Cơ sở hạ tầng web và công ty bảo mật trang web Cloudflare tháng trước đã khắc phục một lỗ hổng nghiêm trọng trong thư viện CDNJS của mình được sử dụng bởi 12.7% của tất cả các trang web trên internet.
CDNJS là một mạng phân phối nội dung miễn phí và mã nguồn mở (CDN) phục vụ khoảng 4.041 thư viện JavaScript và CSS, khiến nó trở thành CDN phổ biến thứ hai cho JavaScript sau Thư viện lưu trữ của Google.
Điểm yếu liên quan đến sự cố trong máy chủ cập nhật thư viện CDNJS có khả năng cho phép kẻ tấn công thực hiện các lệnh tùy ý, dẫn đến thỏa hiệp hoàn toàn.
Lỗ hổng bảo mật được phát hiện và báo cáo bởi nhà nghiên cứu bảo mật RyotaK vào ngày 6 tháng 4 năm 2021. Không có bằng chứng về các cuộc tấn công trong tự nhiên lạm dụng lỗ hổng này.
Cụ thể, lỗ hổng hoạt động bằng cách xuất bản các gói lên CDNJS của Cloudflare bằng GitHub và npm, sử dụng nó để kích hoạt lỗ hổng đi quađường dẫn và cuối cùng lừa máy chủ thực thi mã tùy ý, do đó đạt được thực thi mã từ xa.
Điều đáng chú ý là cơ sở hạ tầng CDNJS bao gồm các tính năng để tự động hóa các bản cập nhật thư viện bằng cách định kỳ chạy các tập lệnh trên máy chủ để tải xuống các tệp có liên quan từ kho lưu trữ Git hoặc gói npm tương ứng do người dùng quản lý.
Bằng cách phát hiện ra sự cố với cách cơ chế vệ sinh đường dẫn gói, RyotaK nhận thấy rằng "mã tùy ý có thể được thực thi sau khi thực hiện đi qua đường dẫn từ tệp .tgz được xuất bản thành npm và ghi đè tập lệnh được thực thi thường xuyên trên máy chủ."
Nói cách khác, mục tiêu của cuộc tấn công là xuất bản một phiên bản mới của gói được chế tạo đặc biệt lên kho lưu trữ, sau đó được chọn máy chủ cập nhật thư viện CDNJS để xuất bản, trong quá trình sao chép nội dung của gói độc hại vào tệp tập lệnh được thực thi thường xuyên được lưu trữ trên máy chủ, do đó có được thực thi mã tùy ý.
RyotaK nói: "Mặc dù lỗ hổng này có thể bị khai thác mà không có bất kỳ kỹ năng đặc biệt nào, nhưng nó có thể ảnh hưởng đến nhiều trang web. " "Cho rằng có nhiều lỗ hổng trong chuỗi cung ứng, dễ khai thác nhưng có tác động lớn, tôi cảm thấy nó rất đáng sợ."
Đây không phải là lần đầu tiên nhà nghiên cứu bảo mật phát hiện ra những sai sót nghiêm trọng trong cách xử lý các bản cập nhật cho kho phần mềm. Vào tháng 4 năm 2021, RyotaK đã tiết lộ một lỗ hổng nghiêm trọng trong kho lưu trữ Homebrew Cask chính thức có thể đã bị kẻ tấn công khai thác để thực thi mã tùy ý trên máy của người dùng.
Đăng nhận xét
Đăng nhận xét