-
09/04/2020
-
94
-
689 bài viết
Lỗ hổng trong BigAnt Server không yêu cầu tương tác, vượt qua CAPTCHA
Các nhà nghiên cứu đã phát hiện một lỗ hổng nghiêm trọng trong BigAnt Server với mã CVE-2025-0364 (CVSS 9,8) khi điều tra về CVE-2024-54761. Lỗ hổng này cho phép kẻ tấn công thực thi mã từ xa (RCE) mà không cần xác thực, từ đó leo thang đặc quyền và kiểm soát hệ thống bị ảnh hưởng.
BigAnt là một giải pháp nhắn tin doanh nghiệp trên nền tảng Windows. Lỗ hổng này xuất phát từ một tính năng đăng ký SaaS bị lộ, cho phép kẻ tấn công vượt qua CAPTCHA đơn giản và tạo tài khoản quản trị viên. Sau đó, kẻ tấn công có thể khai thác tiện ích Cloud Storage Add-in để tải lên các tệp PHP độc hại và thực thi chúng mà không cần xác thực.
Tại thời điểm phát hiện, có khoảng 50 máy chủ BigAnt công khai trên Internet. Khi công bố báo cáo, số lượng này đã giảm xuống còn khoảng 30, có thể do các quản trị viên đã thực hiện giải pháp phòng thủ.
Lỗ hổng CVE-2025-0364 ảnh hưởng đến tất cả các phiên bản của BigAnt Server, bao gồm cả 5.6.06, và cho phép thực thi mã từ xa mà không cần xác thực. Điều này tạo ra rủi ro nghiêm trọng, khiến kẻ tấn công có thể kiểm soát hoàn toàn máy chủ bị ảnh hưởng, đánh cắp thông tin liên lạc doanh nghiệp nhạy cảm, cũng như triển khai ransomware hoặc duy trì quyền truy cập lâu dài.
Các nhà nghiên cứu đã xác nhận có các công cụ khai thác công khai. Chuỗi khai thác như sau:
Các quản trị viên được khuyến cáo:
BigAnt là một giải pháp nhắn tin doanh nghiệp trên nền tảng Windows. Lỗ hổng này xuất phát từ một tính năng đăng ký SaaS bị lộ, cho phép kẻ tấn công vượt qua CAPTCHA đơn giản và tạo tài khoản quản trị viên. Sau đó, kẻ tấn công có thể khai thác tiện ích Cloud Storage Add-in để tải lên các tệp PHP độc hại và thực thi chúng mà không cần xác thực.
Tại thời điểm phát hiện, có khoảng 50 máy chủ BigAnt công khai trên Internet. Khi công bố báo cáo, số lượng này đã giảm xuống còn khoảng 30, có thể do các quản trị viên đã thực hiện giải pháp phòng thủ.
Lỗ hổng CVE-2025-0364 ảnh hưởng đến tất cả các phiên bản của BigAnt Server, bao gồm cả 5.6.06, và cho phép thực thi mã từ xa mà không cần xác thực. Điều này tạo ra rủi ro nghiêm trọng, khiến kẻ tấn công có thể kiểm soát hoàn toàn máy chủ bị ảnh hưởng, đánh cắp thông tin liên lạc doanh nghiệp nhạy cảm, cũng như triển khai ransomware hoặc duy trì quyền truy cập lâu dài.
Các nhà nghiên cứu đã xác nhận có các công cụ khai thác công khai. Chuỗi khai thác như sau:
- Bỏ qua xác thực thông qua đăng ký SaaS bị lộ.
- Sử dụng tài khoản quản trị đã giải quyết CAPTCHA để truy cập tiện ích bổ sung lưu trữ đám mây.
- Tải lên đoạn mã PHP độc hại.
- Thực hiện các lệnh tùy ý từ xa.
Các quản trị viên được khuyến cáo:
- Tắt đăng ký SaaS nếu không cần thiết.
- Hạn chế quyền truy cập công khai vào giao diện quản trị BigAnt Server.
- Theo dõi nhật ký để phát hiện các đăng ký tài khoản mới đáng ngờ.
- Áp dụng các hạn chế của máy chủ web để ngăn chặn việc thực thi các tệp PHP từ các vị trí trái phép.
Theo Security Online