CISA: Hai lỗ hổng cũ của Jasper đã bị khai thác

JasperReports Library của Tibco (công ty chuyên về tích hợp, quản lý API và phân tích dữ liệu được quảng cáo) là công cụ báo cáo mã nguồn mở phổ biến nhất thế giới. Phần mềm JasperReports Server được thiết kế dành cho những người dùng không có kỹ năng công nghệ tạo các báo cáo, các bảng điều khiển và những mô hình trực quan hóa.

CISA biết rằng hai lỗ hổng JasperReports được phát hiện vào năm 2018 và có khả năng đã bị khai thác trong các cuộc tấn công.

Một trong số đó là CVE-2018-18809, một sự cố directory traversal (một dạng tấn truy cập vào các thư mục và tập tin cấm trên máy chủ) nghiêm trọng trong JasperReports Library, có thể cho phép người dùng máy chủ web truy cập dữ liệu trên hệ thống máy chủ gồm cả thông tin đăng nhập để truy nhập vào các hệ thống khác. Lỗ hổng đã được xử lý vào tháng 3/2019. CVE-2018-18809 ảnh hưởng đến các sản phẩm của những nhà cung cấp lớn sử dụng JasperReports Library, bao gồm cả các sản phẩm IBM.

Lỗ hổng thứ hai là CVE-2018-5430, một sự cố tiết lộ thông tin nghiêm trọng ảnh hưởng đến JasperReports Server. Lỗ hổng bảo mật đã được xử lý vào tháng 4/2018.

Theo một khuyến nghị do Tibco công bố vào thời điểm đó: “Sự ảnh hưởng bao gồm quyền truy cập chỉ đọc của người dùng được xác thực đối với các tệp cấu hình ứng dụng web có chứa thông tin xác thực được sử dụng bởi máy chủ. Sau đó, các thông tin đăng nhập đó có thể được sử dụng để tác động đến những hệ thống bên ngoài được truy cập bởi máy chủ JasperReports Server”.

Những thông tin kỹ thuật chi và bằng chứng khai thác (PoC) của hai lỗ hổng đã được công bố công khai.

Tuy nhiên, dường như không có bất kỳ báo cáo công khai nào về việc hai lỗ hổng bị khai thác, nhưng CISA chỉ thêm các lỗ hổng vào danh sách “phải vá” nếu có bằng chứng đáng tin cậy về việc khai thác trong thực tế.

Các cơ quan liên bang đã được hướng dẫn vá lỗ hổng CVE-2018-5430 và CVE-2018-18809 trước ngày 19/1/2023. Các công ty sử dụng những sản phẩm bị ảnh hưởng cũng nên cài đặt các bản vá càng sớm càng tốt./.