-
14/01/2021
-
19
-
85 bài viết
Phát hiện lỗ hổng zero-day trong NodeBB
Nếu bạn đang điều hành một diễn đàn dựa trên phần mềm NodeBB, hãy nhanh chóng cập nhật bản vá mới nhất để khắc phục hai lỗ hổng nghiêm trọng.
Phần mềm Diễn đàn NodeBB được phát triển bởi Node.js và hỗ trợ cơ sở dữ liệu Redis, MongoDB hoặc PostgreSQL. Nó sử dụng các web socket để tương tác tức thì và thông báo thời gian thực. NodeBB tận dụng tối đa tính năng của web hiện đại: thảo luận/phát trực tuyến trong thời gian thực, đáp ứng các tính năng trên thiết bị di động và đọc/ghi RESTful API phong phú nhưng vẫn đảm bảo đúng với định dạng ban đầu của bulletin board/forum -> phân cấp, tài khoản người dùng cục bộ và không đồng bộ tin nhắn. Các chuyên gia an ninh của dự án NodeBB gần đây đã công bố thông tin về lỗ hổng CVE-2022-36076 và CVE-2022-36045:
- Đầu tiên là CVE-2022-36076 cho phép chiếm tài khoản thông qua plugin SSO. Mar0uane-nhà nghiên cứu đã phát hiện ra lỗ hổng, chỉ ra rằng có thể sử dụng mã ủy quyền đăng nhập một lần của chính mình và sau đó thông qua Cross-Site Request(CSRF) lừa một người dùng khác liên kết tài khoản của họ với mã xác thực đó. Nhà nghiên cứu cũng đưa ra các hướng dẫn để khai thác lỗi này:
- CVE-2022-36045 cho phép chiếm tài khoản thông qua PRNG mã hóa yếu trong `utils.generateUUID`. Lỗ hổng này ảnh hưởng đến phiên bản NodeBB 2.0.0 và <= 1.19.7. “Lỗ hổng cho phép kẻ tấn công chiếm đoạt bất kỳ tài khoản nào mà không có sự tham gia của nạn nhân và do đó, biện pháp khắc phục phải được áp dụng ngay lập tức”, NodeBB cho biết.
Các quản trị viên diễn đàn nên tải xuống và cài đặt phiên bản NodeBB mới nhất ( v2.5.2) càng sớm càng tốt.
Phần mềm Diễn đàn NodeBB được phát triển bởi Node.js và hỗ trợ cơ sở dữ liệu Redis, MongoDB hoặc PostgreSQL. Nó sử dụng các web socket để tương tác tức thì và thông báo thời gian thực. NodeBB tận dụng tối đa tính năng của web hiện đại: thảo luận/phát trực tuyến trong thời gian thực, đáp ứng các tính năng trên thiết bị di động và đọc/ghi RESTful API phong phú nhưng vẫn đảm bảo đúng với định dạng ban đầu của bulletin board/forum -> phân cấp, tài khoản người dùng cục bộ và không đồng bộ tin nhắn. Các chuyên gia an ninh của dự án NodeBB gần đây đã công bố thông tin về lỗ hổng CVE-2022-36076 và CVE-2022-36045:
- Đầu tiên là CVE-2022-36076 cho phép chiếm tài khoản thông qua plugin SSO. Mar0uane-nhà nghiên cứu đã phát hiện ra lỗ hổng, chỉ ra rằng có thể sử dụng mã ủy quyền đăng nhập một lần của chính mình và sau đó thông qua Cross-Site Request(CSRF) lừa một người dùng khác liên kết tài khoản của họ với mã xác thực đó. Nhà nghiên cứu cũng đưa ra các hướng dẫn để khai thác lỗi này:
- Tạo hai tài khoản: A (Attacker) và B (Nạn nhân).
- Đăng nhập vào tài khoản của attacker và bắt đầu quá trình tạo Google SSO.
- Chặn request và truy xuất URI có dạng như:
- Khi nạn nhân đã đăng nhập sẽ điều hướng đến URI bị chặn.
- CVE-2022-36045 cho phép chiếm tài khoản thông qua PRNG mã hóa yếu trong `utils.generateUUID`. Lỗ hổng này ảnh hưởng đến phiên bản NodeBB 2.0.0 và <= 1.19.7. “Lỗ hổng cho phép kẻ tấn công chiếm đoạt bất kỳ tài khoản nào mà không có sự tham gia của nạn nhân và do đó, biện pháp khắc phục phải được áp dụng ngay lập tức”, NodeBB cho biết.
Các quản trị viên diễn đàn nên tải xuống và cài đặt phiên bản NodeBB mới nhất ( v2.5.2) càng sớm càng tốt.
Nguồn: SecurityOnline
Chỉnh sửa lần cuối: