Bản vá lỗi của Amazon dành cho lỗ hổng Log4j bị phát hiện dễ bị khai thác do lỗ hổng đặc quyền nâng cao

aws

“Bản vá lỗi gấp” do Amazon Web Services (AWS) tung ra để đối phó với các lỗ hổng Log4Shell có thể bị lợi dụng để thoát khỏi vùng chứa và leo thang đặc quyền (privilege escalation). Điều này cho phép kẻ tấn công chiếm quyền kiểm soát máy chủ.

Chuyên gia Yuval Avrahami thuộc Đơn vị 42 của Palo Alto Networks cho biết trong một báo cáo được công bố trong tuần này: “Ngoài vùng chứa, các quy trình không có đặc quyền cũng có thể khai thác bản vá để nâng cấp đặc quyền của mình và đạt được quyền thực thi mã gốc”.

Các lỗ hổng bao gồm CVE-2021-3100, CVE-2021-3101, CVE-2022-0070CVE-2022-0071 (điểm CVSS: 8,8) ảnh hưởng đến các giải pháp sửa lỗi nhanh do AWS tung ra và xuất phát từ thực tế là chúng được thiết kế để tìm kiếm các trình Java và vá chúng chống lại lỗ hổng Log4j ngay lập tức. Tuy nhiên nó không đảm bảo rằng các trình Java mới được chạy theo các luật áp dụng cho vùng chứa.

Avrahami giải thích: “Bất kỳ trình nào chạy tệp nhị phân có tên là ‘java’ – bên trong hoặc bên ngoài vùng chứa, đều được coi là mục tiêu của bản vá nhanh . Do đó, một vùng chứa độc hại có thể đã bao gồm một tệp nhị phân độc hại có tên ‘java’ để lừa bản vá nhanh đã cài đặt trao cho nó các đặc quyền nâng cao”.

Trong bước tiếp theo, các đặc quyền nâng cao có thể được vũ khí hóa bởi trình ‘java’ độc hại để thoát khỏi vùng chứa và giành toàn quyền kiểm soát máy chủ bị xâm phạm.

Tương tự, một quy trình không có đặc quyền giả mạo có thể đã tạo và thực thi một tệp nhị phân độc hại có tên “java” để lừa bản vá chạy nó với các đặc quyền nâng cao.

Người dùng được khuyến nghị cập nhật lên phiên bản vá nhanh cố định càng sớm càng tốt để ngăn chặn khả năng bị khai thác, nhưng chỉ sau khi họ đã vá các lỗi Log4Shell.

Avrahami chia sẻ rằng: “Các vùng chứa thường được dùng làm ranh giới bảo mật giữa các ứng dụng chạy trên cùng một máy. Lối thoát của vùng chứa cho phép kẻ tấn công mở rộng chiến dịch ra khỏi một ứng dụng duy nhất và xâm phạm các dịch vụ lân cận”.

Theo Thehackernews