تاریخچه:

• 21/02/2023 – نسخه 1.0 – انتشار اولیه

خلاصه

فوریه 2023، تیم پروژه MISP توصیه‌نامه‌هایی را درباره دو آسیب‌پذیری حیاتی تزریق کد SQL در پلتفرم هوش تهدید و اشتراک MISP منتشر کردند. این تیم تصمیم گرفت که فرایند رفع آسیب‌پذیری را در سکوت دنبال کند و در ماه‌های نوامبر و دسامبر 2022 چند به‌روزرسانی منتشر کرد تا کاربران فرصت کافی برای نصب نسخه‌های امن داشته باشند.

جزئیات فنی

• CVE-2022-48329

پلتفرم MISP به کاربران امکان می‌داد تا برای نقاط پایانی خاصی مثل RestSearch، ترتیب فیلدها را سفارشی‌سازی کنند. این ترتیب با استفاده از پارامترهای URL و با قالب _{order:field_name/} مشخص می‌شد. اما پارامتر _order از  تابع ()CakePHP _find از نظر SQLi (تزریق SQL) امن نیست در نتیجه تیم پروژه MISP قابلیت لیست مجاز را برای فیلدها معرفی کردند که وجود فیلدهایی با ترتیب خاص را کنترل می‌کند.

هیچ یک از مرتب‌سازی‌هایی که از _{sort:field_name/direction:asc|desc/} استفاده می‌کنند، تحت تأثیر این آسیب‌پذیری قرار ندارند.

• CVE-2022-48328

بخش _CRUD از پلتفرم MISP امکان ارسال پارامترهایی سفارشی را برای جستجو فراهم می‌کند و گرچه مقادیر جستجو از نظر SQLi امن هستند و به خوبی پاکسازی شده‌اند اما نام خود فیلدها این شرایط را ندارند. امکان سوءاستفاده از این شرایط با طراحی درخواست‌هایی هوشمندانه وجود دارد.

محصولات تحت تأثیر این آسیب‌پذیری‌ها عبارتند از:

• CVE-2022-48329:
  • MISP پیش از نسخه 2.4.166؛
• CVE-2022-48328:
  • MISP پیش از نسخه 2.4.167

توصیه‌ها

از آنجا که تیم پروژه نسخه 2.4.167 را در تاریخ 22 دسامبر سال 2022 منتشر کرده، انتظار می‌رود که بیشتر نمونه‌های MISP امن باشند. با این وجود CERT-EU توصیه کرده که نسخه نمونه‌های در حال اجرای MISP بررسی شده و در اسرع وقت، در صورت امکان پلتفرم هوش تهدید و اشتراک MISP به جدیدترین نسخه به‌روزرسانی شود.

منابع

• https://www.misp-project.org/security/
• https://www.misp-project.org/2023/02/20/Critical_SQL_Injection_Vulnerabilities_Fixed.html/