Lỗ hổng thực thi mã từ xa (RCE) trong MITRE Caldera – Chi tiết và Giải pháp

27/02/2025
2 mins read
Nội dung
Tổng quan về lỗ hổng
Chi tiết khai thác
Tác động và Rủi ro
Giải pháp và Cập nhật
Thông tin tình báo và Phát hiện Mối đe dọa

Tổng quan về lỗ hổng

  • Lỗ hổng: Lỗ hổng thực thi mã từ xa (RCE) nghiêm trọng trong MITRE Caldera, được theo dõi với mã CVE-2025-27364. Nó ảnh hưởng đến các phiên bản MITRE Caldera lên đến 4.2.0 và 5.0.0 (trước commit 35bc06e) và được phân loại là lỗ hổng RCE cao nhất.
  • Ảnh hưởng: Lỗ hổng này ảnh hưởng đến khả năng của máy chủ trong việc biên dịch các tác nhân động (implants), cho phép kẻ tấn công từ xa thực thi mã tùy ý trên máy chủ thông qua một yêu cầu web được chế tạo đến API của máy chủ Caldera.

Chi tiết khai thác

  • Lỗ hổng có thể bị khai thác bằng cách lợi dụng cờ liên kết `gcc -extldflags` với các lệnh con, được sử dụng trong quá trình biên dịch của các tác nhân Sandcat hoặc Manx của Caldera.
  • Không yêu cầu xác thực cho việc khai thác, khiến nó trở nên nguy hiểm đặc biệt.

Tác động và Rủi ro

  • Nếu bị khai thác, lỗ hổng này có thể dẫn đến việc chiếm quyền điều khiển toàn bộ hệ thống, bao gồm cả việc truy cập trái phép, rò rỉ dữ liệu và di chuyển theo chiều ngang trong một mạng bị ảnh hưởng.
  • Lỗ hổng này cũng có thể được kết hợp với một vấn đề bảo mật khác của Parallels Desktop, CVE-2024-34331, để tăng gấp đôi các mối đe dọa.

Giải pháp và Cập nhật

  • Để khắc phục lỗ hổng, các nhà bảo vệ đề nghị cập nhật lên phiên bản cố định mới nhất, bằng cách kéo nhánh Master hoặc phiên bản 5.1.0 và cao hơn.
  • Thêm vào đó, người dùng nên hạn chế quyền truy cập vào API của Caldera bằng việc phân đoạn mạng và kiểm soát nghiêm ngặt, đồng thời theo dõi các biên dịch tác nhân hoặc hoạt động API bất thường để phát hiện sớm các mối đe dọa.

Thông tin tình báo và Phát hiện Mối đe dọa

  • Nền tảng SOC Prime cho phòng thủ mạng tập thể cung cấp các công cụ để phát hiện sớm và giảm thiểu các cuộc tấn công sử dụng các CVE đã được vũ khí hóa, bao gồm CVE-2025-27364.
  • Nền tảng này cung cấp một thư viện rộng lớn các quy tắc Sigma được hỗ trợ bởi bộ sản phẩm hoàn chỉnh cho phát hiện và tìm kiếm mối đe dọa tiên tiến, được lập bản đồ với khung MITRE ATT&CK.

Lỗ hổng này nhấn mạnh tầm quan trọng của việc cập nhật kịp thời và cấu hình bảo mật cho các công cụ như MITRE Caldera, đặc biệt trong các môi trường mà những công cụ này được sử dụng cho thử nghiệm xâm nhập và bắt chước đối thủ.