Bản cập nhật của Logsign Unified SecOps Platform giải quyết các lỗ hổng RCE quan trọng

[WhiteHat Team]

Hai lỗ hổng nghiêm trọng đã được xác định trong Nền tảng Logsign Unified SecOps là CVE-2024-5716 và CVE-2024-5717

Nền tảng Logsign Unified SecOps tích hợp trong SIEM, SOAR, UEBA và TI, cung cấp cho các nhà phân tích an ninh giải pháp toàn diện cho việc phát hiện, điều tra và phản ứng mối đe dọa (TDIR). Nền tảng này đảm bảo khả năng hiển thị và kiểm soát rộng rãi đối với các bộ dữ liệu, giúp thu thập và lưu trữ dữ liệu không giới hạn, phát hiện mối đe dọa và phản ứng tự động.

Các lỗ hổng trong nền tảng này khi kết hợp lại, có thể cho phép thực thi mã từ xa, không xác thực trên máy chủ web thông qua các yêu cầu HTTP. Điều này cho phép kẻ tấn công từ xa truy cập trái phép và kiểm soát hệ thống. CVE này nằm trong cơ chế đặt lại mật khẩu và câu lệnh truy vấn của nền tảng.

• CVE-2024-5716 (Bypass Xác Thực): Lỗ hổng này cho phép kẻ tấn công vượt qua xác thực bằng cách khai thác lỗi trong việc giới hạn tốc độ yêu cầu đặt lại mật khẩu. Tin tặc tấn công brute-force để vào các tài khoản, bao gồm cả những tài khoản có quyền cao như admin.
• CVE-2024-5717 (Command Injection Sau Xác Thực): Một khi đã xác thực (thậm chí qua lỗ hổng trên), lỗ hổng này cho phép kẻ tấn công truy vấn và thực thi các lệnh tùy ý trên hệ thống với quyền root. Điều này thực chất cho phép chúng kiểm soát hoàn toàn nền tảng bị xâm nhập.

Khi các lỗ hổng này được kết hợp, chúng tạo ra một rủi ro nghiêm trọng. Đầu tiên, kẻ tấn công có thể vượt qua xác thực bằng CVE-2024-5716 và sau đó tận dụng CVE-2024-5717 để thực thi mã tùy ý. Sự kết hợp này cho phép thực thi mã từ xa, không xác thực, dẫn đến nguy cơ hệ thống bị xâm nhập và truy cập trái phép vào dữ liệu nhạy cảm. Các chi tiết kỹ thuật và mã khai thác minh chứng cho các lỗ hổng này đã được công bố.

Lỗi này đã được vá trong phiên bản 6.4.8. Các chuyên gia bảo mật khuyến cáo tất cả người dùng phải cập nhật ngay lập tức lên phiên bản mới nhất này để giảm thiểu các rủi ro.

Theo Security Online​