Lỗ hổng thực thi code nghiêm trọng trên ứng dụng CyberArk Enterprise Password

16:40 | 16/04/2018

Các nhà nghiên cứu của Công ty an ninh mạng RedTeam Pentesting GmbH (Đức) đã phát hiện một lỗ hổng thực thi mã từ xa nghiêm trọng trong ứng dụng CyberArk Enterprise Password Vault. Lỗ hổng này cho phép kẻ tấn công truy cập trái phép vào hệ thống với các đặc quyền của ứng dụng web.

Giải pháp quản lý mật khẩu doanh nghiệp (Enterprise Password Vault – EPV) giúp các tổ chức quản lý các mật khẩu nhạy cảm, kiểm soát mật khẩu tài khoản đặc quyền trên nhiều hệ điều hành máy khách, máy chủ, hệ thống, cơ sở dữ liệu và bảo vệ chúng khỏi những kẻ tấn công bên ngoài cũng như những kẻ xấu từ bên trong.

Lỗ hổng ảnh hưởng đến một trong số các ứng dụng Enterprise Password Vault do CyberArk thiết kế, đây là công cụ quản lý mật khẩu và công cụ bảo mật quản lý mật khẩu nhạy cảm và kiểm soát tài khoản đặc quyền.

Lỗ hổng (CVE-2018-9843) nằm trong CyberArk Password Vault Web Access, một ứng dụng web .net được tạo ra để giúp khách hàng truy cập tài khoản của họ từ xa.

Lỗ hổng này nằm trong các máy chủ web xử lý các hoạt động không trình tự thiếu an toàn, có thể cho phép kẻ tấn công thực hiện mã thực thi trên máy chủ xử lý dữ liệu.

Theo các nhà nghiên cứu, khi người dùng đăng nhập vào tài khoản, ứng dụng sử dụng API REST để gửi yêu cầu xác thực đến máy chủ, trong đó bao gồm header ủy quyền chứa một đối tượng .NET được mã hoá trong cơ sở dữ liệu base64.

Vì máy chủ không xác minh tính toàn vẹn của dữ liệu tuần tự và không xử lý một cách an toàn các thao tác không tuần tự, kẻ tấn công chỉ có thể thao tác các mã xác thực để chèn mã độc hại vào đoạn đầu trang ủy quyền, từ đó chiếm được “quyền thực thi mã từ xa trên máy chủ web”.

Các nhà nghiên cứu cũng đã đưa ra một mã chứng minh khái niệm (Proof of Concept – PoC) đầy đủ để phân tích lỗ hổng, sử dụng công cụ mã nguồn mở ysoserial.net để sinh các payload cho các ứng dụng .NET thực hiện tái tuần tự hóa (deserialization) các đối tượng.

Các chi tiết kỹ thuật của lỗ hổng và mã khai thác được công bố sau khi RedTeam báo cáo về lỗ hổng cho CyberArk và công ty đã phát hành các phiên bản vá lỗi của CyberArk Password Vault Web Access.

Các doanh nghiệp sử dụng CyberArk Password Vault Web Access được khuyến cáo nâng cấp phần mềm lên phiên bản 9.9.5, 9.10 hoặc 10.2.

Trong trường hợp người dùng không thể nâng cấp ngay phần mềm, giải pháp khả thi để giảm nhẹ lỗ hổng này là vô hiệu hóa quyền truy cập vào API tại / PasswordVault / WebServices.