Ginny Hà
VIP Members
-
04/06/2014
-
88
-
689 bài viết
Cảnh báo lỗ hổng thực thi mã từ xa trong framework Java Quarkus
Các nhà phát triển vừa được cảnh báo về việc framework phổ biến Quarkus bị ảnh hưởng bởi một lỗ hổng nghiêm trọng có thể dẫn đến thực thi mã từ xa.
Xuất hiện từ năm 2019, Quarkus là một framework Java Kubernetes-native mã nguồn mở được thiết kế cho các máy ảo GraalVM và HotSpot.
Có mã theo dõi CVE-2022-4116 (điểm CVSS là 9,8), lỗ hổng tồn tại trong Dev UI Config Editor và có thể bị khai thác thông qua các cuộc tấn công drive-by localhost.
Nhà nghiên cứu Joseph Beeton của Contrast Security, người phát hiện ra lỗi, giải thích: “Việc khai thác lỗ hổng không khó và có thể được thực hiện bởi hacker mà không cần đặc quyền”.
Nhà nghiên cứu cho biết, trên thực tế, các dịch vụ liên kết với máy chủ cục bộ có thể truy cập được từ bên ngoài nên kẻ tấn công có thể tạo một trang web độc hại để nhắm mục tiêu các nhà phát triển đang sử dụng các phiên bản Quarkus tồn tại lỗ hổng.
Beeton lưu ý: “Nếu một nhà phát triển đang chạy Quarkus truy cập cục bộ vào một trang web có JavaScript độc hại, thì JavaScript đó có thể âm thầm thực thi mã trên máy của nhà phát triển”.
Vấn đề do mã JavaScript có thể đưa ra yêu cầu tới máy chủ cục bộ mà không cần yêu cầu chạy trước. Được gọi là simple requests', những yêu cầu này không trả lại dữ liệu cho JavaScript đang gọi, nhưng thời gian phản hồi có thể được sử dụng để suy luận xem yêu cầu có thành công hay không.
Beeton giải thích: “Trong ngữ cảnh đó, có thể truy cập vào máy chủ cục bộ và trong một số trường hợp nhất định, kích hoạt thực thi mã tùy ý”.
Nhà nghiên cứu đã công bố PoC khởi chạy ứng dụng máy tính trên máy mục tiêu, nhưng cảnh báo rằng việc khai thác lỗ hổng có thể có tác động rộng lớn, tùy thuộc vào quyền truy cập mà nhà phát triển sở hữu đối với khóa bí mật, máy chủ và các nguồn lực khác.
“Tuy nhiên, có các nguy cơ như cài đặt keylogger trên máy cục bộ để thu thập thông tin đăng nhập vào hệ thống sản xuất hoặc sử dụng token GitHub để sửa đổi mã nguồn”, Beeton lưu ý.
Nhà nghiên cứu cũng chỉ ra rằng hacker có thể cố gắng thực hiện các cuộc tấn công lừa đảo nhằm vào các nhà phát triển đang sử dụng Quarkus, để lừa họ nhấp vào liên kết dẫn đến mã JavaScript khai thác lỗ hổng.
Tuần này, Quarkus thông báo các bản vá lỗi cho CVE-2022-4116 đã được đưa vào phiên bản 2.14.2.Final và 2.13.5.Final của framework, đồng thời cảnh báo rằng hacker có thể khai thác lỗi này để có quyền truy cập cục bộ vào các công cụ phát triển và kêu gọi các nhà phát triển cập nhật càng sớm càng tốt.
Xuất hiện từ năm 2019, Quarkus là một framework Java Kubernetes-native mã nguồn mở được thiết kế cho các máy ảo GraalVM và HotSpot.
Có mã theo dõi CVE-2022-4116 (điểm CVSS là 9,8), lỗ hổng tồn tại trong Dev UI Config Editor và có thể bị khai thác thông qua các cuộc tấn công drive-by localhost.
Nhà nghiên cứu Joseph Beeton của Contrast Security, người phát hiện ra lỗi, giải thích: “Việc khai thác lỗ hổng không khó và có thể được thực hiện bởi hacker mà không cần đặc quyền”.
Nhà nghiên cứu cho biết, trên thực tế, các dịch vụ liên kết với máy chủ cục bộ có thể truy cập được từ bên ngoài nên kẻ tấn công có thể tạo một trang web độc hại để nhắm mục tiêu các nhà phát triển đang sử dụng các phiên bản Quarkus tồn tại lỗ hổng.
Beeton lưu ý: “Nếu một nhà phát triển đang chạy Quarkus truy cập cục bộ vào một trang web có JavaScript độc hại, thì JavaScript đó có thể âm thầm thực thi mã trên máy của nhà phát triển”.
Vấn đề do mã JavaScript có thể đưa ra yêu cầu tới máy chủ cục bộ mà không cần yêu cầu chạy trước. Được gọi là simple requests', những yêu cầu này không trả lại dữ liệu cho JavaScript đang gọi, nhưng thời gian phản hồi có thể được sử dụng để suy luận xem yêu cầu có thành công hay không.
Beeton giải thích: “Trong ngữ cảnh đó, có thể truy cập vào máy chủ cục bộ và trong một số trường hợp nhất định, kích hoạt thực thi mã tùy ý”.
Nhà nghiên cứu đã công bố PoC khởi chạy ứng dụng máy tính trên máy mục tiêu, nhưng cảnh báo rằng việc khai thác lỗ hổng có thể có tác động rộng lớn, tùy thuộc vào quyền truy cập mà nhà phát triển sở hữu đối với khóa bí mật, máy chủ và các nguồn lực khác.
“Tuy nhiên, có các nguy cơ như cài đặt keylogger trên máy cục bộ để thu thập thông tin đăng nhập vào hệ thống sản xuất hoặc sử dụng token GitHub để sửa đổi mã nguồn”, Beeton lưu ý.
Nhà nghiên cứu cũng chỉ ra rằng hacker có thể cố gắng thực hiện các cuộc tấn công lừa đảo nhằm vào các nhà phát triển đang sử dụng Quarkus, để lừa họ nhấp vào liên kết dẫn đến mã JavaScript khai thác lỗ hổng.
Tuần này, Quarkus thông báo các bản vá lỗi cho CVE-2022-4116 đã được đưa vào phiên bản 2.14.2.Final và 2.13.5.Final của framework, đồng thời cảnh báo rằng hacker có thể khai thác lỗi này để có quyền truy cập cục bộ vào các công cụ phát triển và kêu gọi các nhà phát triển cập nhật càng sớm càng tốt.
Nguồn: Security Week
Chỉnh sửa lần cuối: