Phát hiện lỗ hổng nghiêm trọng trong nền tảng viết blog Hashnode

Các nhà nghiên cứu đã phát hiện một lỗ hổng local file inclusion (LFI) mới trong Hashnode, một nền tảng viết blog dành cho người dùng cuối, có thể bị lạm dụng để truy cập vào dữ liệu nhạy cảm như khóa SSH, địa chỉ IP máy chủ và các thông tin mạng (network) khác.

Trong một báo cáo, các nhà nghiên cứu Akamai cho biết: “Lỗ hổng LFI bắt nguồn từ tính năng Bulk Markdown Import, cho phép kẻ tấn công tải xuống các tệp cục bộ từ máy chủ Hashnode.

Kẻ tấn công có thể lợi dụng lỗ hổng này để khiến một ứng dụng web tiết lộ thông tin nhạy cảm hoặc thực thi các tệp trên máy chủ, dẫn đến các cuộc tấn công directory traversal, thu thập thông tin, thực thi mã từ xa và cross-site scripting (XSS).

Lỗ hổng, do ứng dụng web thiếu biện pháp kiểm tra, sàng lọc các đường dẫn tệp (path) không an toàn được sử dụng làm dữ liệu đầu vào, có thể gây ra hậu quả nghiêm trọng nếu kẻ tấn công có thể điều hướng đến bất kỳ đường dẫn nào trên máy chủ và truy cập thông tin nhạy cảm, bao gồm  tệp /etc/passwd  có chứa danh sách người dùng trên máy chủ.

Mặc dù lỗ hổng đã được khắc phục nhưng Akamai cho biết họ đã ghi nhận hơn 5 tỷ cuộc tấn công LFI trong khoảng thời gian từ ngày 1 tháng 9 năm 2021 đến ngày 28 tháng 2 năm 2022, đánh dấu mức tăng 141% so với sáu tháng trước đó.

Các nhà nghiên cứu cho biết: “Các cuộc tấn công LFI có thể gây ra thiệt hại lớn cho một tổ chức, các tác nhân đe dọa có thể  sử dụng thông tin thu thập này trong các cuộc tấn công trong tương lai”.

Nguồn: thehackernews.com.