VNG Cloud Logo

[CVE-2022-29464/WSO2-2021-1738] Lỗ hổng upload file dẫn đến RCE trên các sản phẩm WSO2

Vừa qua WSO2 đã công bố lỗ hổng bảo mật nghiêm trọng CVE-2022-29464 (WSO2-2021-1738) ảnh hưởng đến một số sản phẩm của họ. Phòng ISO đã rà soát và nhận thấy một số sản phẩm của VNG sử dụng WSO2 bị ảnh hưởng bởi lỗ hổng này. Phòng ISO đề nghị các anh chị Sys Admin của các sản phẩm bị ảnh hưởng rà soát hệ thống và thực hiện các biện pháp phòng tránh nhằm đảm bảo an toàn thông tin.

Tổng quan CVE-2022-29464/WSO2-2021-1738: 
Mô tả: Một số sản phẩm của WSO2 cho phép tải lên tệp không bị hạn chế, không cần xác thực, từ đó kẻ tấn công có thể tải tệp tùy ý lên máy chủ và thực thi mã từ xa (RCE).

Mức độ nghiêm trọng: CVSS Score 9.8 – Nghiêm trọng.

Danh sách các sản phẩm và phiên bản bị ảnh hưởng: 

Sản phẩm 

Phiên bản 

WSO2 API Manager 

Từ 2.2.0 đến 4.0.0 

WSO2 Identity Server 

Từ 5.2.0 đến 5.11.0 

WSO2 Identity Server Analytics 

5.4.0, 5.4.1, 5.5.0, 5.6.0 

WSO2 Identity Server as Key Manager 

Từ 5.3.0 đến 5.10.0 

WSO2 Enterprise Integrator 

Từ 6.2.0 đến 6.6.0 

Mã khai thác đã được công bố tại: https://github.com/hakivvi/CVE-2022-29464.

Mã khai thác có dạng

Giải pháp: 

  • WSO2 khuyến nghị khách hàng nên nâng cấp các sản phẩm lên phiên bản mới nhất không bị ảnh hưởng.
  • Nếu sản phẩm WSO2 có Support Subscription: dùng WSO2 Updates để vá lỗi.
  • Nếu không thể nâng cấp, có thể áp dụng các bản vá:

https://github.com/wso2/carbon-kernel/pull/3152

https://github.com/wso2/carbon-identity-framework/pull/3864

https://github.com/wso2-extensions/identity-carbon-auth-rest/pull/167

Hoặc tạm thời thực hiện các biện pháp sau để loại bỏ các endpoint không cần thiết nhằm giảm thiểu bề mặt tấn công. Lưu ý nên test trên môi trường thử nghiệm trước khi áp dụng trên production: https://docs.wso2.com/display/Security/Security+Advisory+WSO2-2021-1738#:~:text=mitigation%20steps%20given%20below

Tham khảo: 
https://docs.wso2.com/display/Security/Security+Advisory+WSO2-2021-1738

https://github.com/hakivvi/CVE-2022-29464

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-29464