Kerentanan di ImpressCMS dapat memungkinkan penyerang yang tidak diautentikasi untuk melewati perlindungan injeksi SQL perangkat lunak untuk mencapai eksekusi kode jarak jauh (RCE), seorang peneliti keamanan telah memperingatkan. Kerentanan, SQL cacat injeksi (CVE-2021-26599) dan bug kontrol akses, kini telah ditambal dalam versi terbaru dari sistem manajemen konten sumber terbuka (CMS) yang populer. alat keamanan – pada akhirnya berarti bahwa fitur yang dirancang untuk melindungi dari eksploitasi injeksi SQL dapat disalahgunakan dan diubah terhadap aplikasi host. Serangan yang tidak diautentikasi Peneliti Egidio “EgiX” Romano, mengatakan bahwa kerentanan ini “harus dapat dieksploitasi hanya oleh pengguna ImpressCMS yang terdaftar”. Namun, karena pemeriksaan kontrol akses yang salah, itu dapat dilewati (CVE-2021-26598) dan dieksploitasi oleh penyerang yang tidak diautentikasi juga. Romano mengatakan kepada The Daily Swig: “Untuk berhasil mengeksploitasi kerentanan ini, Anda harus berurusan dengan Protector, yaitu semacam Firewall Aplikasi Web (WAF) bawaan di ImpressCMS, dan di sinilah ide untuk menggunakan teknik Injeksi SQL `baru` ini muncul. “Bagian yang menarik adalah bahwa teknik yang sama ini, yang seharusnya 20 tahun lama, dapat disalahgunakan juga untuk melewati Firewall Aplikasi Web saat ini,” kata Romano, yang mengklaim bahwa Set Aturan Inti ModSecurity OWASP dan WAF Cloudflare termasuk di antara mereka yang berisiko. to RCE. Ada beberapa batasan, yaitu bahwa ImpressCMS harus diinstal dengan driver database PDO, yang memungkinkan untuk kueri yang ditumpuk, tetapi “secara umum, hanya ada dua persyaratan untuk SQL Injection ini. chnique untuk bekerja – aplikasi harus rentan terhadap injeksi SQL, tentu saja, [dan] aplikasi harus mendukung eksekusi beberapa kueri SQL (bertumpuk). kedua bug sekarang telah diperbaiki. Romano mengklaim, bagaimanapun, bahwa dua teknologi keamanan utama – ModSecurity Core Rule Set (CRS) OWASP dan WAF Cloudflare – dapat dilewati melalui teknik ini. Romano mengatakan kepada The Daily Swig bahwa ketika dikonfigurasi dengan `Paranoia Level 1 ` (konfigurasi default), aturan deteksi injeksi SQL ModSecurity dapat dilewati dengan "versi yang sedikit dimodifikasi" dari teknik yang awalnya dikembangkan terhadap ImpressCMS Protector. Dia menambahkan: "CRS juga bergantung pada libinjection untuk mendeteksi pola Injeksi SQL, pustaka sumber tempat saya menemukan bug yang memungkinkan untuk melewati mekanisme deteksinya.” “Ini akan melewati aturan deteksi libinjection es, tetapi tidak semua aturan CRS,” tambahnya. Berbicara kepada The Daily Swig, co-lead proyek ModSecurity Christian Folini menegaskan bahwa CRS rentan. Dia menambahkan: “Melewati instalasi default tidak diterima, tetapi mereka diperbolehkan. diterima sampai batas tertentu. “Kami menyarankan pengguna dengan kebutuhan keamanan yang lebih tinggi, pada dasarnya semua orang yang berbisnis di internet, untuk menaikkan tingkat paranoia mereka ke 2 atau lebih tinggi di mana kami mendeteksi bypass seperti yang dimaksud.” Payload diblokir Berbicara dengan The Daily Swig , Michael Tremante, manajer produk di Cloudflare, mengatakan bahwa muatan yang dirinci di blog Romano diblokir oleh WAF-nya. Tremante berkomentar: “Sejauh yang kami tahu, peneliti menurunkan sensitivitas WAF (misalnya tingkat dan ambang paranoia OWASP) ke titik di mana muatan tidak lagi terdeteksi. “Kemungkinannya adalah mereka tidak mengaktifkan semua aturan WAF. Namun, tanpa informasi tambahan, kami tidak dapat mengonfirmasi bahwa bypass telah ditemukan. “Kami juga ingin mengingatkan para peneliti bahwa aktivitas pengujian apa pun terhadap WAF kami harus dilakukan di domain program hadiah bug yang dihadapi publik Cloudflare karena seringnya bypass harus dilakukan untuk sangat atau sengaja melewatkan pengaturan WAF yang dikonfigurasi. Domain uji Cloudflare dikonfigurasi dengan benar dengan pengaturan WAF yang baik. “Jika ada muatan tambahan, kami menyambut para peneliti untuk mengirimkannya melalui program karunia bug Cloudflare, karena umpan balik memungkinkan kami untuk membuat produk kami lebih baik.” Risiko lebih lanjut Pos blog Romano berisi lebih banyak detail teknis pada kerentanan. Peneliti mengatakan bahwa dia memiliki "perasaan yang baik bahwa sebagian besar produk IDS/IPS/WAF di luar sana mungkin rentan terhadap teknik injeksi SQL ini", menambahkan bahwa dia tidak, bagaimanapun, memiliki waktu dan sumber daya untuk menguji semuanya. Pengguna harus segera memperbarui ke versi terbaru ImpressCMS (1.4.4) Referensi PortSwigger.com