Theo The Hacker News, các nhà nghiên cứu an ninh mạng đã công bố các lỗ hổng bảo mật mới trong trình soạn thảo văn bản Etherpad (phiên bản 1.8.13) có khả năng cho phép những kẻ tấn công chiếm đoạt tài khoản quản trị viên, thực thi các lệnh trên hệ thống và đánh cắp các tài liệu nhạy cảm.
Hai lỗ hổng với mã định danh CVE-2021-34816 và CVE-2021-34817 đã được các nhà nghiên cứu từ SonarSource (Thụy Sĩ) phát hiện và báo cáo vào ngày 4/6/2021, sau đó được vá trong phiên bản 1.8.14 của Etherpad được phát hành vào ngày 4/7/2021.
Chuyên gia Paul Gerste tại SonarSource cho biết: "Lỗ hổng XSS cho phép kẻ tấn công chiếm đoạt phiên người dùng Etherpad, bao gồm cả quản trị viên. Điều này có thể được sử dụng để đánh cắp hoặc sửa đổi các tài liệu nhạy cảm. Một lỗ hổng khác nguy hiểm hơn cho phép thực thi mã tuỳ ý trên máy chủ. Lỗ hổng này ngoài việc cho phép thao tác với dữ liệu trên máy chủ còn cho phép tấn công các máy chủ khác trong cùng mạng”.
Lỗ hổng XSS (CVE-2021-34817) nằm trong tính năng trò chuyện do Etherpad cung cấp, với thuộc tính "userId" của một tin nhắn trong cuộc hội thoại. Thông tin này không được loại bỏ các ký tự đặc biệt, từ đó cho phép kẻ tấn công chèn mã JavaScript độc hại vào lịch sử trò chuyện và thực hiện các hành động với tư cách là người dùng nạn nhân.
Hình 1: Đoạn mã chứa lỗ hổng XSS
Lỗ hổng nghiêm trọng thực thi lệnh CVE-2021-34816 liên quan đến cách Etherpad quản lý các plugin, trong đó, tên của gói được cài đặt sẽ được nối vào câu lệnh "npm install” mà không đi qua bất kỳ bộ lọc nào, dẫn đến kẻ tấn công có thể cài đặt một plugin độc hại để chiếm quyền quản trị máy chủ bằng cách trỏ đường dẫn đến máy chủ độc hại.
Hình 2: Đoạn mã thực thi câu lệnh "npm install:
Việc kết hợp hai lỗ hổng cho phép kẻ tấn công chiếm quyền quản trị máy chủ từ xa, sử dụng XSS để chiếm phiên của tài khoản quản trị, sau đó thực thi lệnh trên máy chủ qua lỗ hổng thứ hai.
Các nhà phát triển phần mềm cho ứng dụng Etherpad đã khắc phục lỗ hổng XSS trong thành phần Chat. Họ cũng đưa ra khuyến cáo cập nhật lên phiên bản 1.8.14 nhanh nhất có thể. Nhưng trong phiên bản này thì lỗ hổng thực thi mã tuỳ ý vẫn chưa được vá, vì độ khó để thực hiện tấn công cũng như công sức bỏ ra vá lỗ hổng này là quá lớn.
Đăng Thứ
18:00 | 14/07/2021
09:00 | 05/07/2021
09:00 | 15/06/2021
17:00 | 12/04/2024
Ngày 8/4, tập đoàn công nghệ Microsoft của Mỹ công bố kế hoạch thành lập một trung tâm trí tuệ nhân tạo mới (AI) tại thủ đô London của Anh. Trung tâm AI của Microsoft sẽ hoạt động dưới sự dẫn dắt của ông Mustafa Suleyman - nhà đồng sáng lập Google DeepMind và là người mới được Microsoft thuê vào tháng trước.
09:00 | 04/04/2024
Ngày 18/3, phát biểu tại Hội nghị GPU Technology Conference - GTC 2024, ông Jensen Huang, Giám đốc điều hành Nvidia đã giới thiệu các sản phẩm mới của công ty, trong đó trình làng chip Blackwell có tốc độ xử lý AI nhanh hơn từ 7 đến 30 lần tùy tác vụ so với phiên bản Hopper H100, qua đó ngày càng khẳng định vị trí thống trị của nhà sản xuất chip trong lĩnh vực AI.
09:00 | 29/02/2024
Trong tháng 02/2024, Microsoft, Adobe và Dell lần lượt phát hành bản vá cho các sản phẩm của mình. Người dùng cần khẩn trương cài đặt bản vá để phòng tránh rủi ro mất an toàn thông tin.
16:00 | 08/12/2023
Nhằm tăng cường, trực quan hoá các kiến thức, kỹ năng tự bảo vệ, phòng ngừa trước các nguy cơ xâm hại trẻ em trên môi trường mạng, Cục C02, Bộ Công an đã tham gia xây dựng phần mềm “Phòng, chống xâm hại trẻ em”. Ứng dụng có thể cài đặt trên thiết bị thông minh chạy điều hành Androi và IOS, với các bộ câu hỏi liên quan đến lĩnh vực: Xâm hại trẻ em, bạo lực học đường, phòng, chống ma tuý, căn cước công dân, an toàn giao thông…, các hình ảnh hướng dẫn kỹ năng phòng, chống xâm hại trẻ em; đường dây nóng của các đơn vị và những câu chuyện liên quan đến tình huống xâm hại trẻ em.
Oracle dự kiến sẽ đầu tư 1.200 tỷ Yen (khoảng 8 tỷ USD) trong 10 năm, bắt đầu từ năm nay, để mở rộng các trung tâm dữ liệu của mình tại Nhật Bản. Thông báo này được hãng đưa ra vào ngày 18/4 vừa qua, cơ sở chủ yếu ở hai khu vực mà Oracle hiện đang vận hành các trung tâm dữ liệu là Tokyo và Osaka.
10:00 | 26/04/2024