Lỗ hổng leo thang đặc quyền được tìm thấy trong Rapid7 InsightIDR

Lỗ hổng leo thang đặc quyền được tìm thấy trong Rapid7 InsightIDR

June 5, 2019 | vietsunshine

Một lỗ hổng leo thang đặc quyền (privilege escalation vulnerability) dễ khai thác đã được tìm thấy và vá trong giải pháp phân tích kẻ xâm nhập InsightIDR của Rapid7.

InsightIDR là sản phẩm được Rapid7 quảng cáo là công cụ quản lý sự kiện và thông tin bảo mật đám mây (SIEM) để phát hiện và ứng phó mối đe dọa.

Nhà nghiên cứu Florian Bogner đã phát hiện ra rằng các tác nhân độc hại có thể tận dụng InsightIDR để leo thang đặc quyền. Vì đây là một lỗ hổng có thể khai thác cục bộ, kẻ tấn công yêu cầu các đặc quyền không phải của quản trị viên đối với hệ thống được nhắm mục tiêu và lỗ hổng có thể được khai thác để có quyền truy cập đầy đủ cấp độ hệ thống (SYSTEM-level) vào thiết bị.

Lỗ hổng bảo mật, được theo dõi là CVE-2019-5629, có liên quan đến ir_agent, một dịch vụ Windows được liên kết với InsightIDR. Dịch vụ này được chạy khi khởi động hệ thống với các đặc quyền system.

Bogner nhận thấy rằng khi hệ thống khởi động, dịch vụ sẽ cố tải một tệp DLL có tên python3.dll, nằm trong thư mục C:\DLLs\. Kẻ tấn công với các đặc quyền hạn chế có thể tạo thư mục và tệp DLL.

Lỗ hổng leo thang đặc quyền được tìm thấy trong Rapid7 InsightIDR_3

Trong một khai thác bằng chứng khái niệm (PoC) mà anh đã phát triển, nhà nghiên cứu đã tạo một tệp DLL độc hại bổ sung một người dùng quản trị viên mới vào hệ điều hành, cung cấp cho kẻ tấn công một tài khoản quản trị viên mới mà họ có thể sử dụng để giành quyền kiểm soát hoàn toàn hệ thống. Xem chi tiết về lỗ hổng tại đây.

Rapid7 đã được thông báo về lỗ hổng vào ngày 22 tháng 5 và xác nhận sự tồn tại của nó cùng ngày. Công ty bảo mật đã khắc phục sự cố, được phân loại là mức độ nghiêm trọng cao, khoảng một tuần sau đó với việc phát hành máy khách Windows Rapid7 Insight Agent phiên bản 2.6.5.

“Là một nhà cung cấp phần mềm bảo mật, dịch vụ và nghiên cứu, chúng tôi rất coi trọng vấn đề bảo mật và nhận ra tầm quan trọng của quyền riêng tư, bảo mật và tiếp cận cộng đồng. Vì vậy, chúng tôi cam kết giải quyết và báo cáo các vấn đề bảo mật thông qua cách tiếp cận phối hợp và mang tính xây dựng được thiết kế để mang lại sự bảo vệ tốt nhất cho người dùng công nghệ. Chúng tôi hoan nghênh Florian vì đã tuân thủ quy trình công bố có trách nhiệm khi anh ấy phát hiện ra lỗ hổng trong Windows Insight IDR Agent của chúng tôi,” Rapid7 cho biết.

“Khi nhóm của chúng tôi được cảnh báo về vấn đề này, chúng tôi đã làm việc nhanh chóng để giải quyết nó. Mặc dù tiêu chuẩn ngành là 45-60 ngày để xử lý và khắc phục lỗ hổng, nhóm chúng tôi đã phát hành thành công phiên bản mới (2.6.5) của tác nhân Insight khắc phục lỗ hổng mà Florian xác định chỉ một tuần sau khi chúng tôi xác nhận. Chúng tôi đánh giá rất cao nỗ lực của các nhà nghiên cứu bảo mật và người khám phá, những người chia sẻ thông tin về các vấn đề bảo mật với chúng tôi, cho chúng tôi cơ hội cải thiện sản phẩm và dịch vụ của mình và bảo vệ tốt hơn cho khách hàng của chúng tôi,” Rapid7 nói thêm.

Nguồn:  Privilege Escalation Vulnerability Found in Rapid7 InsightIDR

Xem thêm: Tenable – Giải pháp dò quét và quản lý lỗ hổng 

Tags: , ,