[CVE-2022-29464/WSO2-2021-1738] Lỗ hổng upload file dẫn đến RCE trên các sản phẩm WSO2
Vừa qua WSO2 đã công bố lỗ hổng bảo mật nghiêm trọng CVE-2022-29464 (WSO2-2021-1738) ảnh hưởng đến một số sản phẩm của họ. Phòng ISO đã rà soát và nhận thấy một số sản phẩm của VNG sử dụng WSO2 bị ảnh hưởng bởi lỗ hổng này. Phòng ISO đề nghị các anh chị Sys Admin của các sản phẩm bị ảnh hưởng rà soát hệ thống và thực hiện các biện pháp phòng tránh nhằm đảm bảo an toàn thông tin.
Tổng quan CVE-2022-29464/WSO2-2021-1738:
Mô tả: Một số sản phẩm của WSO2 cho phép tải lên tệp không bị hạn chế, không cần xác thực, từ đó kẻ tấn công có thể tải tệp tùy ý lên máy chủ và thực thi mã từ xa (RCE).
Mức độ nghiêm trọng: CVSS Score 9.8 – Nghiêm trọng.
Danh sách các sản phẩm và phiên bản bị ảnh hưởng:
Sản phẩm | Phiên bản |
WSO2 API Manager | Từ 2.2.0 đến 4.0.0 |
WSO2 Identity Server | Từ 5.2.0 đến 5.11.0 |
WSO2 Identity Server Analytics | 5.4.0, 5.4.1, 5.5.0, 5.6.0 |
WSO2 Identity Server as Key Manager | Từ 5.3.0 đến 5.10.0 |
WSO2 Enterprise Integrator | Từ 6.2.0 đến 6.6.0 |
Mã khai thác đã được công bố tại: https://github.com/hakivvi/CVE-2022-29464.
Mã khai thác có dạng
Giải pháp:
- WSO2 khuyến nghị khách hàng nên nâng cấp các sản phẩm lên phiên bản mới nhất không bị ảnh hưởng.
- Nếu sản phẩm WSO2 có Support Subscription: dùng WSO2 Updates để vá lỗi.
- Nếu không thể nâng cấp, có thể áp dụng các bản vá:
https://github.com/wso2/carbon-kernel/pull/3152
https://github.com/wso2/carbon-identity-framework/pull/3864
https://github.com/wso2-extensions/identity-carbon-auth-rest/pull/167
Hoặc tạm thời thực hiện các biện pháp sau để loại bỏ các endpoint không cần thiết nhằm giảm thiểu bề mặt tấn công. Lưu ý nên test trên môi trường thử nghiệm trước khi áp dụng trên production: https://docs.wso2.com/display/Security/Security+Advisory+WSO2-2021-1738#:~:text=mitigation%20steps%20given%20below
Tham khảo:
https://docs.wso2.com/display/Security/Security+Advisory+WSO2-2021-1738
https://github.com/hakivvi/CVE-2022-29464
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-29464