Một lỗ hổng bảo mật quan trọng đã được tiết lộ trong khung Quarkus Java có khả năng bị khai thác để thực thi mã từ xa trên các hệ thống bị ảnh hưởng.
Được theo dõi là CVE-2022-4116 (điểm CVSS: 9,8), thiếu sót có thể bị kẻ xấu lợi dụng mà không có bất kỳ đặc quyền nào.
“Lỗ hổng được tìm thấy trong Dev UI Config Editor, dễ bị tấn công drive-by localhost có thể dẫn đến thực thi mã từ xa (RCE)”, nhà nghiên cứu Joseph Beeton của Contrast Security, người đã báo cáo lỗi, cho biết trong một bài viết. lên.
Quarkus, được phát triển bởi Red Hat, là một dự án nguồn mở được sử dụng để tạo các ứng dụng Java trong các môi trường không có máy chủ và được chứa.
Cần chỉ ra rằng sự cố chỉ ảnh hưởng đến các nhà phát triển đang chạy Quarkus và bị lừa truy cập vào một trang web được chế tạo đặc biệt, được nhúng mã JavaScript độc hại được thiết kế để cài đặt hoặc thực thi các tải trọng tùy ý.
Điều này có thể ở dạng một cuộc tấn công lừa đảo bằng giáo hoặc một cuộc tấn công lỗ tưới nước mà không yêu cầu bất kỳ tương tác nào thêm từ phía nạn nhân. Ngoài ra, cuộc tấn công có thể được thực hiện bằng cách phân phát quảng cáo lừa đảo trên các trang web phổ biến mà các nhà phát triển thường xuyên lui tới.
Giao diện người dùng dành cho nhà phát triển, được cung cấp thông qua Chế độ dành cho nhà phát triển, được liên kết với máy chủ cục bộ (tức là máy chủ hiện tại) và cho phép nhà phát triển theo dõi trạng thái của ứng dụng, thay đổi cấu hình, di chuyển cơ sở dữ liệu và xóa bộ nhớ cache.
Do bị hạn chế đối với máy cục bộ của nhà phát triển nên Dev UI cũng thiếu các biện pháp kiểm soát bảo mật quan trọng như xác thực và chia sẻ tài nguyên trên nhiều nguồn gốc (CORS) để ngăn trang web lừa đảo đọc dữ liệu của trang web khác.
Vấn đề được Contrast Security xác định nằm ở chỗ mã JavaScript được lưu trữ trên trang web chứa phần mềm độc hại có thể được vũ khí hóa để sửa đổi cấu hình ứng dụng Quarkus thông qua yêu cầu POST HTTP để kích hoạt thực thi mã.
Quarkus lưu ý trong một lời khuyên độc lập: “Mặc dù nó chỉ ảnh hưởng đến Chế độ dành cho nhà phát triển, nhưng tác động vẫn rất cao, vì nó có thể dẫn đến việc kẻ tấn công có quyền truy cập cục bộ vào hộp phát triển của bạn”.
Người dùng nên nâng cấp lên phiên bản 2.14.2.Final và 2.13.5.Final để bảo vệ khỏi lỗ hổng. Một giải pháp thay thế tiềm năng là di chuyển tất cả các điểm cuối không phải ứng dụng sang một đường dẫn gốc ngẫu nhiên.
