Được phát hiện bởi một nhà nghiên cứu an ninh người Ấn Độ, Ashutosh Barot, lỗ hổng CSRF ảnh hưởng đến phpMyAdmin phiên bản 4.7.x (trước 4.7.7).
Để lợi dụng lỗ hổng CSRF, tin tặc lừa người dùng kích vào một URL đặc biệt, từ đó có thể thực hiện các thao tác có hại cho cơ sở dữ liệu như xóa các bản ghi, bỏ/cắt xén bảng biểu....
phpMyAdmin là công cụ quản lý mã nguồn mở và miễn phí dành cho MySQL và MariaDB, được sử dụng rộng rãi trong quản lý cơ sở dữ liệu cho các trang web trên nền tảng WordPress, Joomla và nhiều nền tảng quản lý nội dung khác.
Hơn nữa, nhiều nhà cung cấp dịch vụ lưu trữ sử dụng phpMyAdmin để khách hàng của mình sắp xếp cơ sở dữ liệu một cách tiện lợi.
Nhà nghiên cứu cũng phát hành một video, cho thấy tin tặc từ xa có thể khiến các quản trị viên cơ sở dữ liệu vô tình xóa (DROP) toàn bộ bảng khỏi cơ sở dữ liệu chỉ bằng cách lừa họ nhấp vào một liên kết đặc biệt.
Barot giải thích rằng, một tính năng của phpMyAdmin có sử dụng truy vấn GET và sau đó là truy vấn POST cho các thao tác cơ sở dữ liệu như DROP TABLE table_name, truy vấn GET phải được bảo vệ nhằm chống lại các cuộc tấn công CSRF. Trong trường hợp này, các truy vấn POST đã được sử dụng, gửi qua URL (có thể là cho mục đích đánh dấu). Điều này có thể cho phép tin tặc lừa người quản trị cơ sở dữ liệu nhấp chuột và thực hiện một truy vấn cơ sở dữ liệu drop table theo lựa chọn của tin tặc. Tuy nhiên, thực hiện cuộc tấn công này không phải đơn giản vì dễ bị phát hiện. Để chuẩn bị một URL tấn công CSRF, tin tặc cần biết tên của cơ sở dữ liệu và bảng mục tiêu.
Nếu người dùng thực hiện truy vấn trên cơ sở dữ liệu bằng cách nhấp vào nút chèn, DROP… URL sẽ chứa tên cơ sở dữ liệu và tên bảng. Lỗ hổng này có thể dẫn đến nguy cơ bị lộ thông tin nhạy cảm vì URL được lưu trữ tại nhiều địa điểm khác nhau như lịch sử trình duyệt, nhật ký SIEM, nhật ký tường lửa, nhật ký ISP...
Nhà nghiên cứu đã báo cáo lỗ hổng này lên các nhà phát triển phpMyAdmin và đã được xác nhận. Nhà phát triển cũng đã phát hành phpMyAdmin 4.7.7 để xử lý lỗ hổng. Do vậy, các quản trị viên được khuyến cáo nên cập nhật sớm.
Hồng Loan
The Hacker News
14:00 | 26/12/2017
08:00 | 22/12/2017
09:00 | 17/01/2018
15:00 | 15/01/2018
10:00 | 16/01/2020
08:00 | 27/11/2019
08:00 | 29/11/2017
14:00 | 25/12/2017
09:00 | 01/04/2024
Vừa qua, công ty bảo mật đám mây Akamai (Mỹ) đã đưa ra cảnh báo về việc khai thác lỗ hổng Kubernetes ở mức độ nghiêm trọng cao, có thể dẫn đến việc thực thi mã tùy ý với các đặc quyền hệ thống trên tất cả các điểm cuối Windows trong một cụm (cluster).
10:00 | 28/03/2024
Các nhà nghiên cứu phát hiện nhóm ransomware ShadowSyndicate đang quét các máy chủ tồn tại lỗ hổng directory traversal định danh CVE-2024-23334, hay còn gọi là lỗ hổng path traversal trong thư viện Aiohttp của Python.
14:00 | 01/03/2024
Các nhà nghiên cứu của hãng bảo mật Trend Micro phát hiện các tác nhân đe dọa Water Curupira (một nhánh của nhóm tin tặc Black Basta) đang triển khai chiến dịch phân phối phần mềm độc hại PikaBot như một phần của chiến dịch email spam trong suốt năm 2023 vừa qua. Bài viết này sẽ phân tích hoạt động tấn công trong chiến dịch PikaBot cùng khuyến nghị về các biện pháp phòng tránh trước các mối đe dọa lừa đảo này.
14:00 | 19/12/2023
Một lỗi bảo mật Bluetooth nghiêm trọng được cho là đã tồn tại trong vài năm gần đây có thể bị tin tặc khai thác để chiếm quyền kiểm soát trên các thiết bị Android, Linux, macOS và iOS.
Trong một xu hướng đáng lo ngại được Bitdefender Labs (Hoa Kỳ) phát hiện gần đây, tin tặc đang tận dụng sự quan tâm ngày càng tăng đối với AI để phát tán các phần mềm độc hại tinh vi. Những kẻ tấn công này đang tung ra các chiến dịch quảng cáo độc hại trên mạng xã hội, giả dạng các dịch vụ AI phổ biến như Midjourney, DALL-E và ChatGPT để đánh lừa người dùng.
10:00 | 22/04/2024