Theo The Hacker News, các nhà nghiên cứu an ninh mạng đã công bố các lỗ hổng bảo mật mới trong trình soạn thảo văn bản Etherpad (phiên bản 1.8.13) có khả năng cho phép những kẻ tấn công chiếm đoạt tài khoản quản trị viên, thực thi các lệnh trên hệ thống và đánh cắp các tài liệu nhạy cảm.
Hai lỗ hổng với mã định danh CVE-2021-34816 và CVE-2021-34817 đã được các nhà nghiên cứu từ SonarSource (Thụy Sĩ) phát hiện và báo cáo vào ngày 4/6/2021, sau đó được vá trong phiên bản 1.8.14 của Etherpad được phát hành vào ngày 4/7/2021.
Chuyên gia Paul Gerste tại SonarSource cho biết: "Lỗ hổng XSS cho phép kẻ tấn công chiếm đoạt phiên người dùng Etherpad, bao gồm cả quản trị viên. Điều này có thể được sử dụng để đánh cắp hoặc sửa đổi các tài liệu nhạy cảm. Một lỗ hổng khác nguy hiểm hơn cho phép thực thi mã tuỳ ý trên máy chủ. Lỗ hổng này ngoài việc cho phép thao tác với dữ liệu trên máy chủ còn cho phép tấn công các máy chủ khác trong cùng mạng”.
Lỗ hổng XSS (CVE-2021-34817) nằm trong tính năng trò chuyện do Etherpad cung cấp, với thuộc tính "userId" của một tin nhắn trong cuộc hội thoại. Thông tin này không được loại bỏ các ký tự đặc biệt, từ đó cho phép kẻ tấn công chèn mã JavaScript độc hại vào lịch sử trò chuyện và thực hiện các hành động với tư cách là người dùng nạn nhân.
Hình 1: Đoạn mã chứa lỗ hổng XSS
Lỗ hổng nghiêm trọng thực thi lệnh CVE-2021-34816 liên quan đến cách Etherpad quản lý các plugin, trong đó, tên của gói được cài đặt sẽ được nối vào câu lệnh "npm install” mà không đi qua bất kỳ bộ lọc nào, dẫn đến kẻ tấn công có thể cài đặt một plugin độc hại để chiếm quyền quản trị máy chủ bằng cách trỏ đường dẫn đến máy chủ độc hại.
Hình 2: Đoạn mã thực thi câu lệnh "npm install:
Việc kết hợp hai lỗ hổng cho phép kẻ tấn công chiếm quyền quản trị máy chủ từ xa, sử dụng XSS để chiếm phiên của tài khoản quản trị, sau đó thực thi lệnh trên máy chủ qua lỗ hổng thứ hai.
Các nhà phát triển phần mềm cho ứng dụng Etherpad đã khắc phục lỗ hổng XSS trong thành phần Chat. Họ cũng đưa ra khuyến cáo cập nhật lên phiên bản 1.8.14 nhanh nhất có thể. Nhưng trong phiên bản này thì lỗ hổng thực thi mã tuỳ ý vẫn chưa được vá, vì độ khó để thực hiện tấn công cũng như công sức bỏ ra vá lỗ hổng này là quá lớn.
Đăng Thứ
18:00 | 14/07/2021
09:00 | 05/07/2021
09:00 | 15/06/2021
07:00 | 08/04/2024
Red Hat cảnh báo người dùng ngừng ngay lập tức việc sử dụng các hệ thống chạy phiên bản thử nghiệm và phát triển Fedora, vì một backdoor được tìm thấy trong các công cụ và thư viện nén dữ liệu mới nhất của XZ Utils (trước đó là LZMA Ultis).
08:00 | 12/03/2024
Hai lỗ hổng lần lượt có mã định danh CVE-2024-24401 và CVE-2024-24402 được tìm thấy trong Nagios XI - một công cụ giám sát hạ tầng mạng trong doanh nghiệp. Đáng lưu ý, cả hai lỗ hổng đều chưa có điểm CVSS.
09:00 | 04/03/2024
Cơ quan An ninh Cơ sở hạ tầng và An ninh mạng Hoa Kỳ (CISA) ngày 15/2 vừa qua đã bổ sung một lỗ hổng bảo mật hiện ảnh hưởng đến phần mềm thiết bị bảo mật thích ứng Cisco (Cisco Adaptive Security Appliance - ASA) và phần mềm phòng chống mối đe dọa hỏa lực (Firepower Threat Defense - FTD) vào danh mục Các lỗ hổng bị khai thác đã biết (KEV). Lỗ hổng này cũng có khả năng bị khai thác trong các cuộc tấn công ransomware của Akira.
14:00 | 16/01/2024
Công ty phát triển trò chơi Android - Ateam (Nhật Bản) chứng minh rằng một lỗi cấu hình Google Drive đơn giản có thể dẫn đến nguy cơ lộ thông tin nhạy cảm trong khoảng thời gian hơn 6 năm vừa qua.
08:00 | 11/01/2024 | Chính sách - Chiến lược
09:00 | 10/01/2024 | Giải pháp khác
09:00 | 05/01/2024|Chính sách - Chiến lược
09:00 | 05/01/2024|An ninh – Quốc Phòng
Trong hai ngày 09/4 và 11/4, lần lượt tại Hà Nội và Thành phố Hồ Chí Minh, Công ty Cổ phần Tin học Mi Mi (Mi2) đã tổ chức thành công Hội thảo "Bảo vệ dữ liệu Microsoft 365 quy mô lớn và chuẩn bị cho Copilot Generative AI".
16:00 | 15/04/2024
