Một lỗ hổng bảo mật quan trọng đã được tiết lộ trong framework Quarkus Java có khả năng bị khai thác để thực thi mã từ xa trên các hệ thống bị ảnh hưởng.
Có mã theo dõi CVE-2022-4116 (điểm CVSS là 9,8), lỗ hổng tồn tại trong Dev UI Config Editor và có thể bị khai thác thông qua các cuộc tấn công drive-by localhost.
“Lỗ hổng được tìm thấy trong Dev UI Config Editor, dễ bị tấn công drive-by localhost có thể dẫn đến thực thi mã từ xa (RCE)”- nhà nghiên cứu Joseph Beeton của Contrast Security, người đã báo cáo lỗi cho biết.
Nhà nghiên cứu cho biết, trên thực tế, các dịch vụ liên kết với máy chủ cục bộ có thể truy cập được từ bên ngoài nên kẻ tấn công có thể tạo một trang web độc hại để nhắm mục tiêu các nhà phát triển đang sử dụng các phiên bản Quarkus tồn tại lỗ hổng.
Xuất hiện từ năm 2019, Quarkus là một framework Java Kubernetes-native mã nguồn mở được thiết kế cho các máy ảo GraalVM và HotSpot.
Vấn đề do mã JavaScript có thể đưa ra yêu cầu tới máy chủ cục bộ mà không cần yêu cầu chạy trước. Được gọi là simple requests’, những yêu cầu này không trả lại dữ liệu cho JavaScript đang gọi, nhưng thời gian phản hồi có thể được sử dụng để suy luận xem yêu cầu có thành công hay không.
Beeton giải thích: “Trong ngữ cảnh đó, có thể truy cập vào máy chủ cục bộ và trong một số trường hợp nhất định, kích hoạt thực thi mã tùy ý”.
Nhà nghiên cứu đã công bố PoC khởi chạy ứng dụng máy tính trên máy mục tiêu, nhưng cảnh báo rằng việc khai thác lỗ hổng có thể có tác động rộng lớn, tùy thuộc vào quyền truy cập mà nhà phát triển sở hữu đối với khóa bí mật, máy chủ và các nguồn lực khác.
“Tuy nhiên, có các nguy cơ như cài đặt keylogger trên máy cục bộ để thu thập thông tin đăng nhập vào hệ thống sản xuất hoặc sử dụng token GitHub để sửa đổi mã nguồn”, Beeton lưu ý.
Nhà nghiên cứu cũng chỉ ra rằng hacker có thể cố gắng thực hiện các cuộc tấn công lừa đảo nhằm vào các nhà phát triển đang sử dụng Quarkus, để lừa họ nhấp vào liên kết dẫn đến mã JavaScript khai thác lỗ hổng.
Tuần này, Quarkus thông báo các bản vá lỗi cho CVE-2022-4116 đã được đưa vào phiên bản 2.14.2.Final và 2.13.5.Final của framework, đồng thời cảnh báo rằng hacker có thể khai thác lỗi này để có quyền truy cập cục bộ vào các công cụ phát triển và kêu gọi các nhà phát triển cập nhật càng sớm càng tốt.
Theo https://www.securityweek.com/