Về 'lỗi bảo mật' của NukeViet 2.0 beta mà SecurityFocus và US-CERT/NIST công bố

Đăng lúc: Thứ bảy - 26/06/2010 15:08 - Người đăng bài viết: ConVoi

Về 'lỗi bảo mật' của NukeViet 2.0 beta mà SecurityFocus và US-CERT/NIST công bố

Cuối tháng 8 năm 2008,Website chuyên về bảo mật SecurityFocus công bố lỗi bảo mật liên quan đến việc phát hiện ra file admin.php của NukeViet 2.0 beta2. Thực ra Ban Quản Trị NukeViet không coi đây là một lỗi nên đã bỏ qua cảnh báo này, tuy nhiên cuối tháng 3 năm 2009 US-CERT/NIST đã nhắc lại lỗi này trong một báo cáo bảo mật hồi đầu năm nay. Chúng tôi xin phân tích để các bạn được rõ.

"Lỗi bảo mật" mà SecurityFocus công bố hồi tháng 8 năm 2008 dựa trên mã nguồn NukeViet 2.0 Beta 2b cho rằng một lỗi cookies ở file admin/login.php có thể khiến kẻ tấn công vượt qua hệ thống bảo vệ.

Chi tiết báo cáo bảo mật này như sau: http://www.securityfocus.com/bid/30681/info

Nukeviet 'admin/login.php' Cookie Authentication Bypass Vulnerability

Bugtraq ID:	30681
Class:	Design Error
CVE:
Remote:	Yes
Local:	No
Published:	Aug 13 2008 12:00AM
updated:	Aug 26 2008 10:04PM
Credit:	Ciph3r
Vulnerable:	Nukeviet Nukeviet 2.0 Beta

Discuss:

Nukeviet is prone to an authentication-bypass vulnerability because it fails to adequately verify user-supplied input used for cookie-based authentication.

Attackers can exploit this vulnerability to gain administrative access to the affected application.

Nukeviet 2.0 Beta is vulnerable; other versions may also be affected.

Exploit:

Attackers can exploit this issue via a browser.

The following example JavaScript code is available:

javascript:document.cookie = "admf=1; path=/";

Thực tế là ngay từ đầu báo cáo bảo mật này đã ... có lỗi vì hệ thống NukeViet không có file admin/login.php, tuy nhiên qua cách mà SecurityFocus phân tích lỗi thì có thể thấy là file mà được phân tích ở đây là admin/index.php

Đây chỉ là một file phụ được đưa vào NukeViet kể từ phiên bản NukeViet 2.0 beta 2 giúp Admin đi tới file admin.php cho nó logic hơn chứ thực ra nó hầu như không có ý nghĩa về mặt bảo mật vì hệ thống login thực sự của NukeViet đặt ở admin.php. Chính vì lẽ đó phân tích này của SecurityFocus hơi cường điệu mức nguy hiểm của "lớp bảo mật" này.

Báo cáo này hầu như bị quên lãng cho đến khi nó xuất hiện lại trong một báo cáo bảo mật hồi đầu năm nay của Trung tâm ứng cứu khẩn cấp máy tính Hoa Kỳ: http://www.us-cert.gov/cas/body/bulletins/SB09-026.html

Chi tiết về lỗi này được nhắc đén trong bản tin cảnh báo của US-CERT trong đó sử dụng các thông tin do SecurityFocus phân tích: http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2008-5945

Đáng nói là US-CERT đánh giá đây là một lỗi nghiêm trọng và tấn công có thể diễn ra rất ... dễ dàng:

Impact
CVSS Severity (version 2.0):
CVSS v2 Base Score:7.5 (HIGH) (AV:N/AC:L/Au:N/C:P/I:P/A:P) (legend)
Impact Subscore: 6.4
Exploitability Subscore: 10.0
CVSS Version 2 Metrics:
Access Vector: Network exploitable
Access Complexity: Low

**NOTE: Access Complexity scored Low due to insufficient information
Authentication: Not required to exploit
Impact Type:Allows unauthorized disclosure of information; Allows unauthorized modification; Allows disruption of service

Vậy xin nhắc lại để người sử dụng an tâm: admin/index.php (NukeViet 2.0 beta2) chỉ là một file phụ, không thể sử dụng nó để tấn công vào hệ thống NukeViet như trong miêu tả của 2 bản báo cáo bảo mật trên.

P/S:
Cơ chế tìm file admin.php của bản NukeViet 2.0 RC2 đã được viết lại nên phân tích này không đúng với bản RC.

Thông tin bổ sung:

Trung tâm ứng cứu khẩn cấp máy tính Hoa Kỳ - United States Computer Emergency Readiness Team (US-CERT) thuộc Viện Tiêu chuẩn và Công nghệ (NIST) Hoa Kỳ.
SecurityFocus.com là trang web chuyên cung cấp các dịch vụ bảo mật thông tin và các thông tin liên quan đến bảo mật trực tuyến. Website được điều hành bởi các cá nhân nổi tiếng trong lĩnh vực bảo mật. SecurityFocus đã được mua lại bởi Symantec vào tháng Tám năm 2002.

Theo wikipedia tiếng Anh.

http://www.securityfocus.com/bid/30681/info
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2008-5945
http://www.us-cert.gov/cas/body/bulletins/SB09-026.html
http://en.wikipedia.org/wiki/US-CERT
http://en.wikipedia.org/wiki/NIST
http://en.wikipedia.org/wiki/SecurityFocus

Tác giả bài viết: Nguyễn Thế Hùng
Nguồn tin: nukeviet.vn

Từ khóa:

bảo mật, công bố, liên quan, phát hiện, thực ra, quản trị, cảnh báo, tuy nhiên, nhắc lại, báo cáo, chúng tôi, phân tích, các bạn