Một lỗ hổng Formbricks nghiêm trọng đã được phát hiện trong công cụ quản lý trải nghiệm mã nguồn mở Formbricks, cho phép kẻ tấn công đặt lại mật khẩu của bất kỳ người dùng nào mà không cần ủy quyền. Lỗ hổng này, được công bố là khuyến nghị bảo mật GHSA-7229-q9pv-j6p4, xuất phát từ việc thiếu xác minh chữ ký JWT trong các phiên bản Formbricks trước 4.0.1.

Phân Tích Lỗ Hổng GHSA-7229-q9pv-j6p4

Bản Chất Kỹ Thuật của Lỗ Hổng

Formbricks sử dụng JSON Web Tokens (JWTs) để xác thực các yêu cầu đặt lại mật khẩu và xác minh email. Tuy nhiên, quy trình xác thực token đã giải mã payload của JWT mà không thực hiện xác minh chữ ký, thời gian hết hạn, nhà phát hành (issuer) hoặc đối tượng (audience) của nó. Điểm yếu cốt lõi nằm ở hàm verifyToken trong tệp apps/web/lib/jwt.ts.

Cụ thể, hàm verifyToken đã dựa vào jwt.decode thay vì jwt.verify. Hàm jwt.decode() chỉ đơn thuần giải mã phần payload của token mà không kiểm tra tính toàn vẹn hoặc tính xác thực của nó thông qua chữ ký. Điều này khác biệt hoàn toàn với jwt.verify(), vốn yêu cầu một khóa bí mật và thực hiện kiểm tra chữ ký để đảm bảo token không bị làm giả và được phát hành bởi nguồn đáng tin cậy.

Sự sơ suất này cho phép kẻ tấn công tạo ra các token với tiêu đề alg: "none". Khi một token có alg: "none" được sử dụng, nó báo hiệu rằng token không có chữ ký, và một hệ thống không kiểm tra chữ ký sẽ chấp nhận nó là hợp lệ. Kẻ tấn công có thể chèn các payload tùy ý chứa ID của bất kỳ người dùng nào vào token này.

Chi tiết về khuyến nghị bảo mật này có thể tham khảo tại: GitHub Security Advisory GHSA-7229-q9pv-j6p4.

Mức Độ Nghiêm Trọng và Tác Động

Đây là một lỗ hổng Formbricks có mức độ nghiêm trọng cao, gây ra rủi ro đáng kể về bảo mật thông tin. Nếu kẻ tấn công có được định danh nội bộ hợp lệ của một người dùng, họ có thể giả mạo token và buộc đặt lại mật khẩu, dẫn đến việc chiếm quyền điều khiển tài khoản người dùng.

• Đe dọa Tính Bảo Mật (Confidentiality): Thông tin cá nhân và dữ liệu nhạy cảm của người dùng có nguy cơ bị lộ khi kẻ tấn công có thể truy cập vào tài khoản.
• Đe dọa Tính Toàn Vẹn (Integrity): Kẻ tấn công có thể thay đổi thông tin hồ sơ, cài đặt hoặc thực hiện các hành động trái phép trong tài khoản người dùng, làm sai lệch dữ liệu.
• Không yêu cầu đặc quyền: Lỗ hổng này không đòi hỏi đặc quyền đặc biệt hoặc tương tác từ phía người dùng bị ảnh hưởng, khiến nó dễ bị khai thác.

Cơ Chế Khai Thác Lỗ Hổng

Do Formbricks không xác thực tính xác thực của token, việc chỉ sở hữu ID người dùng là đủ để chiếm đoạt bất kỳ tài khoản nào. Lỗ hổng này ảnh hưởng đến cả luồng đặt lại mật khẩu và xác minh email, cung cấp cho kẻ tấn công quyền truy cập cấp mạng để sửa đổi thông tin đăng nhập của người dùng.

Quy trình khai thác có thể hình dung như sau:

1. Kẻ tấn công thu thập ID người dùng hợp lệ (ví dụ: thông qua các phương tiện khác như thu thập thông tin công khai hoặc lỗi cấu hình).
2. Kẻ tấn công tạo một JSON Web Token (JWT) giả mạo với phần header được đặt thành {"alg": "none"} và phần payload chứa ID người dùng mục tiêu.
3. JWT giả mạo này sau đó được gửi đến điểm cuối (endpoint) đặt lại mật khẩu hoặc xác minh email của Formbricks.
4. Hàm verifyToken của Formbricks, do sử dụng jwt.decode, sẽ chấp nhận token này là hợp lệ, cho phép kẻ tấn công thực hiện hành động đặt lại mật khẩu hoặc xác minh email cho ID người dùng đó mà không cần xác minh danh tính thực sự.

Khả năng khai thác cao và sự thiếu vắng các biện pháp bảo vệ đầy đủ biến lỗ hổng Formbricks này thành một nguy cơ nghiêm trọng.

Biện Pháp Khắc Phục và Cập Nhật Bản Vá Bảo Mật

Các nhà bảo trì của Formbricks đã phát hành phiên bản 4.0.1 để khắc phục vấn đề. Bản sửa lỗi này thay thế jwt.decode bằng jwt.verify, bắt buộc thực hiện các kiểm tra chữ ký, thời gian hết hạn, nhà phát hành và đối tượng của token. Đây là một bản vá bảo mật quan trọng mà tất cả người dùng Formbricks cần triển khai ngay lập tức.

Để đảm bảo an toàn cho hệ thống và dữ liệu người dùng, việc nâng cấp lên phiên bản 4.0.1 là bắt buộc. Quá trình cập nhật thường bao gồm việc chạy lệnh cập nhật hoặc tải xuống phiên bản mới nhất của ứng dụng.

# Ví dụ về lệnh cập nhật (có thể thay đổi tùy thuộc vào cách triển khai của bạn)
# git pull origin main
# docker-compose pull
# docker-compose up -d

Đối với các nhà phát triển đang tích hợp Formbricks vào ứng dụng web của mình, điều cần thiết là phải đảm bảo tất cả các hành động dựa trên JWT đều sử dụng hàm jwt.verify với các khóa bí mật phù hợp và các tùy chọn xác thực chặt chẽ. Việc kiểm tra toàn diện JWT là nền tảng cho an toàn thông tin trong các ứng dụng hiện đại.

Tầm Quan Trọng của Xác Thực JWT Toàn Diện

Sự cố lỗ hổng Formbricks này một lần nữa nhấn mạnh tầm quan trọng của việc xác thực JWT toàn diện. JWT là một tiêu chuẩn mạnh mẽ để truyền tải thông tin một cách an toàn giữa các bên dưới dạng đối tượng JSON. Tuy nhiên, hiệu quả của nó phụ thuộc hoàn toàn vào việc triển khai đúng cách, đặc biệt là quy trình xác minh.

Việc bỏ qua các bước xác minh chữ ký, thời gian hết hạn hoặc các trường dữ liệu quan trọng khác có thể dẫn đến những lỗ hổng nghiêm trọng, như đã thấy trong trường hợp này. Các nhà phát triển cần luôn tuân thủ các thực tiễn tốt nhất về bảo mật khi làm việc với JWT:

• Luôn sử dụng jwt.verify thay vì jwt.decode trong các tình huống yêu cầu xác thực.
• Đảm bảo khóa bí mật (secret key) đủ mạnh và được quản lý an toàn.
• Xác minh các claims như exp (expiration time), nbf (not before time), iss (issuer), và aud (audience) để ngăn chặn các cuộc tấn công replay và đảm bảo token được sử dụng đúng mục đích.

Cho đến khi các hệ thống thực thi đầy đủ các kiểm tra chữ ký và claims, kẻ tấn công có thể khai thác ngay cả những sơ suất tưởng chừng nhỏ nhất để xâm nhập tài khoản người dùng và gây ra các thiệt hại đáng kể. Tất cả người dùng Formbricks nên nâng cấp lên phiên bản 4.0.1 mà không chậm trễ để khôi phục các biện pháp bảo vệ xác thực phù hợp và duy trì an toàn thông tin cho hệ thống của mình.