WhiteHat News #ID:3333
VIP Members
-
04/06/2014
-
37
-
446 bài viết
Portcullis công bố lỗi trên phần mềm Sophos antivirus
Hãng an ninh mạng tại Anh, Portcullis, vừa công bố thông tin về một lỗ hổng trong Sophos Antivirus cho phép hacker chèn mã độc và vô hiệu hóa phần mềm. CVE-2014-2385 là lỗ hổng dạng XSS (multiple cross site scripting) tồn tại trên giao diện người dùng web (web UI) của Sophos Antivirus trên Linux. Web UI được sử dụng để cấu hình phần mềm.
Theo Portcullis, giao diện bị lỗi “không lọc các tham số đầu vào trước khi chúng được chuyển đến trình duyệt. Vì vậy, hacker có thể tiêm mã độc vào vào các tham số này, trong đó có JavaScript code. Lỗ hổng cho phép hacker chèn mã độc tùy ý trên trình duyệt của người dùng mà không cần mã khai thác.
“Kẻ tấn công có thể chèn mã độc vào bảng điều khiển chính của phần mềm Sophos và thực hiện bất kì hoạt động nào trên phần mềm, như là vô hiệu hóa chức năng anti-virus”, Catalina cho biết thêm.
Portcullis cảnh báo vấn đề này với Sophos vào tháng 2. Sophos đã sửa lỗi trong phiên bản 9.6.1 phát hành trong tháng 5, tuy nhiên phía công ty yêu cầu Portcullis hoãn công bố lỗi này.
“Chúng tôi gửi lời cảm ơn đến Portcullis đã phát hiện ra lỗ hổng và rất có trách nhiệm trong việc công bố thông tin” Đại diện Sophos cho hay.
Paco Hope, nhà tư vấn của hãng bảo mật Cigital, nhận định lỗ hổng ảnh hưởng tới cấu hình giao diện điều khiển được sử dụng bởi quản trị cấp cao nhất và những người dùng đặc quyền của Sophos Antivirus.
Paco Hope cho hay: “Vụ việc lần này phản ánh mức độ ưu tiên trong lập trình phần mềm. Chức năng anti-virus trên các máy trạm được ưu tiên bảo vệ hàng đầu, trong khi an ninh cho các thành phần back-office, như giao diện điều khiển quản lý, ít được quan tâm hơn. Trớ trêu là các thành phần này lại thường được người dùng đặc quyền sử dụng, do đó bất kỳ lỗ hổng nào tồn tại ở đây cũng sẽ có mức độ ảnh hưởng cao hơn.”
Đại diện phía Sophos cũng cho hay: “Lỗ hổng này trên lý thuyết có thể đã cho phép hacker truy cập vào hệ thống Linux để leo thang đặc quyền, tuy nhiên trên thực tế chưa chắc hacker có thể làm được việc này. Để khai thác lỗ hổng, những kẻ tấn công cần có tài khoản người dùng trên một hệ thống Linux có cài Sophos Antivirus, với điều kiện web UI đang được bật, đồng thời có được tài khoản và password truy cập web UI.
Đại diện của Portcullis cho biết lỗ hổng đã tồn tại trên Sophos Antivirus hơn một năm nay. phía Sophos thì khẳng định chưa nhận thấy bất kỳ hoạt động khai thác nào từ lỗ hổng này. Công ty cho hay nếu sản phẩm được cấu hình trong Sophos Enterprise Console và chọn “recommended” phiên bản mới sẽ tự động được cập nhật.
Theo Portcullis, giao diện bị lỗi “không lọc các tham số đầu vào trước khi chúng được chuyển đến trình duyệt. Vì vậy, hacker có thể tiêm mã độc vào vào các tham số này, trong đó có JavaScript code. Lỗ hổng cho phép hacker chèn mã độc tùy ý trên trình duyệt của người dùng mà không cần mã khai thác.
“Kẻ tấn công có thể chèn mã độc vào bảng điều khiển chính của phần mềm Sophos và thực hiện bất kì hoạt động nào trên phần mềm, như là vô hiệu hóa chức năng anti-virus”, Catalina cho biết thêm.
Portcullis cảnh báo vấn đề này với Sophos vào tháng 2. Sophos đã sửa lỗi trong phiên bản 9.6.1 phát hành trong tháng 5, tuy nhiên phía công ty yêu cầu Portcullis hoãn công bố lỗi này.
“Chúng tôi gửi lời cảm ơn đến Portcullis đã phát hiện ra lỗ hổng và rất có trách nhiệm trong việc công bố thông tin” Đại diện Sophos cho hay.
Paco Hope, nhà tư vấn của hãng bảo mật Cigital, nhận định lỗ hổng ảnh hưởng tới cấu hình giao diện điều khiển được sử dụng bởi quản trị cấp cao nhất và những người dùng đặc quyền của Sophos Antivirus.
Paco Hope cho hay: “Vụ việc lần này phản ánh mức độ ưu tiên trong lập trình phần mềm. Chức năng anti-virus trên các máy trạm được ưu tiên bảo vệ hàng đầu, trong khi an ninh cho các thành phần back-office, như giao diện điều khiển quản lý, ít được quan tâm hơn. Trớ trêu là các thành phần này lại thường được người dùng đặc quyền sử dụng, do đó bất kỳ lỗ hổng nào tồn tại ở đây cũng sẽ có mức độ ảnh hưởng cao hơn.”
Đại diện phía Sophos cũng cho hay: “Lỗ hổng này trên lý thuyết có thể đã cho phép hacker truy cập vào hệ thống Linux để leo thang đặc quyền, tuy nhiên trên thực tế chưa chắc hacker có thể làm được việc này. Để khai thác lỗ hổng, những kẻ tấn công cần có tài khoản người dùng trên một hệ thống Linux có cài Sophos Antivirus, với điều kiện web UI đang được bật, đồng thời có được tài khoản và password truy cập web UI.
Đại diện của Portcullis cho biết lỗ hổng đã tồn tại trên Sophos Antivirus hơn một năm nay. phía Sophos thì khẳng định chưa nhận thấy bất kỳ hoạt động khai thác nào từ lỗ hổng này. Công ty cho hay nếu sản phẩm được cấu hình trong Sophos Enterprise Console và chọn “recommended” phiên bản mới sẽ tự động được cập nhật.
Nguồn: SC Magazine
Chỉnh sửa lần cuối bởi người điều hành: