CẢNH BÁO LỖ HỔNG 0DAY TRONG BỘ THƯ VIỆN PHPMAILER CHO PHÉP THỰC THI MÃ KHAI THÁC TỪ XA

09:23 AM 29/12/2016

Mã lỗi quốc tế: CVE-2016-10045, CVE-2016-10033. Mức độ: Nghiêm trọng Ảnh hưởng: tất cả ứng dụng sử dụng bộ thư viện PHP Mailer < 5.2.20

Thông tin lỗ hổng

PHP Mailer là bộ thư viện viết bằng PHP cho phép gửi mail từ các ứng dụng web. Điển hình là WordPress, Drupal, 1CRM, SugarCRM, Joomla đều sử dụng bộ thư viện này, ...hoặc các ứng dụng có chức năng gửi mail bằng PHP Mailer.

Lỗ hổng CVE-2016-10033 do Dawid Golunski - chuyên gia nghiên cứu bảo mật của Legal Hackers  công bố vào ngày 25.12.2016 ảnh hưởng tới PHPMailer trước 5.2.18, sau 2 ngày Dawid Golunski tiếp tục cập nhật lỗ hổng CVE-2016-10045 (ảnh hưởng tới  PHP Mailer < 5.2.20) vượt qua bản vá của lỗ hổng  CVE-2016-10033 mới được cập nhật trong phiên bản 5.2.18 trước đó. Hiện tại mã khai thác cũng đã được công bố.

Lỗ hổng trong PHP Mailer

Lợi dụng lỗ hổng này tin tặc có thể thực thi mã khai thác và tấn công vào máy chủ/ứng dụng web. Tất cả ứng dụng web, sử dụng chức năng, các form “Liên hệ/Contact/feedback”, “Đăng ký/Regsitration” hay “Reset password” có chức năng gửi mail dựa trên PHP Mailer đều có thể bị tấn công.

Đánh giá                                                          

Hiện tại theo đánh giá Dawid Golunski có khoảng 9 triệu người dùng sử dụng bộ thư viện này, đáng chú ý đây có thể chính là những người quản trị ứng dụng đã tải và cài đặt lên ứng dụng web để thực hiện chức năng gửi thư điện tử.

Minh họa Form có chức năng gửi mail được tích hợp trên website

Theo đánh giá của Cục An toàn thông tin, tại Việt Nam có rất nhiều ứng dụng web, cổng thông tin điện tử sử dụng chức năng “Liên hệ”, “Contact”, “Phản hồi” dựa trên PHP Mailer để làm chức năng giao tiếp giữa người dùng và đơn vị quản lý đều có thể là mục tiêu của kẻ tấn công. Do vậy mức ảnh hưởng của lỗ hổng này là không nhỏ.

Khuyến cáo

- Tạm thời ngắt tất cả các chức năng sử dụng PHP Mailer đến khi có bản vá được phát hành

- Theo dõi và cập nhật ngay khi có bản vá mới.

Tham khảo:

https://legalhackers.com/advisories/PHPMailer-Exploit-Remote-Code-Exec-CVE-2016-10045-Vuln-Patch-Bypass.html

http://legalhackers.com/advisories/PHPMailer-Exploit-Remote-Code-Exec-CVE-2016-10033-Vuln.html

https://github.com/PHPMailer/PHPMailer

http://thehackernews.com/2016/12/phpmailer-security.html

Vui lòng nhập email của bạn để đăng ký nhận cảnh báo an toàn thông tin từ Cục An toàn thông tin.