Theo The Hacker News, các nhà nghiên cứu an ninh mạng đã công bố các mới trong trình soạn thảo văn bản Etherpad (phiên bản 1.8.13) có khả năng cho phép những kẻ tấn công chiếm đoạt tài khoản quản trị viên, thực thi các lệnh trên hệ thống và đánh cắp các tài liệu nhạy cảm.
Hai lỗ hổng với mã định danh CVE-2021-34816 và CVE-2021-34817 đã được các nhà nghiên cứu từ SonarSource (Thụy Sĩ) phát hiện và báo cáo vào ngày 4/6/2021, sau đó được vá trong phiên bản 1.8.14 của Etherpad được phát hành vào ngày 4/7/2021.
Chuyên gia Paul Gerste tại SonarSource cho biết: "Lỗ hổng XSS cho phép kẻ tấn công phiên người dùng Etherpad, bao gồm cả quản trị viên. Điều này có thể được sử dụng để đánh cắp hoặc sửa đổi các . Một lỗ hổng khác nguy hiểm hơn cho phép thực thi mã tuỳ ý trên máy chủ. Lỗ hổng này ngoài việc cho phép thao tác với dữ liệu trên máy chủ còn cho phép tấn công các máy chủ khác trong cùng mạng”.
Lỗ hổng XSS (CVE-2021-34817) nằm trong tính năng trò chuyện do Etherpad cung cấp, với thuộc tính "userId" của một tin nhắn trong cuộc hội thoại. Thông tin này không được loại bỏ các ký tự đặc biệt, từ đó cho phép kẻ tấn công chèn mã JavaScript độc hại vào lịch sử trò chuyện và thực hiện các hành động với tư cách là người dùng nạn nhân.
Hình 1: Đoạn mã chứa lỗ hổng XSS
Lỗ hổng nghiêm trọng thực thi lệnh CVE-2021-34816 liên quan đến cách Etherpad quản lý các plugin, trong đó, tên của gói được cài đặt sẽ được nối vào câu lệnh "npm install” mà không đi qua bất kỳ bộ lọc nào, dẫn đến kẻ tấn công có thể cài đặt một plugin độc hại để chiếm quyền quản trị máy chủ bằng cách trỏ đường dẫn đến máy chủ độc hại.
Hình 2: Đoạn mã thực thi câu lệnh "npm install:
Việc kết hợp hai lỗ hổng cho phép kẻ tấn công chiếm quyền quản trị máy chủ từ xa, sử dụng XSS để chiếm phiên của tài khoản quản trị, sau đó thực thi lệnh trên máy chủ qua lỗ hổng thứ hai.
Các nhà phát triển phần mềm cho ứng dụng Etherpad đã khắc phục lỗ hổng XSS trong thành phần Chat. Họ cũng đưa ra khuyến cáo cập nhật lên phiên bản 1.8.14 nhanh nhất có thể. Nhưng trong phiên bản này thì lỗ hổng thực thi mã tuỳ ý vẫn chưa được vá, vì độ khó để thực hiện tấn công cũng như công sức bỏ ra vá lỗ hổng này là quá lớn.
Đăng Thứ
18:00 | 14/07/2021
09:00 | 05/07/2021
09:00 | 15/06/2021
15:00 | 19/07/2024
Microsoft vừa gặp sự cố lớn, khiến người dùng trên toàn thế giới không thể truy cập vào nền tảng đám mây của hãng. Đồng thời, nhiều hãng hàng không cũng phải huỷ chuyến bay.
08:00 | 14/06/2024
Hội nghị các nhà phát triển toàn cầu (WWDC 2024) được tổ chức tại trụ sở Apple Park ở California, Mỹ vào 10h00 ngày 10/6 theo giờ địa phương (tức 0h00 ngày 11/6 theo giờ Việt Nam). Tại đây, Apple đã công bố tính năng "Apple Intelligence" mới và chiến lược AI tổng quát nhằm mang lại trải nghiệm cá nhân hóa mới trên các thiết bị Apple.
13:00 | 06/06/2024
Check Point đã phát hành các bản vá khẩn cấp (hotfix) cho lỗ hổng zero-day trong VPN đang bị khai thác trong các cuộc tấn công nhằm giành quyền truy cập từ xa vào tường lửa để xâm nhập mạng công ty.
09:00 | 21/05/2024
Ngày 14/5, OpenAI đã ra mắt phiên bản hoạt động tốt hơn và hiệu quả hơn của công nghệ trí tuệ nhân tạo (AI) nền tảng cho công cụ nổi tiếng của công ty này là ChatGPT. Mô hình AI mới có tên GPT-4o, có khả năng trò chuyện bằng giọng nói thực tế và có thể tương tác qua văn bản và hình ảnh. Đây là động thái mới nhất của Open AI nhằm khẳng định vị thế dẫn đầu trong cuộc đua thống trị công nghệ mới nổi.
Ngày 23/8, Sở Thông tin & Truyền thông TP.HCM phối hợp cùng Hiệp hội An toàn thông tin (VNISA HCM) đã tổ chức thành công sự kiện Hội thảo và Triển lãm an toàn thông tin khu vực phía Nam 2024. Mi2 vinh dự được đồng hành cùng chương trình với cương vị là Nhà tài trợ Bạc cùng Trellix và Đồng tài trợ cùng Rapid7 mang đến những giải pháp bảo mật toàn diện trước tình hình tấn công phức tạp của Ransomware hiện đang là mối quan tâm cho các tổ chức, doanh nghiệp Việt Nam.
09:00 | 29/08/2024