Máy chủ Telerik Report là một giải pháp quản lý báo cáo, hỗ trợ các tổ chức trong việc tạo, chia sẻ, lưu trữ, phân phối và lập lịch báo cáo.

Hai nhà nghiên cứu bảo mật là Sina Kheirkha và Soroush Dalili đã thử nghiệm khai thác và chia sẻ bài viết chi tiết mô tả quá trình khai thác phức tạp chuỗi hai lỗ hổng, một lỗ hổng bỏ qua xác thực và một lỗ hổng deserialization, để thực thi mã trên thiết bị mục tiêu. Nhà nghiên cứu an ninh mạng Sina Kheirkha đã phát triển cách khai thác với sự trợ giúp của Soroush Dalili và hiện đã xuất bản một bài viết chi tiết mô tả quá trình khai thác phức tạp hai lỗ hổng.

Tạo tài khoản quản trị viên lừa đảo

Cụ thể, lỗ hổng có định danh CVE-2024-4358 (điểm CVSS: 9,8), cho phép tạo tài khoản quản trị viên mà không có bất kỳ yêu cầu kiểm tra nào.

Kheirkhah cho biết đã phát hiện lỗ hổng sau khi nhà cung cấp phần mềm tiết lộ một lỗ hổng liên quan đến vấn đề deserialization vào ngày 25/4.

Nhà nghiên cứu đã phát hiện ra rằng phương thức 'Register' (đăng ký) trong 'StartupController' có thể truy cập được mà không cần xác thực, cho phép tạo tài khoản quản trị viên ngay cả sau khi quá trình thiết lập ban đầu hoàn tất.

Vấn đề này đã được giải quyết thông qua bản cập nhật Telerik Report Server 2024 Q2 10.1.24.514 vào ngày 15/5, trong khi nhà cung cấp phát hành bản tin bảo mật với nhóm ZDI vào ngày 31/5.

Lỗ hổng thứ hai có định danh CVE-2024-1800 (điểm CVSS: 8,8), một lỗ hổng deserialization cho phép kẻ tấn công đã được xác thực thực thi mã tùy ý trên các máy chủ bị ảnh hưởng.

Lỗ hổng này đã được một nhà nghiên cứu ẩn danh phát hiện trước đó và báo cáo cho nhà cung cấp, Progress đã phát hành bản vá cho lỗ hổng này vào ngày 7/3/2024 trong phiên bản Telerik® Report Server 2024 Q1 10.0.24.305.

Mặc dù việc khai thác lỗ hổng deserialization rất phức tạp, tuy nhiên bài viết và mã khai thác mà Kheirkhah chia sẻ khiến vấn đề này có thể dễ bị lạm dụng bởi các tác nhân độc hại.

Do đó, các tổ chức cần áp dụng các bản cập nhật có sẵn càng sớm càng tốt, nói cách khác là nâng cấp lên phiên bản từ 10.1.24.514 trở lên để giải quyết cả hai lỗ hổng.

Nhà cung cấp cũng lưu ý rằng mặc dù chưa có báo cáo nào về việc khai thác CVE-2024-4358, quản trị viên hệ thống nên kiểm tra lại danh sách người dùng trên máy chủ Báo cáo của họ để tìm kiếm bất kỳ người dùng cục bộ mới nào đáng ngờ được thêm vào tại '{host}/Users/Index'.

Các lỗ hổng nghiêm trọng trong Progress Software thường bị tội phạm mạng nhắm đến do số lượng lớn các tổ chức trên toàn thế giới sử dụng sản phẩm của nhà cung cấp.

Trường hợp điển hình nhất là một loạt các cuộc tấn công đánh cắp dữ liệu trên diện rộng, khai thác lỗ hổng zero-day trong nền tảng Progress MOVEit Transfer của nhóm ransomware Clop vào tháng 3/2023.

Chiến dịch này là một trong những hoạt động tống tiền quy mô lớn và có ảnh hưởng lớn nhất trong lịch sử, gây thiệt hại cho hơn 2.770 nạn nhân và ảnh hưởng gián tiếp đến gần 96 triệu người.