Apache Fineract, một giải pháp cốt lõi mã nguồn mở được sử dụng rộng rãi cho các tổ chức tài chính, đã phát hành các bản vá bảo mật để khắc phục ba lỗ hổng, trong đó có một lỗ hổng được phân loại là ‘nghiêm trọng’. Những lỗ hổng này có thể tiềm ẩn khả năng cho phép kẻ tấn công leo thang đặc quyền mà không cần xác thực hoặc thực thi các truy vấn cơ sở dữ liệu độc hại. 

Thông tin chi tiết về các lỗ hổng

CVE-2024-23537: Lỗ hổng về Leo thang đặc quyền

Lỗ hổng này, có mã định danh là CVE-2024-23537 với mức độ ‘quan trọng’, tiết lộ một lỗ hổng trong các phiên bản Apache Fineract trước 1.8.5. Lỗ hổng này có thể cho phép người dùng không có quyền cụ thể nâng cao đặc quyền lên bất kỳ vai trò nào trong hệ thống, mở cửa cho việc truy cập và kiểm soát không được ủy quyền. Nguy cơ ở đây không chỉ đối với tính bảo mật dữ liệu mà còn đối với tính toàn vẹn của các hoạt động tài chính đang chạy trên nền tảng.

CVE-2024-23538 và CVE-2024-23539: Lỗ hổng về Chèn mã SQL

Tình hình trở nên phức tạp hơn với CVE-2024-23538 và CVE-2024-23539, cả hai đều được đánh giá là ‘nghiêm trọng’, trong đó CVE-2024-23539 có nhiều do tác động tiềm ẩn. Những lỗ hổng này xuất phát từ việc không loại trừ đúng các yếu tố đặc biệt được sử dụng trong một lệnh SQL, khiến tham số sqlSearch trở thành một vector mạnh cho các cuộc tấn công chèn mã SQL. Các phiên bản Apache Fineract trước 1.8.5 có thể bị ảnh hưởng bởi những lỗ hổng này, cho phép kẻ tấn công thao túng các truy vấn cơ sở dữ liệu. Tác động của các cuộc tấn công như vậy từ việc đánh cắp dữ liệu đến việc thao túng giao dịch không được ủy quyền, đe dọa tính toàn vẹn của nền tảng.

Đối tượng bị ảnh hưởng?

Các tổ chức tài chính và tổ chức trên toàn thế giới sử dụng Apache Fineract cho các hoạt động ngân hàng cốt lõi quan trọng đang bị ảnh hưởng trực tiếp. Sứ mệnh của Apache Fineract là cung cấp dịch vụ tài chính cho những người không có tài khoản ngân hàng, vì vậy việc giải quyết những lỗ hổng bảo mật này đặc biệt quan trọng.

Người dùng nên làm gì?

Apache đề xuất các hành động sau đây:

  • Nâng cấp: Tất cả người dùng phiên bản Apache Fineract trước 1.8.5 phải nâng cấp lên phiên bản 1.8.5 hoặc 1.9.0, bao gồm các bản vá cần thiết.
  • Xem xét hệ thống (Tùy chọn): Nếu việc nâng cấp không khả thi, các tổ chức nên xem xét kỹ lưỡng cấu hình hệ thống của họ để xác định các điểm tiềm ẩn và giảm thiểu rủi ro trong khi họ tiến hành áp dụng các bản vá.

Nguồn Security Online