Lỗ hổng LFI nghiêm trọng được báo cáo trong nền tảng viết blog Hashnode

Nền tảng viết blog Hashnode

Các nhà nghiên cứu đã tiết lộ lỗ hổng bao gồm tệp cục bộ (LFI) không có tài liệu trước đây trong , một nền tảng blog hướng đến nhà phát triển, có thể bị lạm dụng để truy cập vào dữ liệu nhạy cảm như khóa SSH, địa chỉ IP của máy chủ và thông tin mạng khác.

Các nhà nghiên cứu Akamai cho biết trong một báo cáo được chia sẻ với The Hacker News: “LFI bắt nguồn từ một tính năng Bulk Markdown Import có thể bị thao túng để cung cấp cho những kẻ tấn công khả năng tải xuống các tệp cục bộ từ máy chủ của mà không bị cản trở.

Lỗ hổng bao gồm tệp cục bộ xảy ra khi một ứng dụng web bị lừa để lộ hoặc chạy các tệp không được phê duyệt trên máy chủ, dẫn đến các cuộc tấn công truyền tải thư mục, tiết lộ thông tin, và viết mã chéo trang (XSS).

Nền tảng viết blog Hashnode

Lỗ hổng, do ứng dụng web không làm sạch đầy đủ đường dẫn đến tệp được chuyển làm đầu vào, có thể gây ra hậu quả nghiêm trọng khi kẻ tấn công có thể điều hướng đến bất kỳ đường dẫn nào trên máy chủ và truy cập thông tin nhạy cảm, bao gồm / etc / passwd tệp chứa danh sách người dùng trên máy chủ.

Với cách khai thác này, các nhà nghiên cứu cho biết họ có thể xác định địa chỉ IP và khóa bảo mật riêng tư (SSH) được liên kết với máy chủ.

Xem tiếp:   Tin tặc sử dụng dịch vụ đám mây để phân phối phần mềm độc hại Nanocore, Netwire và AsyncRAT

Mặc dù lỗ hổng bảo mật đã được giải quyết nhưng Akamai cho biết họ đã ghi nhận hơn 5 tỷ cuộc tấn công LFI trong khoảng thời gian từ ngày 1 tháng 9 năm 2021 đến ngày 28 tháng 2 năm 2022, đánh dấu mức tăng 141% so với sáu tháng trước đó.

Các nhà nghiên cứu cho biết: “Các cuộc tấn công LFI là một vectơ tấn công có thể gây ra thiệt hại lớn cho một tổ chức, vì một tác nhân đe dọa có thể lấy thông tin về mạng để do thám trong tương lai,” các nhà nghiên cứu cho biết.

.

Related Posts

Check Also

Tin tặc ngày càng sử dụng các khung tự động hóa của trình duyệt cho các hoạt động độc hại

Các nhà nghiên cứu an ninh mạng đang kêu gọi sự chú ý đến một …