Phân tích CVE-2023-1671 (Critical Pre-Auth Command Injection Vulnerability)

a) Mô tả

-CVE-2023-1671 là lỗ hổng Command Injection trước khi xác thực trong trình xử lý
cảnh báo của Sophos Web Appliance, cho phép kẻ tấn công thực thi mã từ xa(RCE).

-Sophos Web Appliance (SWA) là một thiết bị web gateway có chức năng như một proxy
web và quét nội dung có khả năng gây hại để tìm nhiều dạng phần mềm độc hại.

b) Ảnh hưởng

-Lỗ hổng này có điểm CVSS là 9.8, được xếp vào mức độ nghiêm trọng (CRITICAL).Lỗ
hổng này cho phép kẻ tấn công thực thi các lệnh tùy ý và không yêu cầu xác thực
trên hệ thống bị ảnh hưởng.

-Nó ảnh hưởng đến tất cả các phiên bản của Sophos Web Appliance trước phiên bản
4.3.10.4.

c) Phát hiện
-Lỗ hổng Sophos CVE-2023-1671 bắt nguồn từ một thành phần dễ bị tấn công có tên là
Warn-proceed Handler (trình xử lý cảnh báo), cho phép thao thao túng đầu vào
(Untrusted Data) dẫn đến lỗ hổng Command Injection.

-Input:
+ Input của người dùng được gửi qua "/index.php?c=blocked"
+ HTTP Methods : POST
-Cách thức tấn công:
+

d) Khắc phục
-Sophos khuyến nghị rằng Sophos Web Appliance được bảo vệ bởi tường lửa (giữ thiết
bị phía sau tường lửa) để đảm bảo rằng thiết bị không thể truy cập được qua
Internet công cộng.