Cảnh báo lỗ hổng CVE-2024-43405 trong Nuclei cho phép thực thi mã độc

Lỗ hổng nằm trong quy trình xác minh chữ ký (signature verification) của Nuclei, cụ thể ở thành phần signer. Lỗ hổng này xuất phát từ sự không đồng nhất trong cách xử lý ký tự xuống dòng giữa việc xác minh chữ ký và việc phân tích YAML, cùng với cách xử lý chữ ký nhiều dòng.

Chi tiết lỗ hổng

• Ký tự \r được xử lý khác nhau bởi regex trong Go và YAML parser.

Chữ ký bổ sung không được xác minh đầy đủ, cho phép chèn nội dung độc hại trong khi vẫn giữ chữ ký hợp lệ cho nội dung an toàn.

Ví dụ mã khai thác (Proof of Concept):

id: example-template info: name: Example Template

#digest:

#digest: \r code:\r

• engine:\r

sh\r

bash\r source: |\r id\r

Mẫu YAML này khai thác lỗ hổng để vượt qua kiểm tra chữ ký và thực thi mã độc trên hệ thống mục tiêu.

Khuyến nghị

1. Cập nhật phần mềm:

Cập nhật ngay lập tức lên phiên bản 3.3.2 hoặc mới hơn (phiên bản hiện tại là 3.3.7).

2. Biện pháp giảm thiểu tạm thời:

Nếu không thể cập nhật ngay:

• Vô hiệu hoá template tùy chỉnh: Không sử dụng mẫu từ nguồn không đáng tin cậy.
• Chạy template đáng tin cậy: Chỉ sử dụng các mẫu đã được kiểm chứng

Nguồn: VNCERT/CC

---

Công ty CP Dịch vụ an toàn thông tin TP.HCM (HISSC) chuyên cung cấp các dịch vụ về an ninh mạng gồm:

• Điện toán đám mây.

• Mạng phân phối nội dung

• Giám sát an toàn thông tin mạng.

• Bảo vệ an toàn thông tin đầu cuối.

• Sao lưu, phục hồi dữ liệu.

• Diễn tập phòng chống tấn công mạng.

• Kiểm tra, đánh giá an toàn thông tin mạng.

• Đào tạo an toàn thông tin.

• Dịch vụ khác:

  • Triển khai tích hợp giải pháp công nghệ an toàn thông tin theo yêu cầu.
  • Cho thuê thiết bị an toàn thông tin, công nghệ thông tin

Liên hệ dịch vụ:

• Số điện thoại: (84-28) 3715 9999 – Phòng PTKD
• Email: sales@hissc.com.vn