Hai lỗ hổng RCE nghiêm trọng chưa được vá trong rConfig

Lỗ hổng rConfig

Nếu bạn đang sử dụng tiện ích quản lý cấu hình mạng rConfig để bảo vệ và quản lý các thiết bị mạng của mình thì bạn cần đặc biệt lưu ý về hai lỗ hổng RCE nghiêm trọng chưa được vá tồn tại trong tiện ích này.  

Một nhà nghiên cứu an ninh mạng gần đây đã công bố các chi tiết và khai thác PoC cho hai lỗ hổng RCE nghiêm trọng chưa được vá tồn tại trong tiện ích rConfig. Ít nhất một lỗ hổng trong số này có thể cho phép kẻ tấn công từ xa không cần xác thực (unauthenticated) xâm nhập vào các máy chủ và các thiết bị mạng được kết nối.

Được viết bằng PHP nguyên gốc, rConfig là một tiện ích quản lý cấu hình thiết bị mạng nguồn mở miễn phí, cho phép các kỹ sư mạng thiết lập và snapshot cấu hình của các thiết bị mạng.

Theo thông báo trên trang web của dự án thì rConfig đang được sử dụng để quản lý hơn 3,3 triệu thiết bị mạng, bao gồm các bộ chuyển mạch, bộ định tuyến, tường lửa, bộ cân bằng tải, tối ưu hóa mạng WAN.

>> Xem thêm: Chuyên gia Việt phát hiện lỗ hổng RCE trong thiết bị lưu trữ mạng của D-link cho phép hacker truy cập toàn bộ dữ liệu của người dùng

Điều đáng lo ngại là gì?

Cả hai lỗ hổng đều ảnh hưởng đến tất cả các phiên bản của rConfig bao gồm cả phiên bản rConfig mới nhất 3.9.2. Hiện tại vẫn chưa có bản vá bảo mật nào cho những lỗ hổng này.

Nhà nghiên cứu Mohammad Askar đã phát hiện ra các lỗ hổng. Ông cho biết mỗi lỗ hổng nằm trong một tệp riêng của rConfig, trong đó lỗ hổng mang số hiệu CVE-2019-16662 có thể được khai thác từ xa mà không cần xác thực trước, trong khi lỗ hổng còn lại mang số hiệu CVE-2019-16663 yêu cầu cần có xác thực trước khi khai thác.

• RCE không xác thực (CVE-2019-16662) trong ajaxServerSinstallChk.php

• RCE xác thực (CVE-2019-16663) trong search.crud.php

Trong cả hai trường hợp, để khai thác lỗ hổng thì tất cả những gì kẻ tấn công cần làm là truy cập vào các tệp chứa lỗ hổng với tham số GET không đúng định dạng được thiết kế để thực thi các lệnh hệ điều hành độc hại trên máy chủ bị nhắm mục tiêu.

Lỗ hổng rConfig

Như được hiển thị trong các ảnh chụp màn hình được chia sẻ bởi nhà nghiên cứu, PoC khai thác cho phép kẻ tấn công lấy một shell từ xa từ máy chủ của nạn nhân. Điều này sẽ cho phép chúng chạy bất kỳ lệnh tùy ý nào trên máy chủ bị xâm nhập với cùng đặc quyền như ứng dụng web.

Trong khi đó, một nhà nghiên cứu bảo mật độc lập khác với bí danh trực tuyến Sudoka đã phân tích các lỗ hổng và phát hiện ra rằng lỗ hổng RCE thứ hai cũng có thể bị khai thác mà không yêu cầu xác thực trong các phiên bản rConfig trước phiên bản 3.6.0.

Một số cập nhật quan trọng

Hóa ra không phải tất cả các cài đặt rCongif đều chứa lỗ hổng RCE xác thực như báo cáo ban đầu của các nhà nghiên cứu bảo mật SANS.

Sau khi phân tích các lỗ hổng zero-day, các nhà nghiên cứu nhận thấy rằng tệp bị ảnh hưởng liên quan đến lỗ hổng đầu tiên thuộc về một thư mục được yêu cầu trong quá trình cài đặt rConfig trên máy chủ.

Trên trang web của mình, rConfig cũng khuyến nghị người dùng “xóa thư mục cài đặt sau khi cài đặt hoàn tất.” Tuy nhiên ngay cả khi người dùng thực hiện điều này thì cũng chỉ có thể ngăn ngừa các mối đe dọa từ lỗ hổng RCE đầu tiên còn đối với lỗ hổng RCE thứ hai không yêu cầu xác thực tồn tại trong các phiên bản cũ hơn thì thao tác này cũng không mang lại tác dụng.

Bởi vậy, để đảm bảo an toàn cho thiết bị của mình thì tốt hơn hết là bạn nên tạm thời xóa ứng dụng khỏi máy chủ hoặc sử dụng các giải pháp thay thế cho đến khi các bản vá bảo mật chính thức được phát hành.

THN