นักวิจัยด้านความปลอดภัยทางไซเบอร์ที่ Software Secured บริษัทสัญชาติแคนาดาระบุช่องโหว่ร้ายแรงใน Less.js ซึ่งเป็นภาษาตัวประมวลผลล่วงหน้าที่ใช้กันอย่างแพร่หลาย ตามรายงานที่เผยแพร่โดยบริษัท ช่องโหว่อาจถูกโจมตีด้วยวิธีการรันคำสั่งที่เป็นอันตรายจากระยะไกล (Remote Code Execution)
นักวิจัยรายงานว่า Less.js เมื่อแปลงเป็นโค้ด CSS ที่สมบูรณ์ และใช้เพื่อช่วยในการเขียน CSS สำหรับเว็บไซต์ได้ นอกจากนี้ Less.js ยังรองรับ ปลั๊กอินจากการ Remote อีกด้วย
ผู้โจมตีจึงสามารถใช้ประโยชน์จากช่องทางนี้ในการเรียกใช้โค้ดคำสั่งจากระยะไกลได้ ทุกเวอร์ชั่นของ Less.js รองรับการ Remote จึงทำให้มีความเสี่ยงกับช่องโหว่นี้ทั้งหมด และถ้ามีการโจมตีด้วยช่องโหว่นี้กับ AWS ผู้โจมตีจะสามารถ Run Shell Script ผ่าน Less.js ได้ ซึ่งอาจทำให้ผู้โจมตีสามารถเข้าถึง AWS Secret Keys ได้
มีรายงานว่าปัจจุบันมีการทำ PoC (proof of concept) และการสาธิตการโจมตีจริงใน CodePen.io ซึ่งเป็นเว็บไซต์สำหรับสร้างข้อมูลโค้ด Less.js ผู้ดำเนินการเว็บไซต์นี้ได้รับแจ้งเกี่ยวกับเรื่องนี้และได้มีการพัฒนาโซลูชันเพื่อแก้ไขช่องโหว่นี้แล้ว
ช่องโหว่นี้จำเป็นต้องมีเงื่อนไขบางประการจึงจะโจมตีสำเร็จ ตัวอย่างสถานการณ์ที่มีช่องโหว่อาจเป็น feature ที่ยอมรับการกำหนด styling แบบกำหนดเองผ่าน Less code จากผู้ใช้ เมื่ออยู่ในการกำหนดค่าที่มีช่องโหว่ จึงง่ายต่อการโจมตีจากแอปพลิเคชัน ซึ่ง Less ยังไม่ได้แก้ไขจุดบกพร่องจุดนี้
แนะนำให้ผู้ใช้ Less.js ลดความเสี่ยงโดยพิจารณาสิ่งต่อไปนี้ แทนที่จะใช้ Less code ให้อนุญาตให้ใช้ CSS ปกติแทน และ ให้แปลงรหัส Less บนฝั่งไคลเอ็นต์เพื่อหลีกเลี่ยงภัยคุกคามจากการโจมตี SSRF และ RCE
ที่มา : ehackingnews
You must be logged in to post a comment.