Phát hiện lỗ hổng trên công cụ dịch ngược Ghidra của NSA
Ghidra là công cụ được phát triển bởi Tổng cục nghiên cứu của NSA nhằm mục đích phân tích phần mềm độc hại. Công cụ này hỗ trợ được nhiều nền tảng như: Windows, macOS và Linux. Ghidra bắt đầu được cung cấp dưới dạng mã nguồn mở từ đầu năm 2019.
Vào cuối tháng 9/2019, các nhà nghiên cứu bảo mật đã phát hiện lỗ hổng trong công cụ Ghidra cho phép tin tặc tấn công thực thi mã tùy ý trong phạm vi ứng dụng bị ảnh hưởng. Lỗ hổng được định danh CVE-2019-16941 với số điểm CVSS là 9.8. Lỗ hổng này được xếp hạng mức độ nghiêm trọng cao.
Theo khuyến cáo, lỗ hổng chỉ bị kích hoạt khi chế độ thử nghiệm được bật, tồn tại trong tính năng đọc tệp XML của Bit Formd Explorer và có thể bị khai thác thông qua các tài liệu XML đã bị sửa đổi. Cụ thể là tại tệp tin FileBitPatternInfoReader.java tại đường dẫn Features/BytePatterns/src/main/java/ghidra/bitpatterns/info.
Lỗ hổng được khai thác bằng tệp XML được tạo bởi DumpFunctionPotypeInfoScript, nhưng sau đó được sửa đổi trực tiếp bởi tin tặc (ví dụ, để thực hiện hành vi gọi hàm java.lang.Runtime.exec).
Theo thông tin được NSA đăng trên Twitter, các điều kiện cần thiết để khai thác thành công lỗ hổng này khó có thể đạt được trong thực tế. Do đó, lỗ hổng này không phải là vấn đề nghiêm trọng, miễn là người dùng Ghidra không chấp nhận tệp XML từ các nguồn không xác định.
Cơ quan này cũng tiết lộ rằng, bản vá sẽ được phát hành trong phiên bản Ghidra 9.1, hiện đang trong giai đoạn thử nghiệm.
M.C
Security Week