Lỗ hổng CVE-2024-4885: Phân tích, Tác động và Chiến lược giảm thiểu

05/03/2025
2 mins read






Nội dung
Tổng quan về lỗ hổng
Phân tích kỹ thuật
Tác động và khai thác
Chiến lược giảm thiểu
Phản ứng của ngành và hành động của CISA
Thực tiễn tốt nhất để giảm thiểu

Tổng quan về lỗ hổng

CVE-2024-4885 là một lỗ hổng nghiêm trọng cho phép kẻ tấn công không xác thực thực thi mã tùy ý trên các hệ thống bị ảnh hưởng bằng cách khai thác việc xác thực đầu vào không đúng trong các cơ chế xử lý đường dẫn tệp.

– Lỗi này được phân loại theo CWE-22 (Hạn chế không đúng về đường dẫn tới thư mục nhất định).

Phân tích kỹ thuật

– Lỗ hổng này xuất phát từ việc không đủ vệ sinh các đường dẫn thư mục do người dùng cung cấp trong mô-đun quản lý tệp của phần mềm.

– Kẻ tấn công có thể tạo các yêu cầu HTTP độc hại chứa các chuỗi như ../ để thoát khỏi cấu trúc thư mục dự kiến và tải lên hoặc thực thi các tệp trong các vị trí nhạy cảm của hệ thống.

Tác động và khai thác

– Việc khai thác thành công không yêu cầu xác thực, điều này làm cho kẻ tấn công dễ dàng có được quyền truy cập hơn so với các lỗ hổng ở mức mạng khác.

– Lỗ hổng này có thể tạo điều kiện cho việc rò rỉ dữ liệu, thu thập thông tin xác thực hoặc gián đoạn dịch vụ.

Chiến lược giảm thiểu

Triển khai bản vá: Progress đã phát hành các phiên bản đã được vá (2024.1 và các phiên bản sau) vào ngày 3 tháng 3 năm 2025, khuyến khích nâng cấp ngay lập tức cho tất cả các triển khai.

Giải pháp tạm thời: Các tổ chức không thể vá ngay lập tức nên hạn chế quyền truy cập mạng tới các phiên bản WhatsUp Gold bằng cách sử dụng quy tắc tường lửa, giám sát nhật ký cho các mẫu tạo/mô-đun tệp không bình thường và triển khai tường lửa ứng dụng web để lọc các chuỗi lối thoát đường dẫn.

Phản ứng của ngành và hành động của CISA

– Cơ quan An ninh mạng và Cơ sở hạ tầng (CISA) đã thêm CVE-2024-4885 vào danh sách Lỗ hổng Đã biết Bị khai thác, yêu cầu các cơ quan liên bang khắc phục lỗ hổng trước ngày 24 tháng 3 năm 2025, theo Chỉ thị Vận hành ràng buộc 22-01.

– Các thực thể trong khu vực tư nhân, đặc biệt là các nhà điều hành cơ sở hạ tầng quan trọng, phải chịu sự giám sát gia tăng do sự phổ biến của WhatsUp Gold trong các môi trường hệ thống điều khiển công nghiệp.

Thực tiễn tốt nhất để giảm thiểu

– Các tổ chức nên ưu tiên quét lỗ hổng và giả định tư thế xâm nhập cho đến khi khắc phục hoàn toàn.

– Việc triển khai phân đoạn vi mô và các công cụ bảo vệ ứng dụng tự bảo vệ trong thời gian thực (RASP) được khuyến nghị, đặc biệt trong các môi trường lai.

Lỗ hổng này nhấn mạnh tầm quan trọng của việc giám sát liên tục các công cụ quản trị mạng và nhu cầu quản lý bản vá chủ động để ngăn chặn việc khai thác bởi các tác nhân xấu.


Tags