WhiteHat News #ID:2018
WhiteHat Support
-
20/03/2017
-
129
-
443 bài viết
Lỗ hổng nghiêm trọng trên PPP Daemon đặt các hệ thống Linux trước nguy cơ bị tấn công
US-CERT (Đội phản ứng máy tính khẩn cấp của Mỹ) vừa phát đi khuyến cáo cảnh báo người dùng về một lỗ hổng thực thi mã từ xa nguy hiểm ảnh hưởng đến phần mềm PPP daemon (PPPD) được cài đặt trên hầu hết các hệ điều hành nhân Linux và có mặt trên firmware của nhiều thiết bị mạng khác.
Phần mềm pppd bị ảnh hưởng là một phiên bản triển khai của giao thức Point-to-Point (PPP - giao thức kết nối điểm - điểm), cho phép giao tiếp và truyền dữ liệu giữa các node mạng, được dùng để thiết lập các liên kết Internet như các modem quay số, các kết nối băng thông DSL và Mạng riêng ảo.
Nhà nghiên cứu bảo mật Ilja Van Sprundel của IOActive, người phát hiện ra lỗ hổng, cho biết vấn đề nghiêm trọng này xuất phát từ việc tràn bộ đệm ngăn xếp từ lỗi logic trong gói phân tích giao thức xác thực mở rộng của phần mềm pppd.
Lỗ hổng CVE-2020-8597 có điểm CVSS 9.8, đã tồn tại trong 17 năm và có thể bị khai thác bởi kẻ tấn công trái phép để thực thi mã tùy ý từ xa trên các hệ thống bị ảnh hưởng và chiếm toàn quyền kiểm soát hệ thống.
Để làm được điều này, kẻ tấn công cần phải gửi một gói EAP không đúng định dạng đến máy client hoặc máy chủ ppp dính lỗ hổng.
Ngoài ra, vì ppp thường chạy với đặc quyền cao và hoạt động liên kết với trình điều khiển kernel, lỗ hổng có thể cho phép kẻ tấn công có thể thực thi mã tùy ý trên hệ thống hoặc với đặc quyền root.
Theo một khuyến cáo: “Lỗ hổng là do lỗi xác thực kích thước đầu vào trước khi sao chép dữ liệu được cung cấp vào bộ nhớ. Nếu việc xác thực này không chính xác, dữ liệu tùy ý có thể bị sao chép, gây lỗi bộ nhớ và có thể dẫn đến việc thực thi mã không mong muốn”.
Các hệ điều hành và thiết bị bị ảnh hưởng
Các phiên bản giao thức Point-to-Point 2.4.2 đến 2.4.8 được phát hành trong suốt 17 năm qua đều dính lỗ hổng thực thi mã từ xa mới này.
Một số bản phân phối Linux được sử dụng rộng rãi được xác nhận bị ảnh hưởng gồm có:
Hiện tại, mã khai thác (PoC) của lỗ hổng này vẫn chưa được công bố và cũng chưa có vụ khai thác nào được phát hiện trên thực tế.
Phần mềm pppd bị ảnh hưởng là một phiên bản triển khai của giao thức Point-to-Point (PPP - giao thức kết nối điểm - điểm), cho phép giao tiếp và truyền dữ liệu giữa các node mạng, được dùng để thiết lập các liên kết Internet như các modem quay số, các kết nối băng thông DSL và Mạng riêng ảo.
Nhà nghiên cứu bảo mật Ilja Van Sprundel của IOActive, người phát hiện ra lỗ hổng, cho biết vấn đề nghiêm trọng này xuất phát từ việc tràn bộ đệm ngăn xếp từ lỗi logic trong gói phân tích giao thức xác thực mở rộng của phần mềm pppd.
Lỗ hổng CVE-2020-8597 có điểm CVSS 9.8, đã tồn tại trong 17 năm và có thể bị khai thác bởi kẻ tấn công trái phép để thực thi mã tùy ý từ xa trên các hệ thống bị ảnh hưởng và chiếm toàn quyền kiểm soát hệ thống.
Để làm được điều này, kẻ tấn công cần phải gửi một gói EAP không đúng định dạng đến máy client hoặc máy chủ ppp dính lỗ hổng.
Ngoài ra, vì ppp thường chạy với đặc quyền cao và hoạt động liên kết với trình điều khiển kernel, lỗ hổng có thể cho phép kẻ tấn công có thể thực thi mã tùy ý trên hệ thống hoặc với đặc quyền root.
Theo một khuyến cáo: “Lỗ hổng là do lỗi xác thực kích thước đầu vào trước khi sao chép dữ liệu được cung cấp vào bộ nhớ. Nếu việc xác thực này không chính xác, dữ liệu tùy ý có thể bị sao chép, gây lỗi bộ nhớ và có thể dẫn đến việc thực thi mã không mong muốn”.
Các hệ điều hành và thiết bị bị ảnh hưởng
Các phiên bản giao thức Point-to-Point 2.4.2 đến 2.4.8 được phát hành trong suốt 17 năm qua đều dính lỗ hổng thực thi mã từ xa mới này.
Một số bản phân phối Linux được sử dụng rộng rãi được xác nhận bị ảnh hưởng gồm có:
- Debian
- Ubuntu
- SUSE Linux
- Fedora
- NetBSD
- Red Hat Enterprise Linux
- Cisco CallManager
- TP-LINK products
- OpenWRT Embedded OS
- Synology (DiskStation Manager, VisualStation, Router Manager)
Hiện tại, mã khai thác (PoC) của lỗ hổng này vẫn chưa được công bố và cũng chưa có vụ khai thác nào được phát hiện trên thực tế.
Theo The Hacker News