CISA предупреждает об уязвимости удаленного выполнения кода с помощью Discourse

CISA предупреждает об уязвимости удаленного выполнения кода с помощью Discourse

Источник · Перевод автора

CISA призвала разработчиков обновить Discourse версии 2.7.8 и ранее в уведомлении, разосланном в воскресенье, с предупреждением о том, что уязвимость удаленного выполнения кода помечена как «критическая».

Проблема была исправлена ​​в пятницу, и разработчики объяснили, что CVE-2021-41163 содержит «ошибку проверки в исходном геме aws-sdk-sns», которая может «привести к RCE в Discourse через злонамеренно созданный запрос».

Разработчики отметили, что для решения проблемы без обновления «запросы с путем, начинающимся с / webhooks / aws, могут быть заблокированы на прокси-сервере верхнего уровня».

Популярная дискуссионная платформа с открытым исходным кодом привлекает миллионы пользователей каждый месяц, что вызывает сообщение от CISA, призывающее к распространению обновлений.

Исследователи подробно описали проблемы в сообщениях в блогах и сообщили о проблеме Discourse, которая не ответила на запросы о комментариях.

BleepingComputer провела поиск на Shodan и обнаружила, что все экземпляры Discourse SaaS были исправлены.

Сариу Найяр (Saryu Nayyar), генеральный директор компании Gurucul, занимающейся кибербезопасностью, сказал, что Discourse «продолжает делать новости после того, как исследователи обнаружили уязвимость, которая позволяет злоумышленникам вызывать команды ОС на уровне администратора».

«Как для системных администраторов, так и для отдельных пользователей критически важно следить за информацией о безопасности от поставщиков программного обеспечения и оперативно устанавливать исправления. Мы не можем полагаться на Microsoft или других поставщиков ОС в том, чтобы они автоматически загружали исправления в наши системы. Пользователи программного обеспечения Discourse должны протестировать и установить этот патч как их самый важный приоритет», – сказал Найяр.

«Большинство пользовательских компьютеров не имеют доступа администратора компьютера. Если единственный доступ администратора на компьютере осуществляется через учетную запись администратора сети, если вы можете выполнять действия с правами администратора, у хакеров есть возможность отправить команду, которая может поставить под угрозу всю сеть».

Генеральный директор Haystack Solutions Дуг Бриттон (Doug Britton) сказал, что уязвимость опасна, поскольку ее можно запускать удаленно, не будучи уже аутентифицированным пользователем на сервере жертвы.

«Ошибки 10-го уровня, несомненно, являются наиболее серьезными уязвимостями. Discourse является основной коммуникационной платформой», – сказал Бриттон.