เว็บไซต์ที่ใช้ Novarain/Tassos Framework บน Joomla มีความเสี่ยงต่อช่องโหว่ด้านความปลอดภัยที่สำคัญ ซึ่งรวมถึงการอ่านไฟล์ การลบไฟล์ และการโจมตีแบบ SQL injection โดยไม่ได้รับอนุญาต ซึ่งอาจนำไปสู่การรันโค้ดจากระยะไกล (RCE) และการเข้าควบคุมสิทธิ์ผู้ดูแลระบบได้อย่างสมบูรณ์ หากไม่มีการแก้ไขแพตช์ ช่องโหว่เหล่านี้ส่งผลกระทบต่อส่วนขยายยอดนิยมหลายรายการของ Tassos และจำเป็นต้องได้รับการอัปเดตแพตช์อย่างเร่งด่วนผ่านรุ่นที่ได้รับการแก้ไขจากผู้จำหน่าย
Severity: วิกฤต
System Impact:
- Joomla (แพลตฟอร์ม)
- Novarain/Tassos Framework (plg_system_nrframework) v4.10.14 – v6.0.37
- Convert Forms v3.2.12 – v5.1.0
- EngageBox v6.0.0 – v7.1.0
- Google Structured Data v5.1.7 – v6.1.0
- Advanced Custom Fields v2.2.0 – v3.1.0
- Smile Pack v1.0.0 – v2.1.0
- Web server user
- Joomla database account
Technical Attack Steps:
- ผู้โจมตีใช้ประโยชน์จาก AJAX handler ที่ประมวลผลการทำงาน ‘task=include’ โดยไม่มีการตรวจสอบความปลอดภัยที่เพียงพอ
- ผู้โจมตีสามารถเรียกใช้คลาส PHP ภายใต้ root ของไซต์ Joomla ที่ใช้เมธอด ‘onAjax’ ซึ่งเปลี่ยนคลาสช่วยเหลือภายในให้เป็นช่องทางที่สามารถเข้าถึงได้จากระยะไกล
- คลาสหนึ่งจัดการการโหลด CSV ผิดพลาด ซึ่งสามารถบังคับให้อ่านไฟล์ใดๆ ที่ผู้ใช้เว็บเซิร์ฟเวอร์สามารถเข้าถึงได้
- คลาสอื่นเปิดเผยการทำงาน ‘remove’ ที่ลบเส้นทางที่ผู้โจมตีระบุโดยไม่มีการตรวจสอบเพิ่มเติม
- คลาสที่สามที่ใช้สำหรับการเติมฟิลด์แบบไดนามิก ส่งพารามิเตอร์ที่ผู้โจมตีควบคุมเข้าไปในการสืบค้นฐานข้อมูล ทำให้เกิดช่องโหว่ SQL injection ที่สามารถอ่านตารางและคอลัมน์ใดๆ ภายใต้บัญชีฐานข้อมูล Joomla
- การรวมความสามารถเหล่านี้เข้าด้วยกันทำให้ผู้โจมตีภายนอกสามารถขโมยข้อมูลเซสชันของผู้ดูแลระบบจากฐานข้อมูล เข้าสู่ส่วนหลังบ้าน และปรับใช้ส่วนขยายที่เป็นอันตราย หรือแก้ไขเทมเพลตเพื่อเข้าถึง Remote Code Execution (RCE) และเข้าควบคุมไซต์ได้อย่างสมบูรณ์
Recommendations:
Short Term:
- อัปเดตส่วนประกอบ Tassos ทั้งหมดทันทีผ่านกลไกการอัปเดตอย่างเป็นทางการของ Joomla
- ปิดการใช้งานปลั๊กอิน ‘plg_system_nrframework’ และส่วนขยายที่เกี่ยวข้องบนเว็บไซต์ที่เปิดเผยสู่สาธารณะชั่วคราวจนกว่าจะดำเนินการแพตช์เสร็จสิ้น
- จำกัดหรือกรองทราฟฟิก ‘com_ajax’ ที่เว็บเซิร์ฟเวอร์หรือ WAF (Web Application Firewall)
- ตรวจสอบบันทึก (logs) เพื่อหารายการร้องขอ ‘task=include’ ที่น่าสงสัย กิจกรรม AJAX ที่เกี่ยวข้องกับ CSV ที่ผิดปกติ หรือการลบไฟล์ที่ไม่สามารถอธิบายได้ ซึ่งอาจบ่งชี้ถึงความพยายามในการโจมตี
Long Term:
- ใช้ขั้นตอนการเสริมสร้างความปลอดภัยทั่วไป เช่น การจำกัดการเข้าถึงบทบาทผู้ดูแลระบบ และเพิ่มรหัสผ่านเพิ่มเติม
- ตรวจสอบและอัปเดตส่วนประกอบและส่วนขยายของระบบเป็นประจำเพื่อป้องกันช่องโหว่ที่ทราบ
Source: https://cybersecuritynews.com/joomla-novarain-tassos-framework-vulnerabilities/
Share this content: