Phát hiện lỗi bảo mật nghiêm trọng trong ứng dụng PHP, Wordpress

11:55 | 02/02/2015 | LỖ HỔNG ATTT

Vào ngày 27/1/2015 các chuyên gia bảo mật của Qualys đã phát hiện ra một lỗ hổng nguy hiểm mới được công bố với tên “Ghost”. Chưa đầy 48 tiếng sau khi công bố lỗ hổng bảo mật Ghost có chứa trong thư viện GNU C (glibc), các nhà nghiên cứu đã phát hiện các ứng dụng PHP, bao gồm cả hệ thống quản lý nội dung Wordpress có thể là mục tiêu tấn công cuối cùng của tin tặc.

Ghost là một lỗ hổng bảo mật trong glibc cho phép hacker có thể sử dụng các ứng dụng chạy mã thực thi lệnh từ xa chiếm quyền điều khiển máy chủ Linux. Lỗ hổng này là một lỗi liên quan đến tràn bộ đệm heap-based và ảnh hưởng đến tất cả hệ thống Linux, có mặt trong các mã glibc từ năm 2000.

Phát hiện lỗi bảo mật nghiêm trọng trong ứng dụng PHP, Wordpress

Các lỗi tràn bộ đệm của glibc được tìm thấy trong hàm __nss_hostname_digits_dots(), mà hàm cụ thể được dùng dưới cái tên _gethostbyname. Ứng dụng PHP cũng như Wordpress sử dụng các _gethostbyname nên dễ bị tổn thương diện rộng cho đến khi các nhà phân phối Linux tung ra các bản vá lỗi.

Chuyên viên Sucuri Marc-Alexandre Montpas đã viết trong một nghiên cứu công bố vào hôm 28/1: “Đây là một lỗ hổng bảo mật ảnh hưởng khá lớn đến Wordpress: nó dùng hàm mang tên wp_http_validate_url() để xác nhận URL của mỗi bài viết pingback để có thể sử dụng hàm gethostbyname(). Vì vậy, một kẻ tấn công có thể tận dụng vectơ này để chèn một URL độc hại có thể gây ra lỗi tràn bộ đệm và nắm quyền điều khiển hệ thống.”

Glibc là thư viện mã phổ biến nhất trên Linux, chứa nhiều hàm tiêu chuẩn được các chương trình viết bằng ngôn ngữ C và C++ sử dụng. Lỗ hổng cũng ảnh hưởng đến các chương trình Linux được viết bằng ngôn ngữ Python, Ruby và hầu hết các ngôn ngữ khác bởi các chương trình này đều hoạt động dựa trên glibc. Điều này dẫn đến việc hầu hết các hệ thống Linux bị coi là có lỗ hổng, trừ khi chạy hàm thay thế glibc hoặc sử dụng phiên bản glibc chứa bản cập nhật từ 2 năm trước.

Cho đến nay, lỗi này được cho là được thử nghiệm để tấn công vào hệ thống Đại lý trung chuyển thư Exim (MTA). Các chuyên gia đều cho rằng việc khắc phục lỗ hổng này có nhiều khó khăn vì nó yêu cầu khởi động lại toàn bộ hệ thống. Việc khai thác phụ thuộc vào khả năng vận dụng một chương trình dò tìm DNS từ máy chủ của những kẻ tấn công. Việc này đã được tiến hành theo phương thức đặc biệt, nếu kẻ tấn công từ xa gọi thành công bất kỳ hàm nào trong số này, kẻ đó có thể thực thi mã tùy biến với quyền của user đang dùng ứng dụng.

Ngoài ra, các chuyên gia cũng cho biết thêm, đây là một lỗ hổng quan trọng và cần được quan tâm sửa chữa. Cần phải tiến hành cập nhật ngay, nếu hệ thống sử dụng một máy chủ chuyên dụng hoặc VPN chạy Linux. Nhiều bản phân phối của Linux phổ biến đang được nhiều máy chủ sử dụng đang tồn tại lỗ hổng này như: RHEL (Red Hat Enterprise Linux) phiên bản 5.x, 6.x và 7.x, CentOS Linux phiên bản 5.x, 6.x 7.x, Ubuntu Linux phiên bản 10.04, 12.04 LTS, Debian Linux phiên bản 7.x, Linux Mint phiên bản 13.0, Fedora Linux phiên bản 19 hoặc cũ hơn, SUSE Linux Enterprise 11 hoặc cũ hơn (tương tự với OpenSuse Linux), Arch Linux glibc version phiên bản 2.18-1 hoặc cũ hơn….

Một số cách thức cập nhật bản vá cho thư viện glibc được đính kèm trong bài báo này.

‹ › ×

Tin cùng chuyên mục

Bóc tách chiến dịch quảng cáo độc hại MadMxShell

11:00 | 16/05/2024

Kể từ tháng 3/2024, các nhà nghiên cứu của công ty an ninh mạng Zscaler đã phát hiện một nhóm tin tặc sử dụng các tên miền giả để mạo danh các trang web quét IP hợp pháp nhằm phát tán backdoor có tên là MadMxShell. Những kẻ tấn công đăng ký nhiều tên miền trông giống nhau bằng cách sử dụng kỹ thuật Typosquatting và tận dụng quảng cáo Google Ads để đẩy các tên miền này lên đầu kết quả tìm kiếm, từ đó thu hút nạn nhân truy cập các trang web độc hại. Bài viết sẽ tiến hành phân tích kỹ thuật và cơ sở hạ tầng của các tác nhân đe dọa trong chiến dịch này dựa trên báo cáo của Zscaler.

Phân tích phiên bản mới của phần mềm độc hại RisePro nhắm mục tiêu vào người dùng GitHub

14:00 | 11/04/2024

RisePro là một trình đánh cắp thông tin dưới dạng dịch vụ, được phát hiện lần đầu tiên vào năm 2022. Tuy nhiên, mới đây phần mềm độc hại này đã xuất hiện trở lại với mã hóa chuỗi mới. Các nhà nghiên cứu tới từ công ty an ninh mạng G Data CyberDefense AG (Đức) tìm thấy một số kho GitHub cung cấp phần mềm bẻ khóa được sử dụng để phân phối RisePro.

Chính phủ Pháp bị tấn công mạng

16:00 | 15/03/2024

Ngày 11/3, Văn phòng Thủ tướng Pháp thông báo một số cơ quan nhà nước của Pháp đã bị tấn công mạng với cường độ chưa từng có đồng thời nhấn mạnh rằng chính phủ đã có thể hạn chế tác động từ vụ việc này.

Lỗ hổng Opera Myflaw cho phép tin tặc thực thi tệp bất kỳ trên macOS và Windows

09:00 | 13/02/2024

Các nhà nghiên cứu tới từ công ty an ninh mạng Guardio (Mỹ) tiết lộ một lỗ hổng bảo mật trong trình duyệt web Opera dành cho Microsoft Windows và Apple macOS có thể bị khai thác để thực thi tệp tùy ý trên hai hệ điều hành này.