Rất nhiều lỗ hổng nghiêm trọng trong Foxit PDF Reader có thể cho phép thực thi mã tùy ý

Trong công cụ Foxit PDF Reader và Editor, các nhà nghiên cứu bảo mật đã phát hiện ra một danh sách dài các lỗ hổng bảo mật, và lỗ hổng nghiêm trọng nhất trong số đó có thể dẫn đến việc thực thi mã tùy ý.

1. Tóm tắt chung

Foxit PDF Reader là một công cụ PDF miễn phí đa ngôn ngữ có thể tạo, xem, chỉnh sửa, ký số và in các tệp PDF. Việc khai thác thành công lỗ hổng nghiêm trọng nhất trong số các lỗ hổng này có thể cho phép thực thi mã tùy ý trong trường hợp của người dùng đã đăng nhập thành công vào hệ thống.

Tùy thuộc vào các đặc quyền liên quan đến người dùng, kẻ tấn công sau đó có thể cài đặt các chương trình độc hại; xem, thay đổi hoặc xóa dữ liệu; hoặc tạo tài khoản mới với đầy đủ quyền của người dùng. Người dùng với tài khoản được cung cấp ít quyền hơn trên hệ thống sẽ ít bị ảnh hưởng hơn so với những người dùng quản trị.

2. Mức độ ảnh hưởng

Các phiên bản bị ảnh hưởng

• 2024.2.3.25184 và các phiên bản trước đó dành cho Windows.
• 2024.2.3.25184 và tất cả các phiên bản 2024.x trước đó dành cho Windows.
• 2023.3.0.23028 và tất cả các phiên bản 2023.x trước đó dành cho Windows.
• 13.1.3.22478 và tất cả các phiên bản 13.x trước đó dành cho Windows.
• 12.1.7.15526 và tất cả các phiên bản 12.x trước đó dành cho Windows.
• 11.2.10.53951 và các phiên bản trước đó dành cho Windows.
• 2024.2.3.64402 và tất cả các phiên bản 2024.x trước đó dành cho macOS.
• 2023.3.0.63083 và tất cả các phiên bản 2023.x trước đó dành cho macOS.
• 13.1.2.62201 và tất cả các phiên bản 13.x trước đó dành cho macOS.
• 12.1.5.55449 và tất cả các phiên bản 12.x trước đó cho macOS.
• 11.1.9.0524 và các phiên bản trước đó cho macOS.
• 2024.2.2.64388 và các phiên bản trước đó cho macOS.

Mức độ rủi ro

• Đối với các cơ quan Chính phủ:
  • Các cơ quan Chính phủ cấp trung ương: Nguy cơ cao
  • Các cơ quan Chính phủ cấp địa phương: Nguy cơ trung bình
• Doanh nghiệp:
  • Các tổ chức doanh nghiệp quy mô lớn và vừa: Nguy cơ cao
  • Các tổ chức doanh nghiệp quy mô nhỏ: Nguy cơ trung bình
• Người dùng cá nhân: Nguy cơ thấp

3. Chi tiết kỹ thuật

Dưới đây mô tả ba lỗ hổng bảo mật nghiêm trọng mà Foxit PDF Reader gặp phải:

• Lỗ hổng Use-After-Free: Ứng dụng có thể bị tấn công bởi lỗ hổng Use-After-Free và bị crash khi xử lý một số đối tượng như checkbox, đối tượng Annotation hoặc AcroForms, những đối tượng mà kẻ tấn công có thể sử dụng để thực thi mã từ xa hoặc trích xuất dữ liệu. Điều này xảy ra khi ứng dụng sử dụng con trỏ không hợp lệ hoặc một đối tượng đã được giải phóng mà không xác thực đúng cách, lỗi trong việc đồng bộ các đối tượng ghi chú trả lời (Reply Note) khi xử lý chú thích bằng JavaScript, hoặc lỗi cập nhật bộ nhớ đệm phông chữ sau khi xóa trang. Các lỗ hổng này được gán mã CVE-2024-28888 và CVE-2024-7725.
• Lỗ hổng Privilege Escalation: Ứng dụng có thể bị khai thác để leo thang đặc quyền khi thực hiện cập nhật hoặc cài đặt plugin. Kẻ tấn công có thể lợi dụng lỗ hổng này để xóa các tệp tùy ý hoặc thực thi mã tùy ý nhằm thực hiện các cuộc tấn công leo thang đặc quyền. Điều này xảy ra do gán quyền không chính xác trên tài nguyên sử dụng bởi dịch vụ cập nhật, xác thực chữ ký không đầy đủ, độ ngẫu nhiên yếu cho tên thư mục tạm trong quá trình cài đặt plugin, hoặc tải DLL không đúng cách. Mã CVE liên quan là CVE-2024-38393.

  

• Lỗ hổng Out-of-Bounds Read/Write: Ứng dụng có thể gặp lỗi đọc/ghi ngoài biên và gặp sự cố khi phân tích cú pháp các tệp PDF hoặc xử lý các đối tượng Annotation, tạo cơ hội cho hacker thực thi mã từ xa. Lỗi này xảy ra khi ứng dụng đọc hoặc ghi dữ liệu vượt quá giới hạn của một đối tượng hoặc bộ đệm. Lỗi này chưa có mã CVE.

Ngoài ra, thông tin về các lỗ hổng có mức độ nghiêm trọng thấp hơn như sau:

• Lỗ hổng Side-Loading: Ứng dụng có thể bị khai thác bởi lỗ hổng này khi thực hiện cập nhật. Kẻ tấn công có thể thay thế tệp cập nhật bằng một tệp độc hại để chạy payload độc hại. Điều này xảy ra khi ứng dụng không xác thực tính toàn vẹn của trình cập nhật khi chạy dịch vụ cập nhật. Mã CVE liên quan là CVE-2024-41605.
• Lỗ hổng Null Pointer Dereference: Ứng dụng có thể gặp sự cố do lỗ hổng này khi cuộn qua các tệp PDF chứa mục StructTreeRoot bất thường trong từ điển. Kẻ tấn công có thể khai thác để thực hiện cuộc tấn công Từ chối Dịch vụ (Denial of Service). Lỗi này do sử dụng con trỏ null mà không có xác thực hợp lệ. Lỗ hổng này chưa có mã CVE.
• Lỗ hổng Privilege Escalation: Ứng dụng có thể gặp vấn đề khi bị khai thác để leo thang đặc quyền trong quá trình hủy kích hoạt hoặc gỡ cài đặt, đặc biệt khi ứng dụng được cài đặt lại mà không thực hiện gỡ cài đặt trước đó. Kẻ tấn công có thể khai thác để thực thi các hành động độc hại. Lỗi này xảy ra do việc cài đặt sai quyền cho thư mục /usr/local/share/foxit, cho phép những kẻ tấn công có đặc quyền thấp có thể sửa đổi tệp lệnh trong thư mục. Lỗ hổng này chưa có mã CVE.

4. Khuyến nghị

Phía FPT Threat Intelligence khuyến nghị tổ chức và cá nhân một số cách để phòng chống những lỗ hổng này:

• Cập nhật bản vá: Cập nhật bản vá phần mềm Foxit PDF Reader theo khuyến nghị của hãng.
• Áp dụng Đặc quyền tối thiểu: Tất cả phần mềm nên chạy dưới quyền của người dùng không có đặc quyền quản trị, nhằm giảm thiểu tác động của một cuộc tấn công thành công.
• Sử dụng các công cụ phát hiện xâm nhập: Triển khai các hệ thống giám sát và cảnh báo về hoạt động bất thường.
• Đào tạo nhận thức của nhân viên, người dùng: Thông báo và giáo dục người dùng về các mối đe dọa đến từ các liên kết hypertext trong email hoặc tệp đính kèm, đặc biệt là từ các nguồn không đáng tin cậy. Nhắc nhở người dùng không truy cập vào các trang web không đáng tin cậy hoặc theo các liên kết từ các nguồn không xác định.

5. Tham khảo

1. Multiple Vulnerabilities in Foxit PDF Reader and Editor Could Allow for Arbitrary Code Execution
2. Security bulletins