Các nhà nghiên cứu đã phát hành mã khai thác (PoC) cho chuỗi lỗ hổng dẫn đến thực thi mã từ xa (RCE) trên các máy chủ Progress Telerik Report.
Máy chủ Telerik Report là một giải pháp quản lý báo cáo, hỗ trợ các tổ chức trong việc tạo, chia sẻ, lưu trữ, phân phối và lập lịch báo cáo.
Nhà nghiên cứu bảo mật Sina Kheirkha, với sự trợ giúp của Soroush Dalili, đã thử nghiệm khai thác và chia sẻ bài viết chi tiết mô tả quá trình khai thác phức tạp chuỗi hai lỗ hổng, một lỗi bỏ qua xác thực và một vấn đề deserialization, để thực thi mã trên thiết bị mục tiêu.
Lỗ hổng bỏ qua xác thực có định danh CVE-2024-4358 (điểm CVSS: 9,8), cho phép tạo tài khoản quản trị viên mà không có bất kỳ yêu cầu kiểm tra nào.
Kheirkhah cho biết đã phát hiện lỗ hổng sau khi nhà cung cấp phần mềm tiết lộ một lỗi liên quan đến vấn đề deserialization vào ngày 25 tháng 4.
Nhà nghiên cứu đã phát hiện ra rằng phương thức 'Register' (đăng ký) trong 'StartupController' có thể truy cập được mà không cần xác thực, cho phép tạo tài khoản quản trị viên ngay cả sau khi quá trình thiết lập ban đầu hoàn tất.
Vấn đề này đã được giải quyết thông qua bản cập nhật (Telerik Report Server 2024 Q2 10.1.24.514) vào ngày 15 tháng 5, trong khi nhà cung cấp phát hành bản tin bảo mật với nhóm ZDI vào ngày 31 tháng 5.
Lỗ hổng thứ hai cần thiết để đạt được RCE là CVE-2024-1800 (điểm CVSS: 8,8), một lỗi deserialization cho phép kẻ tấn công đã được xác thực thực thi mã tùy ý trên các máy chủ bị ảnh hưởng.
Lỗ hổng này đã được một nhà nghiên cứu ẩn danh phát hiện trước đó và báo cáo cho nhà cung cấp, Progress đã phát hành bản vá cho lỗ hổng này vào ngày 7 tháng 3 năm 2024 trong phiên bản Telerik® Report Server 2024 Q1 10.0.24.305.
Mặc dù việc khai thác lỗi deserialization rất phức tạp, tuy nhiên bài viết và mã khai thác mà Kheirkhah chia sẻ khiến vấn đề này có thể dễ bị lạm dụng bởi các tác nhân độc hại.
Do đó các tổ chức cần áp dụng các bản cập nhật có sẵn càng sớm càng tốt, nói cách khác là nâng cấp lên phiên bản từ 10.1.24.514 trở lên, để giải quyết cả hai lỗ hổng.
Nhà cung cấp cũng lưu ý rằng mặc dù chưa có báo cáo nào về việc khai thác CVE-2024-4358, quản trị viên hệ thống nên kiểm tra lại danh sách người dùng trên máy chủ Báo cáo của họ để tìm kiếm bất kỳ người dùng cục bộ mới nào đáng ngờ được thêm vào tại '{host}/Users/Index'.
Các lỗ hổng nghiêm trọng trong Progress Software thường bị tội phạm mạng nhắm đến do số lượng lớn các tổ chức trên toàn thế giới sử dụng sản phẩm của nhà cung cấp.
Trường hợp điển hình nhất là một loạt các cuộc tấn công đánh cắp dữ liệu trên diện rộng, khai thác lỗ hổng zero-day trong nền tảng Progress MOVEit Transfer của nhóm ransomware Clop vào tháng 3 năm 2023.
Chiến dịch này là một trong những hoạt động tống tiền quy mô lớn và có ảnh hưởng lớn nhất trong lịch sử, gây thiệt hại cho hơn 2.770 nạn nhân và ảnh hưởng gián tiếp đến gần 96 triệu người.
Nguồn: bleepingcomputer.com.
Thứ Năm tuần trước, cơ quan An ninh mạng và cơ sở hạ tầng Mỹ (CISA) đã bổ sung một lỗ hổng bảo mật ảnh hưởng đến Máy chủ WebLogic của Oracle vào danh mục Các lỗ hổng bị khai thác đã biết (KEV).
Các lỗ hổng bỏ qua kiểm tra ủy quyền, hiện đã được vá, ảnh hưởng đến modem Cox có thể bị lạm dụng để giành quyền truy cập trái phép vào các thiết bị và thực thi các lệnh độc hại.
Hiện nay, trên không gian mạng ngày càng xuất hiện nhiều thủ đoạn lừa đảo tinh vi. Sandra Pond (trú tại thành phố Fredericton, Canada) đã trở thành nạn nhân của một vụ lừa đảo chiếm đoạt tài sản khi bà rao bán chiếc bàn của mình trên nền tảng mạng xã hội Facebook.
Mới đây, Microsoft đã đưa ra cảnh báo về một nhóm tội phạm mạng vì hành vi đánh cắp thẻ quà tặng của các đại lý bán hàng thông qua dịch vụ lưu trữ dữ liệu đám mây. Nhóm đối tượng có trụ sở tại Ma-rốc, mang danh là Storm-0539 hoặc Atlas Lion và hoạt động dưới danh nghĩa là tổ chức phi lợi nhuận.
Mới đây, xuất hiện một trang web tự xưng là “Thư viện Hoa Học Trò”, có địa chỉ hoahoctro.edu.vn, đang có những hành vi gây ảnh hưởng đến uy tín của Chuyên trang Hoa Học Trò điện tử, Báo Tiền Phong (địa chỉ: hoahoctro.tienphong.vn).
Bị đối tượng xấu giả danh người quen lừa vay 6 triệu đồng, một phụ nữ ở Nghệ An lên mạng nhờ "dịch vụ lấy lại tiền lừa đảo" để lấy lại số tiền đã mất, thì bị lừa tiếp 600 triệu đồng.