抓緊修補(bǔ)!Discourse嚴(yán)重安全漏洞可致代碼執(zhí)行錯(cuò)誤

周五，開發(fā)人員通過緊急更新修復(fù)了一個(gè)嚴(yán)重的Discourse遠(yuǎn)程代碼執(zhí)行 (RCE) 漏洞，跟蹤為，CVE-2021-41163。該漏洞的CVSS v3得分為10.0。

Discourse 是一個(gè)流行的開源論壇和郵件列表管理軟件應(yīng)用程序。提供出色的可用性和集成潛力，同時(shí)重點(diǎn)關(guān)注于社交功能。

易受攻擊的版本是2.7.8及更早版本，解決風(fēng)險(xiǎn)的最佳方法是更新到周五發(fā)布的2.7.9或更高版本。最新的測試版和測試版也已針對該漏洞進(jìn)行了修補(bǔ)。

根據(jù)官方統(tǒng)計(jì)，僅在2021年9月，Discourse就發(fā)布了350萬條被4.05億用戶瀏覽的帖子。

由于Discourse的廣泛使用，CISA也發(fā)布了一個(gè)關(guān)于這個(gè)缺陷的警告，敦促論壇管理員更新到最新的可用版本或者應(yīng)用必要的變通方法。

該漏洞是通過向易受攻擊的軟件發(fā)送惡意制作的請求來觸發(fā)的，利用了“subscribe-url”值中缺乏驗(yàn)證的優(yōu)勢。

使用用戶提供的輸入調(diào)用 `open()` 允許以Web應(yīng)用程序運(yùn)行的任何權(quán)限調(diào)用操作系統(tǒng)命令，通常是“www-data”(admin)。

cve - 201 -41163漏洞的影響以及利用它(發(fā)送未經(jīng)身份驗(yàn)證的POST)的容易程度會(huì)導(dǎo)致CVSS v3得分為10.0(嚴(yán)重)，因此打補(bǔ)丁應(yīng)被視為緊急情況。

Shodan搜索返回了8641個(gè)Discourse部署，其中許多仍有可能暴露于RCE的開發(fā)潛力。不過，自周三以來，所有SaaS實(shí)例都已打了補(bǔ)丁。

任何不能更新到最新版本的人，建議在上游代理上用'/webhooks/aws'開頭的路徑阻止請求。

目前，該缺陷仍在進(jìn)行技術(shù)分析，但發(fā)現(xiàn)它的研究人員已經(jīng)發(fā)表了豐富的技術(shù)細(xì)節(jié) 。

在修復(fù)后的幾天內(nèi)發(fā)布過多的漏洞細(xì)節(jié)，只會(huì)給黑客提供如何利用漏洞的指南。

隨著網(wǎng)絡(luò)攻擊事件愈發(fā)頻繁，安全已成為重點(diǎn)關(guān)注問題。尤其90%的網(wǎng)絡(luò)安全事件與安全漏洞被利用有關(guān)，這就要求企業(yè)在做軟件開發(fā)時(shí)更要關(guān)注軟件安全問題，尤其在開發(fā)階段，使用靜態(tài)代碼檢測工具可以及時(shí)發(fā)現(xiàn)代碼缺陷及安全漏洞等易引起網(wǎng)絡(luò)安全事故的問題，第一時(shí)間修正漏洞及缺陷不但有利于提高軟件自身安全性，也能為網(wǎng)絡(luò)安全防御做好重要補(bǔ)充工作。

建議企業(yè)除了安裝防護(hù)軟件之外，及時(shí)檢測、發(fā)現(xiàn)網(wǎng)絡(luò)系統(tǒng)中的薄弱環(huán)節(jié)，并進(jìn)行維護(hù)和修補(bǔ)，減小被黑客盯上的概率。同時(shí)，對于軟件開發(fā)企業(yè)，不應(yīng)只關(guān)注在軟件開發(fā)的功能和效率，同時(shí)要將安全問題融入至開發(fā)周期當(dāng)中，尤其經(jīng)常被忽略的代碼缺陷等問題。在靜態(tài)代碼安全檢測中，不但可以查找、定位代碼的缺陷問題，同時(shí)還能檢測出一些不需要運(yùn)行即可發(fā)現(xiàn)的安全漏洞問題。

參讀鏈接：

https://www.bleepingcomputer.com/news/security/cisa-urges-admins-to-patch-critical-discourse-code-execution-bug/

https://securityaffairs.co/wordpress/123775/hacking/discourse-rce.html