Một nhà nghiên cứu về an ninh mạng gần đây đã công bố chi tiết và PoC về lỗ hổng zero-day trong phpMyAdmin – một trong những ứng dụng phổ biến nhất để quản lý cơ sở dữ liệu MySQL và MariaDB.
phpMyAdmin là một công cụ quản trị nguồn mở và miễn phí cho MySQL và MariaDB được sử dụng rộng rãi để quản lý cơ sở dữ liệu cho các trang web được tạo bằng WordPress, Joomla và nhiều nền tảng quản lý nội dung khác.
Được phát hiện bởi nhà nghiên cứu bảo mật và pentester Manual Garcia Cardenas, lỗ hổng bảo mật là lỗ hổng giả mạo yêu cầu chéo (cross-site request forgery – CSRF), còn được gọi là XSRF, một loại tấn công nổi tiếng trong đó kẻ tấn công lừa người dùng xác thực để thực hiện một hành động không mong muốn.
Được xác định là CVE-2019-12922, lỗ hổng đã được xếp hạng trung bình vì phạm vi giới hạn của nó chỉ cho phép kẻ tấn công xóa bất kỳ máy chủ nào được định cấu hình trong trang thiết lập của bảng phpMyAdmin trên máy chủ của nạn nhân.
Tất cả những gì kẻ tấn công cần làm là gửi một URL được tạo cho các quản trị viên web được nhắm mục tiêu, những người đã đăng nhập vào bảng điều khiển phpmyAdmin của họ trên cùng một trình duyệt, lừa họ vô tình xóa máy chủ được định cấu hình bằng cách nhấp vào nó.
“Kẻ tấn công có thể dễ dàng tạo ra một hyperlink giả mạo có chứa yêu cầu muốn thực hiện thay mặt người dùng, bằng cách này có thể thực hiện một cuộc tấn công CSRF do sử dụng sai phương thức HTTP”, Cardenas giải thích trong một bài đăng.
Tuy nhiên, lỗ hổng là dễ dàng để khai thác vì ngoài việc biết URL của máy chủ được nhắm mục tiêu, kẻ tấn công không cần biết bất kỳ thông tin nào khác, như tên của cơ sở dữ liệu.
Mã khai thác PoC
Lỗ hổng ảnh hưởng đến tất cả các phiên bản phpMyAdmin, bao gồm 4.9.0.1, đây là phiên bản mới nhất của phần mềm tại thời điểm viết. Lỗ hổng bảo mật cũng nằm trong phpMyAdmin 5.0.0-alpha1, được phát hành vào tháng 7 năm 2019, Cardenas nói với The Hacker News.
Cardenas đã phát hiện ra lỗ hổng này vào tháng 6 năm 2019, và cũng có trách nhiệm báo cáo nó cho những người bảo trì dự án. Tuy nhiên, sau khi các nhà bảo trì phpMyAdmin không thể vá lỗ hổng trong vòng 90 ngày kể từ khi được thông báo, nhà nghiên cứu đã quyết định công bố các chi tiết về lỗ hổng và PoC cho công chúng vào ngày 13 tháng 9.
Để giải quyết lỗ hổng này, Cardenas khuyến nghị “thực hiện trong mỗi call xác thực biến số mã thông báo, như đã thực hiện trong các yêu cầu phpMyAdmin khác”, như một giải pháp.
Cho đến khi các nhà bảo trì vá lỗ hổng, quản trị viên trang web và nhà cung cấp dịch vụ lưu trữ được khuyến để tránh nhấp vào bất kỳ liên kết đáng ngờ nào.
Lỗ hổng ảnh hưởng đến tất cả các phiên bản phpMyAdmin, bao gồm 4.9.0.1, đây là phiên bản mới nhất của phần mềm tại thời điểm viết. Lỗ hổng bảo mật cũng nằm trong phpMyAdmin 5.0.0-alpha1, được phát hành vào tháng 7 năm 2019, Cardenas nói với The Hacker News.
