Discourse – forum komunitas open-source yang sangat populer dan platform manajemen milis – memiliki bug eksekusi kode jarak jauh (RCE) kritis yang diperbaiki dalam pembaruan mendesak pada hari Jumat.

Dilacak sebagai CVE-2021-41163, cacat ditemukan di Discourse versi 2.7.8 dan sebelumnya. Ini dinilai dengan skor keparahan CVSS tip-top 10 dan harus dianggap sebagai perbaikan darurat.

Discourse digunakan secara luas dan sangat populer, dikenal sebagai platform perangkat lunak forum yang bersaing dalam hal kegunaan. Ini menawarkan fitur yang telah dipopulerkan oleh jaringan media sosial, seperti pengguliran tak terbatas, pembaruan langsung, lampiran seret dan lepas, dan banyak lagi.



Menurut statistik pangsa pasar dan penggunaan web, situs web teratas yang menggunakan Wacana adalah sellercentral.amazon .com, yang melihat banjir 30 juta pengguna bulanan. Wacana juga digunakan untuk menjalankan forum komunitas untuk acara radio populer situs web Car Talk.
Top menggunakan Wacana. Sumber: SimilarTech.

Given Discourse digunakan secara luas, Cybersecurity and Infrastructure Agency (CISA) pada hari Minggu mendesak pengembang untuk memperbarui ke versi 2.7.9 atau yang lebih baru untuk memperbaiki bug atau untuk menerapkan solusi yang diperlukan.

Eksploitasi dapat dipicu oleh penyerang yang mengirimkan permintaan jahat yang dapat menyebabkan RCE karena kurangnya validasi dalam nilai subscribe_url.

Perbarui atau Terapkan Solusinya

Masalah ini telah ditambal dalam versi beta terbaru, stabil, dan lulus uji dari Discourse.

Bagi admin yang dapat Jangan perbarui ke 2.7.9 atau lebih baru, solusinya adalah memblokir permintaan yang dimulai dengan "/webhooks/aws path" di proxy hulu. analysis about it.

Detail dalam analisisnya – yang dia rilis hanya sehari setelah perbaikan dikeluarkan – bisa jadi cukup bagi penyerang untuk mengeksploitasinya. Peneliti, "joernchen," mengatakan kepada BleepingComputer bahwa dia melaporkan masalah tersebut ke tim Discourse segera setelah menemukannya pada 10 Oktober dan bahwa patch itu sendiri memudahkan untuk mengetahui bagaimana exploit akan bekerja. Versi Wacana -service (SaaS) telah diperbaiki pada hari Rabu, mungkin masih ada banyak penerapan yang rentan. Pencarian Shodan menarik 8.640 penyebaran Wacana pada Senin pagi.



Tidak Dapat Memperbaikinya Jika Anda Tidak Tahu Tentang Ini

Greg Fitzgerald, salah satu pendiri Sevco Security, mengatakan kepada Threatpost pada hari Senin bahwa kerentanan RCE ini menunjukkan betapa rumitnya hal itu bagi organisasi untuk menilai permukaan serangan mereka.

“Ada lebih banyak data yang mengalir di sekitar organisasi daripada sebelumnya,” katanya melalui email. “Ada lebih banyak solusi yang diinstal daripada sebelumnya. Keragaman perangkat, pengguna, dan aplikasi yang digunakan oleh bisnis lebih kompleks daripada sebelumnya.”

Oleh karena itu, sangat penting untuk mendapatkan inventaris aset dengan benar, lanjutnya. “Semua 'sebelumnya' ini telah membuat tugas menciptakan inventaris aset TI yang akurat – dan karenanya memahami seperti apa permukaan serangan Anda yang sebenarnya – sangat menantang bagi perusahaan,” kata Fitzgerald. “Perusahaan cenderung melakukan pekerjaan yang sangat baik untuk menambal kerentanan yang mereka ketahui dengan cepat, tetapi ancaman nyata yang bersembunyi di bawah permukaan bagi sebagian besar organisasi adalah aset TI yang mereka lupakan, yang sering kali membuat jalur mudah ke data bagi penyerang. .”

Threatpost telah menghubungi Discourse untuk detail lebih lanjut dan untuk menanyakan apakah tim telah melihat tanda-tanda bahwa RCE telah dieksploitasi di alam liar atau tidak. Kami akan memperbarui cerita ketika kami mendengarnya kembali.