- Các nhà nghiên cứu đã phát hành mã khai thác (PoC) cho chuỗi lỗ hổng dẫn đến thực thi mã từ xa (RCE) trên các máy chủ Progress Telerik Report.
Máy chủ Telerik Report là một giải pháp quản lý báo cáo, hỗ trợ các tổ chức trong việc tạo, chia sẻ, lưu trữ, phân phối và lập lịch báo cáo. Nhà nghiên cứu bảo mật Sina Kheirkha, với sự trợ giúp của Soroush Dalili, đã thử nghiệm khai thác và chia sẻ bài viết chi tiết mô tả quá trình khai thác phức tạp chuỗi hai lỗ hổng, một lỗi bỏ qua xác thực và một vấn đề deserialization, để thực thi mã trên thiết bị mục tiêu.
Lỗ hổng bỏ qua xác thực có định danh CVE-2024-4358 (điểm CVSS: 9,8), cho phép tạo tài khoản quản trị viên mà không có bất kỳ yêu cầu kiểm tra nào. Kheirkhah cho biết đã phát hiện lỗ hổng sau khi nhà cung cấp phần mềm tiết lộ một lỗi liên quan đến vấn đề deserialization vào ngày 25 tháng 4.
Nhà nghiên cứu đã phát hiện ra rằng phương thức 'Register' (đăng ký) trong 'StartupController' có thể truy cập được mà không cần xác thực, cho phép tạo tài khoản quản trị viên ngay cả sau khi quá trình thiết lập ban đầu hoàn tất.
Vấn đề này đã được giải quyết thông qua bản cập nhật (Telerik Report Server 2024 Q2 10.1.24.514) vào ngày 15 tháng 5, trong khi nhà cung cấp phát hành bản tin bảo mật với nhóm ZDI vào ngày 31 tháng 5.
Lỗ hổng thứ hai cần thiết để đạt được RCE là CVE-2024-1800 (điểm CVSS: 8,8), một lỗi deserialization cho phép kẻ tấn công đã được xác thực thực thi mã tùy ý trên các máy chủ bị ảnh hưởng.
Lỗ hổng này đã được một nhà nghiên cứu ẩn danh phát hiện trước đó và báo cáo cho nhà cung cấp, Progress đã phát hành bản vá cho lỗ hổng này vào ngày 7 tháng 3 năm 2024 trong phiên bản Telerik® Report Server 2024 Q1 10.0.24.305.
Mặc dù việc khai thác lỗi deserialization rất phức tạp, tuy nhiên bài viết và mã khai thác mà Kheirkhah chia sẻ khiến vấn đề này có thể dễ bị lạm dụng bởi các tác nhân độc hại. Do đó các tổ chức cần áp dụng các bản cập nhật có sẵn càng sớm càng tốt, nói cách khác là nâng cấp lên phiên bản từ 10.1.24.514 trở lên, để giải quyết cả hai lỗ hổng.
Nhà cung cấp cũng lưu ý rằng mặc dù chưa có báo cáo nào về việc khai thác CVE-2024-4358, quản trị viên hệ thống nên kiểm tra lại danh sách người dùng trên máy chủ Báo cáo của họ để tìm kiếm bất kỳ người dùng cục bộ mới nào đáng ngờ được thêm vào tại '{host}/Users/Index'.
Các lỗ hổng nghiêm trọng trong Progress Software thường bị tội phạm mạng nhắm đến do số lượng lớn các tổ chức trên toàn thế giới sử dụng sản phẩm của nhà cung cấp. Trường hợp điển hình nhất là một loạt các cuộc tấn công đánh cắp dữ liệu trên diện rộng, khai thác lỗ hổng zero-day trong nền tảng Progress MOVEit Transfer của nhóm ransomware Clop vào tháng 3 năm 2023.
Chiến dịch này là một trong những hoạt động tống tiền quy mô lớn và có ảnh hưởng lớn nhất trong lịch sử, gây thiệt hại cho hơn 2.770 nạn nhân và ảnh hưởng gián tiếp đến gần 96 triệu người.
PV (theo bleepingcomputer.com/tinnhiemmang.vn)