[Cảnh Báo] Phát hiện hai lỗ hổng RCE nghiêm trọng trong rConfig

Nếu bạn đang sử dụng tiện ích quản lý cấu hình mạng rConfig phổ biến để bảo vệ và quản lý các thiết bị mạng của mình, thì ở đây chúng tôi có một cảnh báo quan trọng và khẩn cấp cho bạn. Cụ thể, một nhà nghiên cứu an ninh mạng gần đây đã công bố các chi tiết và bằng chứng khai thác cho hai lỗ hổng thực thi mã từ xa nghiêm trọng chưa được vá trong tiện ích rConfig, ít nhất một trong số đó có thể cho phép kẻ tấn công từ xa không được xác thực xâm nhập vào các máy chủ được nhắm mục tiêu và các thiết bị mạng được kết nối.

[Cảnh Báo] Phát hiện hai lỗ hổng RCE nghiêm trọng trong rConfig - CyberSec365.org

Được viết bằng PHP nguyên bản, rConfig là một tiện ích quản lý cấu hình thiết bị mạng nguồn mở, miễn phí, cho phép các kỹ sư cấu hình và sao lưu cấu hình thường xuyên của các thiết bị mạng của họ.

Theo trang web của dự án, rConfig đang được sử dụng để quản lý hơn 3,3 triệu thiết bị mạng, bao gồm các bộ chuyển mạch, bộ định tuyến, tường lửa, bộ cân bằng tải, tối ưu hóa mạng WAN.

Điều gì đáng lo ngại hơn? Cả hai lỗ hổng bảo mật đều ảnh hưởng đến tất cả các phiên bản của rConfig, bao gồm cả phiên bản rConfig mới nhất 3.9.2. Tại thời điểm viết bài, vẫn chưa có bất kỳ bản vá bảo mật nào được phát hành.

Được phát hiện bởi Mohammad Askar, mỗi lỗ hổng nằm trong một tệp riêng của rConfig. Trong đó, một lỗ hổng bảo mật (có mã hiệu là CVE-2019-16662), có thể được khai thác từ xa mà không cần xác thực trước, trong khi cái còn lại, có mã hiệu là CVE-2019-16663, yêu cầu xác thực trước khi tiến hành khai thác.

Cụ thể, lỗ hổng RCE không được xác thực (CVE-2019-16662) nằm trong tệp trong ajaxServerSinstallChk.php và RCE yêu cầu xác thực (CVE-2019-16663) nằm trong tệp search.crud.php

Trong cả hai trường hợp, để khai thác lỗ hổng, tất cả những kẻ tấn công cần làm là truy cập các tệp dễ bị tổn thương với tham số GET không đúng định dạng được thiết kế để thực thi các lệnh độc hại trên máy chủ được nhắm mục tiêu.

[Cảnh Báo] Phát hiện hai lỗ hổng RCE nghiêm trọng trong rConfig - CyberSec365.org

Như được hiển thị trong các ảnh chụp màn hình được chia sẻ bởi nhà nghiên cứu, PoC khai thác cho phép kẻ tấn công từ xa vào máy chủ của nạn nhân, cho phép họ chạy bất kỳ lệnh tùy ý nào trên máy chủ bị xâm nhập với các đặc quyền tương tự như ứng dụng web.

Trong khi đó, một nhà nghiên cứu bảo mật độc lập khác đã phân tích các lỗ hổng và phát hiện ra rằng lỗ hổng RCE thứ hai cũng có thể bị khai thác mà không yêu cầu xác thực trong các phiên bản rConfig trước phiên bản 3.6.0.

"Tuy nhiên, sau khi xem xét mã nguồn của rConfig, tôi phát hiện ra rằng không chỉ phiên bản rConfig 3.9.2 có các lỗ hổng đó mà còn tất cả các phiên bản của nó. Hơn nữa, lỗ hổng bảo mật CVE-2019-16663, cũng có thể được khai thác mà không cần xác thực cho tất cả các phiên bản trước rConfig 3.6.0, "nhà nghiên cứu bảo mật có biệt hiệu Sudoka cho biết.

Askar đã báo cáo cả hai lỗ hổng cho những người bảo trì dự án rConfig gần một tháng trước và gần đây đã quyết định công bố chi tiết và PoC sau khi các nhà bảo trì không thừa nhận hoặc phản hồi về những phát hiện của anh ta.

Nếu bạn đang sử dụng rConfig, bạn nên tạm thời xóa nó khỏi máy chủ của mình cho đến khi có bản vá bảo mật.

Đại Phát (Theo THN)