với bất kỳ quyền nào mà ứng dụng web chạy trên đó, thường là 'www-data'(admin).
Để khai thác CVE-2021-41163, kẻ tấn công chỉ cần gửi một yêu cầu POST không cần xác thực đến mục tiêu. Do cách thức khai thác rất dễ dàng, lỗ hổng này có điểm số CVSS là 10.
Theo kết quả tìm kiếm trên Shodan, có tới 8.641 lượt triển khai ứng dụng Discourse, rất có thể trong số đó có nhiều phiên bản Discourse tồn tại lỗ hổng.
Nếu quản trị viên không thể nâng cấp lên phiên bản mới nhất, việc chặn các yêu cầu có đường dẫn bắt đầu bằng '/webhooks/aws' là điều cần thiết.
Hiện tại, chi tiết kỹ thuật về lỗ hổng vẫn chưa được công bố. Tuy nhiên, một số nhà nghiên cứu bảo mật đã tiết lộ một vài thông tin cơ bản.
Việc công bố quá nhiều thông tin chi tiết về lỗ hổng chỉ vài ngày sau khi có bản sửa lỗi sẽ dẫn đến việc tin tặc tích cực khai thác lỗ hổng. Tuy nhiên, nhà nghiên cứu phát hiện ra lỗ hổng cho biết, chi tiết kỹ thuật về lỗ hổng sẽ không được công bố đầy đủ.
Theo: bleepingcomputer