-
09/04/2020
-
93
-
643 bài viết
Lỗ hổng trong Nuclei cho phép bỏ qua chữ ký và thực thi mã
Một lỗ hổng vừa được phát hiện trong Nuclei của ProjectDiscovery - một công cụ quét lỗ hổng nhanh, hiệu quả và có khả năng mở rộng. Nếu khai thác thành công, lỗ hổng này có thể cho phép kẻ tấn công bỏ qua các lần kiểm tra chữ ký và thực thi mã độc.
Lỗ hổng có mã định danh CVE-2024-43405, điểm CVSS là 7,4 và ảnh hưởng đến tất cả các phiên bản của Nuclei từ 3.0.0 trở lên. Nuclei là một công cụ phổ biến, sử dụng các mẫu YAML để kiểm tra ứng dụng, hạ tầng, mạng và nền tảng đám mây nhằm phát hiện lỗ hổng bảo mật.
Lỗ hổng này bắt nguồn từ sự không nhất quán trong cách xử lý ký tự xuống dòng giữa quá trình xác minh chữ ký và trình phân tích YAML, đặc biệt khi xử lý nhiều chữ ký. Điều này tạo điều kiện cho kẻ tấn công chèn nội dung độc hại vào mẫu nhưng vẫn duy trì được chữ ký hợp lệ.
Cụ thể, kẻ tấn công có thể sử dụng ký tự "\r" để vượt qua xác minh chữ ký regex. Trong khi regex coi "\r" là một phần của dòng, trình phân tích YAML lại diễn giải nó là ngắt dòng. Kẻ tấn công có thể tạo các mẫu với dòng "# digest:" thứ hai, vượt qua xác minh nhưng vẫn được YAML xử lý và thực thi. Hơn nữa, quy trình xác minh chỉ kiểm tra dòng chữ ký đầu tiên, bỏ qua các dòng còn lại, tạo ra cơ hội cho mã độc được thực thi.
Lỗ hổng CVE-2024-43405 có thể bị khai thác để thực thi mã độc tùy ý, truy cập dữ liệu nhạy cảm từ hệ thống mục tiêu hoặc gây rò rỉ thông tin hoặc xâm phạm hệ thống.
Wiz - Công ty công nghệ phát hiện ra lỗ hổng cảnh báo rằng quy trình xác minh chữ ký hiện tại của Nuclei là cách duy nhất được sử dụng để xác thực các mẫu (templates). Điều này có nghĩa nếu quy trình này bị khai thác hoặc thất bại, toàn bộ hệ thống bảo mật dựa trên nó cũng sẽ bị phá vỡ. Vì vậy, nó trở thành "Gót chân Asin" gây ra hậu quả nghiêm trọng cho toàn bộ hệ thống.
ProjectDiscovery đã phát hành bản vá lỗ hổng trên vào ngày 4/9/2024 thông qua phiên bản Nuclei 3.3.2. Người dùng được khuyến cáo nâng cấp lên phiên bản này hoặc các phiên bản cao hơn để đảm bảo an toàn.
Lỗ hổng có mã định danh CVE-2024-43405, điểm CVSS là 7,4 và ảnh hưởng đến tất cả các phiên bản của Nuclei từ 3.0.0 trở lên. Nuclei là một công cụ phổ biến, sử dụng các mẫu YAML để kiểm tra ứng dụng, hạ tầng, mạng và nền tảng đám mây nhằm phát hiện lỗ hổng bảo mật.
Lỗ hổng này bắt nguồn từ sự không nhất quán trong cách xử lý ký tự xuống dòng giữa quá trình xác minh chữ ký và trình phân tích YAML, đặc biệt khi xử lý nhiều chữ ký. Điều này tạo điều kiện cho kẻ tấn công chèn nội dung độc hại vào mẫu nhưng vẫn duy trì được chữ ký hợp lệ.
Cụ thể, kẻ tấn công có thể sử dụng ký tự "\r" để vượt qua xác minh chữ ký regex. Trong khi regex coi "\r" là một phần của dòng, trình phân tích YAML lại diễn giải nó là ngắt dòng. Kẻ tấn công có thể tạo các mẫu với dòng "# digest:" thứ hai, vượt qua xác minh nhưng vẫn được YAML xử lý và thực thi. Hơn nữa, quy trình xác minh chỉ kiểm tra dòng chữ ký đầu tiên, bỏ qua các dòng còn lại, tạo ra cơ hội cho mã độc được thực thi.
Lỗ hổng CVE-2024-43405 có thể bị khai thác để thực thi mã độc tùy ý, truy cập dữ liệu nhạy cảm từ hệ thống mục tiêu hoặc gây rò rỉ thông tin hoặc xâm phạm hệ thống.
Wiz - Công ty công nghệ phát hiện ra lỗ hổng cảnh báo rằng quy trình xác minh chữ ký hiện tại của Nuclei là cách duy nhất được sử dụng để xác thực các mẫu (templates). Điều này có nghĩa nếu quy trình này bị khai thác hoặc thất bại, toàn bộ hệ thống bảo mật dựa trên nó cũng sẽ bị phá vỡ. Vì vậy, nó trở thành "Gót chân Asin" gây ra hậu quả nghiêm trọng cho toàn bộ hệ thống.
ProjectDiscovery đã phát hành bản vá lỗ hổng trên vào ngày 4/9/2024 thông qua phiên bản Nuclei 3.3.2. Người dùng được khuyến cáo nâng cấp lên phiên bản này hoặc các phiên bản cao hơn để đảm bảo an toàn.
Theo The Hacker News