Lỗ hổng bảo mật này rất nghiêm trọng. Hacker đột nhập qua lỗ hổng này:
http://www.bkav.com.vn/tinh_hinh_an_ninh_mang/10/11/2008/6/1925/Thông tin an ninh mạng
Lỗ hổng CSRF và LFI của Simple Machine Forum 1.1.6
11:09:01, 10/11/2008
1. Thông tin chung
Simple Machine Forum (còn gọi là SMF) là một phần mềm mã nguồn mở, được dùng để tạo ra các diễn đàn trên Internet, được cung cấp miễn phí tại
http://www.simplemachines.org. Đầu tháng 11 năm 2008, một số lỗ hổng nghiêm trọng của SMF phiên bản mới nhất (1.1.6) đã được công bố kèm theo mã khai thác. Lợi dụng lỗ hổng này, Hacker có thể chiếm quyền điều khiển diễn đàn cũng như hệ thống máy chủ cài đặt diễn đàn.
Ngày công bố
Phần mềm có lỗi
Mức độ nguy hiểm
04-11-2008
Simple Machine Forum <=1.1.6
Cao
2. Mô tả kỹ thuật
Lỗ hổng CSRF (Cross-Site Request Forgery) cho phép Hacker cài đặt gói phần mềm bất kỳ
Thông thường, khi quản trị diễn đàn thực hiện một tác vụ, SMF sẽ yêu cầu trình duyệt phải cung cấp mã SessionCode nhằm xác thực tác vụ đó. Tuy nhiên, riêng tác vụ cài đặt gói tiện ích bổ sung cho Forum lại không yêu cầu mã xác thực này và đây được coi là một lỗ hổng dạng CSRF.
Vấn đề khó khăn trong khai thác lỗ hổng này là yêu cầu của đường dẫn tới gói phần mềm phải nằm trên máy chủ. Để vượt qua được điều này, Hacker có thể lợi dụng một số điểm yếu trong thiết kế của SMF như sau :
*
Hacker có thể đưa gói phần mềm bất kỳ lên máy chủ bằng cách tạo ra một bài viết có file đính kèm (Attachments). Tên của file sẽ bị đổi tên khi đưa lên Server nhưng do cách đổi tên của SMF không ngẫu nhiên nên có thể dễ dàng đoán biết được.
*
SMF hỗ trợ người dùng đặt Avatar dạng liên kết (
) nên Hacker có thể thay avatar bằng chính liên kết tương ứng với tác vụ của lỗ hổng này.
Như vậy, quản trị chỉ cần đọc bài viết do Hacker đưa lên diễn đàn thì gói phần mềm sẽ được cài đặt. Gói phần mềm này hoàn toàn có thể chứa mã độc và cho phép Hacker chiếm toàn quyền kiểm soát diễn đàn và thậm chí cả máy chủ.
Lỗ hổng LFI (Local File Inclussion) cho phép Hacker thực thi mã lệnh PHP bất kỳ
Lỗi này nằm trong 2 file “Themes.php” và “QueryString.php” với mã lệnh : include($settings[''theme_dir''] . ''/languages/Settings.'' . $user_info[''language''] . ''.php'');
Do thư mục “theme_dir” không được kiểm soát tốt nên lệnh “include” trên cho phép Hacker có thể thực thi file PHP ở vị trí bất kỳ trên máy chủ. Kết hợp lỗi này với khả năng upload một file avatar (ảnh cá nhân) chứa mã PHP, Hacker có thể thực thi mã độc nhằm kiểm xoát được máy chủ.
3. Cập nhật bản vá
Hiện nay các nhà phát triển SMF đã ra phiên bản mới SMF 1.1.7 để vá các lỗ hổng trên. Vì vậy Trung tâm An ninh mạng Bkis khuyến cáo các tổ chức, cá nhân đang sử dụng SMF phiên bản nhỏ hơn 1.1.7 nhanh chóng cập nhật lên phiên bản SMF 1.1.7 để đảm bảo an ninh cho hệ thống của mình.
Bản SMF 1.1.7 có thể download tại:
http://download.simplemachines.org Chuyên viên phân tích: Trương Trường Quân
Chính vì vậy việc duy trì update các phiên bản mới của phần mềm là rất cần thiết.
Thân mến
LAMVT