Phát hiện lỗi bảo mật nghiêm trọng trong ứng dụng PHP, Wordpress

11:55 | 02/02/2015 | LỖ HỔNG ATTT

Vào ngày 27/1/2015 các chuyên gia bảo mật của Qualys đã phát hiện ra một lỗ hổng nguy hiểm mới được công bố với tên “Ghost”. Chưa đầy 48 tiếng sau khi công bố lỗ hổng bảo mật Ghost có chứa trong thư viện GNU C (glibc), các nhà nghiên cứu đã phát hiện các ứng dụng PHP, bao gồm cả hệ thống quản lý nội dung Wordpress có thể là mục tiêu tấn công cuối cùng của tin tặc.

Ghost là một lỗ hổng bảo mật trong glibc cho phép hacker có thể sử dụng các ứng dụng chạy mã thực thi lệnh từ xa chiếm quyền điều khiển máy chủ Linux. Lỗ hổng này là một lỗi liên quan đến tràn bộ đệm heap-based và ảnh hưởng đến tất cả hệ thống Linux, có mặt trong các mã glibc từ năm 2000.

Phát hiện lỗi bảo mật nghiêm trọng trong ứng dụng PHP, Wordpress

Các lỗi tràn bộ đệm của glibc được tìm thấy trong hàm __nss_hostname_digits_dots(), mà hàm cụ thể được dùng dưới cái tên _gethostbyname. Ứng dụng PHP cũng như Wordpress sử dụng các _gethostbyname nên dễ bị tổn thương diện rộng cho đến khi các nhà phân phối Linux tung ra các bản vá lỗi.

Chuyên viên Sucuri Marc-Alexandre Montpas đã viết trong một nghiên cứu công bố vào hôm 28/1: “Đây là một lỗ hổng bảo mật ảnh hưởng khá lớn đến Wordpress: nó dùng hàm mang tên wp_http_validate_url() để xác nhận URL của mỗi bài viết pingback để có thể sử dụng hàm gethostbyname(). Vì vậy, một kẻ tấn công có thể tận dụng vectơ này để chèn một URL độc hại có thể gây ra lỗi tràn bộ đệm và nắm quyền điều khiển hệ thống.”

Glibc là thư viện mã phổ biến nhất trên Linux, chứa nhiều hàm tiêu chuẩn được các chương trình viết bằng ngôn ngữ C và C++ sử dụng. Lỗ hổng cũng ảnh hưởng đến các chương trình Linux được viết bằng ngôn ngữ Python, Ruby và hầu hết các ngôn ngữ khác bởi các chương trình này đều hoạt động dựa trên glibc. Điều này dẫn đến việc hầu hết các hệ thống Linux bị coi là có lỗ hổng, trừ khi chạy hàm thay thế glibc hoặc sử dụng phiên bản glibc chứa bản cập nhật từ 2 năm trước.

Cho đến nay, lỗi này được cho là được thử nghiệm để tấn công vào hệ thống Đại lý trung chuyển thư Exim (MTA). Các chuyên gia đều cho rằng việc khắc phục lỗ hổng này có nhiều khó khăn vì nó yêu cầu khởi động lại toàn bộ hệ thống. Việc khai thác phụ thuộc vào khả năng vận dụng một chương trình dò tìm DNS từ máy chủ của những kẻ tấn công. Việc này đã được tiến hành theo phương thức đặc biệt, nếu kẻ tấn công từ xa gọi thành công bất kỳ hàm nào trong số này, kẻ đó có thể thực thi mã tùy biến với quyền của user đang dùng ứng dụng.

Ngoài ra, các chuyên gia cũng cho biết thêm, đây là một lỗ hổng quan trọng và cần được quan tâm sửa chữa. Cần phải tiến hành cập nhật ngay, nếu hệ thống sử dụng một máy chủ chuyên dụng hoặc VPN chạy Linux. Nhiều bản phân phối của Linux phổ biến đang được nhiều máy chủ sử dụng đang tồn tại lỗ hổng này như: RHEL (Red Hat Enterprise Linux) phiên bản 5.x, 6.x và 7.x, CentOS Linux phiên bản 5.x, 6.x 7.x, Ubuntu Linux phiên bản 10.04, 12.04 LTS, Debian Linux phiên bản 7.x, Linux Mint phiên bản 13.0, Fedora Linux phiên bản 19 hoặc cũ hơn, SUSE Linux Enterprise 11 hoặc cũ hơn (tương tự với OpenSuse Linux), Arch Linux glibc version phiên bản 2.18-1 hoặc cũ hơn….

Một số cách thức cập nhật bản vá cho thư viện glibc được đính kèm trong bài báo này.

‹ › ×

Tin cùng chuyên mục

Phân tích phần mềm độc hại DinodasRAT trên Linux

19:00 | 30/04/2024

DinodasRAT hay còn được gọi là XDealer là một backdoor đa nền tảng được phát triển bằng ngôn ngữ C++ cung cấp nhiều tính năng độc hại. DinodasRAT cho phép kẻ tấn công theo dõi và thu thập dữ liệu nhạy cảm từ máy tính của mục tiêu. Một phiên bản cho hệ điều hành Windows của phần mềm độc hại này đã được sử dụng trong các cuộc tấn công nhắm mục tiêu vào các thực thể của Chính phủ Guyana và được các nhà nghiên cứu tới từ công ty bảo mật ESET (Slovakia) báo cáo với tên gọi là chiến dịch Jacana. Bài viết sẽ phân tích cơ chế hoạt động của phần mềm độc hại DinodasRAT dựa trên báo cáo của hãng bảo mật Kaspersky.

Tin tặc Earth Krahang của Trung Quốc xâm nhập 70 tổ chức tại 23 quốc gia

13:00 | 28/03/2024

Một chiến dịch tấn công tinh vi được cho là do nhóm tin tặc APT của Trung Quốc có tên Earth Krahang thực hiện, chúng đã xâm nhập 70 tổ chức tại 23 quốc gia và nhắm mục tiêu vào ít nhất 116 tổ chức của 45 quốc gia khác trên thế giới.

Dự đoán phần mềm tội phạm và các mối đe dọa tài chính vào năm 2024

09:00 | 28/02/2024

Đội ngũ chuyên gia an ninh mạng tại Kaspersky liên tục theo dõi sự phức tạp của các mối đe dọa đối với tổ chức tài chính, bao gồm cả ngân hàng và các mối đe dọa có động cơ tài chính như phần mềm tống tiền đang lan rộng đến nhiều ngành công nghiệp khác nhau. Trong bài viết này, các chuyên gia bảo mật Kaspersky sẽ đánh giá lại các dự đoán của họ trong năm 2023 và đưa ra những xu hướng dự kiến sẽ nổi lên trong năm 2024.

Phân tích phần mềm độc hại mới đánh cắp ví tiền điện tử trong các ứng dụng bẻ khóa trên macOS

14:00 | 22/02/2024

Các nhà nghiên cứu của hãng bảo mật Kaspersky đã phát hiện ra một dòng phần mềm độc hại mới được phân phối một cách bí mật thông qua các ứng dụng, phần mềm bẻ khóa (crack), nhắm mục tiêu vào ví tiền điện tử của người dùng macOS. Theo các nhà nghiên cứu, mối đe dọa mới này có những tính năng nổi trội hơn so với việc cài đặt trái phép Trojan trên các máy chủ proxy đã được phát hiện trước đó.