Ginny Hà
VIP Members
-
04/06/2014
-
88
-
689 bài viết
Phát hiện lỗ hổng nghiêm trọng trong thư viện được hơn 22.000 dự án sử dụng
Một lỗ hổng nghiêm trọng vừa được phát hiện trong thư viện mã nguồn mở jsonwebtoken (JWT). Việc khai thác thành công có thể dẫn đến thực thi mã từ xa trên máy chủ đích.
Có mã theo dõi CVE-2022-23529 (điểm CVSS: 7,6), lỗ hổng ảnh hưởng đến tất cả các phiên bản của thư viện, bao gồm cả phiên bản 8.5.1 trở xuống. Vấn đề được thông báo cho hãng từ tháng 7/2022 và được khắc phục trong phiên bản 9.0.0 phát hành vào 21/12 vừa qua.
jsonwebtoken được phát triển và duy trì bởi Okta's Auth0, là một mô-đun JavaScript cho phép người dùng giải mã, xác minh và tạo token web JSON như một phương tiện truyền thông tin an toàn giữa hai bên để ủy quyền và xác thực. Nó có hơn 10 triệu lượt tải xuống hàng tuần trên sổ đăng ký phần mềm npm và được hơn 22.000 dự án sử dụng.
Do đó, việc chạy mã độc hại trên máy chủ có thể phá vỡ các đảm bảo về tính bảo mật và tính toàn vẹn, cho phép kẻ xấu ghi đè lên các tệp tùy ý trên máy chủ và thực hiện các hành vi độc hại khác bằng cách sử dụng khóa bí mật bị nhiễm mã độc.
Oleyarsh giải thích: “Như đã nói, để khai thác lỗ hổng và kiểm soát giá trị secretOrPublicKey, kẻ tấn công sẽ cần khai thác một lỗ hổng trong tiến trình quản lý bí mật”.
Phần mềm nguồn mở ngày càng được nhiều hacker nhắm tới để thực hiện các cuộc tấn công chuỗi cung ứng. Tệ hơn, hacker ngày càng nhanh nhạy với các lỗ hổng mới phát hiện. Theo Microsoft, trung bình việc khai thác trong thực tế diễn ra chỉ khoảng 14 ngày sau khi lỗ hổng được tiết lộ.
Có mã theo dõi CVE-2022-23529 (điểm CVSS: 7,6), lỗ hổng ảnh hưởng đến tất cả các phiên bản của thư viện, bao gồm cả phiên bản 8.5.1 trở xuống. Vấn đề được thông báo cho hãng từ tháng 7/2022 và được khắc phục trong phiên bản 9.0.0 phát hành vào 21/12 vừa qua.
jsonwebtoken được phát triển và duy trì bởi Okta's Auth0, là một mô-đun JavaScript cho phép người dùng giải mã, xác minh và tạo token web JSON như một phương tiện truyền thông tin an toàn giữa hai bên để ủy quyền và xác thực. Nó có hơn 10 triệu lượt tải xuống hàng tuần trên sổ đăng ký phần mềm npm và được hơn 22.000 dự án sử dụng.
Do đó, việc chạy mã độc hại trên máy chủ có thể phá vỡ các đảm bảo về tính bảo mật và tính toàn vẹn, cho phép kẻ xấu ghi đè lên các tệp tùy ý trên máy chủ và thực hiện các hành vi độc hại khác bằng cách sử dụng khóa bí mật bị nhiễm mã độc.
Oleyarsh giải thích: “Như đã nói, để khai thác lỗ hổng và kiểm soát giá trị secretOrPublicKey, kẻ tấn công sẽ cần khai thác một lỗ hổng trong tiến trình quản lý bí mật”.
Phần mềm nguồn mở ngày càng được nhiều hacker nhắm tới để thực hiện các cuộc tấn công chuỗi cung ứng. Tệ hơn, hacker ngày càng nhanh nhạy với các lỗ hổng mới phát hiện. Theo Microsoft, trung bình việc khai thác trong thực tế diễn ra chỉ khoảng 14 ngày sau khi lỗ hổng được tiết lộ.
Nguồn: The Hacker News