Trong tháng 4/2018 diễn ra rất nhiều sự kiện nổi bật và đáng chú ý, không chỉ dừng lại ở sự xuất hiện những lỗ hổng mới mà các nhà nghiên cứu bảo mật còn phát hiện cả những chiêu trò mới của tin tặc dùng để đánh lừa người dùng. Bài viết dưới đây sẽ đề cập đến 3 tin tức nổi bật nhất trong tháng 4 vừa qua.

1. Lỗ hổng bỏ qua xác thực trong nền tảng dịch vụ Auth0

Với hơn 2000 khách hàng là doanh nghiệp và phải quản lý 42 triệu đăng nhập mỗi ngày và hàng tỷ lượt đăng nhập mỗi tháng, Auth0 là một trong những nền tảng xác thực lớn nhất thế giới. Nhưng trong tháng 4, dịch vụ xác thực lớn nhất thế giới này đã phải đối mặt với một vấn đề lớn về bảo mật đó là sự xuất hiện của lỗ hổng bỏ qua xác thực (CSRF) trong SDK và các thư viện hỗ trợ của Auth0. Lỗ hổng CVE-2018-6874 cho phép kẻ tấn công sử dụng lại một JSON Web Tokens (JWT) hợp lệ cho một tài khoản riêng để truy cập vào tài khoản của nạn nhân mục tiêu. Để làm được điều này, tất cả những gì kẻ tấn công cần là ID người dùng hoặc địa chỉ email của nạn nhân. Đó đều là những thứ có thể dễ dàng thu được bằng các thủ thuật kỹ thuật xã hội đơn giản. Thật may là Auth0 đã có hành động nhanh chóng để khắc phục điểm yếu trong vòng chưa đầy 4 tiếng đồng hồ. Tuy nhiên về phía người dùng, Auth0 đã mất gần sáu tháng để liên hệ với từng khách hàng của mình và giúp họ khắc phục lỗ hổng này trước khi công khai tiết lộ vấn đề. Công ty đã giảm thiểu sự tác động của những lỗ hổng bỏ qua xác thực bằng cách viết lại các thư viện bị ảnh hưởng và phát hành phiên bản SDK mới (auth0.js 9 và Lock 11).

2. Hơn 20 triệu người dùng cài đặt chặn quảng cáo độc hại từ Chrome Store

Andrey Meshkov – người đồng sáng lập Adguard đã phát hiện ra năm tiện ích chặn quảng cáo độc hại từ Chrome Store và chúng đã được tải bởi ít nhất 20 triệu người dùng. Tất cả các tiện ích quảng cáo này đều được bắt chước làm theo một số Trình chặn quảng cáo hợp pháp và nổi tiếng. Người tạo các tiện ích mở rộng này cũng đã sử dụng các từ khóa phổ biến trong tên và mô tả của chúng để đạt được xếp hạng cao nhất trong kết quả tìm kiếm, dẫn đến việc nhiều người dùng bị mắc lừa và tải chúng xuống. Các tiện ích mở rộng này có chứa mã độc ẩn bên trong và thông qua đó tin tặc có quyền truy cập vào tất cả các trang web nạn nhân truy cập và thực hiện bất kỳ thao tác nào trên trình duyệt của nạn nhân.

CẢNH BÁO: LỖ HỔNG AN TOÀN THÔNG TIN TRÊN HỆ QUẢN TRỊ NỘI DUNG DRUPAL

3. Hai lỗ hổng thực thi mã từ xa trong lõi và một lỗ hổng trong trình soạn thảo văn bản của Drupal

Ba lỗ hổng cùng xuất hiện trong một tháng. Chưa bao giờ Drupal phải đối mặt với hàng loạt các vấn đề nghiêm trọng về bảo mật nhiều đến như vậy. Mở đầu với lỗ hổng Drupalgeddon2 gây ảnh hưởng đến tất cả các phiên bản của Drupal từ 6 đến 8. Lỗ hổng này cho phép một kẻ tấn công từ xa không qua xác thực có thể thực hiện mã độc hại theo mặc định hoặc các cài đặt Drupal thông thường theo các đặc quyền của người dùng. Theo tiết lộ của Checkpoint, lỗ hổng tồn tại do sự nhiễu loạn dữ liệu đầu vào thông qua yêu cầu Form API (FAPI) AJAX. Điều này cho phép kẻ tấn công chèn một payload độc hại vào cấu trúc nội bộ. Dẫn đến việc Drupal thực thi nó mà không cần xác thực người dùng. Bằng cách khai thác lỗ hổng này, kẻ tấn công có thể thực hiện việc tiếp nhận toàn bộ trang web của bất kỳ người dùng Drupal.

Ngay sau khi phát hành PoC khai thác công khai, các nhà nghiên cứu đã nhận thấy các nỗ lực khai thác Drupalgeddon2. Tin tặc đã lợi dụng khai thác PoC cho lỗ hổng Drupalgeddon2 (CVE-2018-7600) để chèn backdoor độc hại và malware khai thác tiền ảo vào máy tính của nạn nhân. Thống kê của Imperva cho thấy rằng 90% các cuộc tấn công Drupalgeddon2 chỉ đơn giản là quét IP để tìm các hệ thống dễ bị tấn công, 3% là các nỗ lực xâm nhập backdoor, và 2% đang cố gắng chạy malware khai thác tiền ảo trên các mục tiêu.

Kế tiếp là sự xuất hiện của lỗ hổng XSS trong trình soạn thảo văn bản của Drupal. Lỗ hổng XSS nằm trong một plugin của bên thứ ba – CKEditor, được tích hợp sẵn trong lõi Drupal để giúp các quản trị viên trang web và người dùng tạo nội dung tương tác. Lỗ hổng XSS xuất phát từ việc xác nhận hợp lệ thẻ “img” trong plugin Enhanced Image cho CKEditor 4.5.11 và các phiên bản mới hơn. Điều này có thể cho phép kẻ tấn công thực hiện mã HTML và JavaScript tùy ý trong trình duyệt của nạn nhân và truy cập thông tin nhạy cảm.

Lỗ hổng thứ 3 trong một tháng. Lỗ hổng Drupalgeddon3 (CVE-2018-7602) gây ảnh hưởng đến lõi Drupal 7 và 8, đồng thời cho phép kẻ tấn công từ xa đạt được chính xác những gì lỗ hổng Drupalgeddon2 (CVE-2018-7600) đã được phát hiện trước đó cho phép – hoàn toàn chiếm quyền kiểm soát các website dế bị tổn thương. Drupalgeddon3 xuất hiện do xác thực đầu vào không chính xác trong Form API, hay còn được gọi là “renderable arrays”. Rút kinh nghiệm từ việc công bố khai thác PoC của Drupalgeddon2, nhóm Drupal đã không phát hành bất kỳ chi tiết kỹ thuật nào về lỗ hổng nhưng vẫn xuất hiện rất nhiều cuộc tấn công đối với lỗ hổng mới này.

Drupal đã phát hành các bản vá mới và yêu cầu các quản trị viên trang web cập nhật phần mềm của họ càng sớm càng tốt.

XEM NHIỀU NHẤT: Microsoft phát hành bản vá khẩn cấp cho lỗ hổng nghiêm trọng trong Windown Container

Quý khách hàng cần tư vấn hỗ trợ về dịch vụ, giải pháp hoặc sản phẩm vui lòng liên hệ:

Website: https://securitybox.vn

Hotline:  092 711 8899

Email: info@securitybox.vn

Địa chỉ: Tầng 9, 459 Đội Cấn, quận Ba Đình, thành phố Hà Nội.

Nguồn: Seucirtydaily