D-Link ผู้ให้บริการโซลูชันเครือข่ายของไต้หวัน ได้แก้ไขช่องโหว่ด้านความปลอดภัยระดับ Critical 2 รายการ ที่ทำให้ผู้โจมตีสามารถสั่งรันโค้ดที่เป็นอันตรายจากระยะไกลได้ (RCE) ซึ่งส่งผลกระทบต่อชุดการจัดการเครือข่าย D-View 8 เวอร์ชัน 2.0.1.27 และต่ำกว่า
D-View เป็นเครื่องมือการจัดการเครือข่ายขั้นสูงที่ถูกพัฒนาโดย D-Link ที่ได้รับการออกแบบโดยคำนึงถึงความต้องการที่เปลี่ยนแปลงไปขององค์กรขนาดกลาง และขนาดใหญ่ ซอฟต์แวร์นี้ให้ความสามารถในการตรวจสอบ ควบคุมการตั้งค่าอุปกรณ์ และสร้างแผนที่เครือข่าย ทำให้สามารถจัดการเครือข่ายได้อย่างมีประสิทธิภาพมากขึ้น และใช้เวลาน้อยลง
เมื่อปลายปีที่ผ่านมา นักวิจัยด้านความปลอดภัยที่เข้าร่วมโครงการ Zero Day Initiative (ZDI) ของ Trend Micro ได้ค้นพบช่องโหว่ 6 รายการ ที่ส่งผลกระทบต่อ D-View และได้รายงานไปยัง D-Link ในวันศุกร์ที่ 23 ธันวาคม 2022
ช่องโหว่ 2 รายการที่พบ มีคะแนน CVSS: 9.8 ความรุนแรงระดับ Critical มีดังนี้
- CVE-2023-32165 เป็นช่องโหว่ในการสั่งรันโค้ดที่เป็นอันตรายจากระยะไกล ทำให้ผู้โจมตีที่สามารถใช้ประโยชน์จากช่องโหว่ดังกล่าวได้สิทธิ์ SYSTEM ที่เป็นสิทธิ์สูงสุดสำหรับ Windows ส่งผลให้สามารถเข้าควบคุมระบบได้อย่างสมบูรณ์
- CVE-2023-32169 เป็นช่องโหว่ที่ทำให้สามารถข้ามขั้นตอนการพิสูจน์ตัวตน (Authentication Bypass) โดยใช้คีย์การเข้ารหัสแบบฮาร์ดโค้ดใน TokenUtils class ของซอฟแวร์ ส่งผลทำให้ผู้โจมตีที่สามารถใช้ประโยชน์จากช่องโหว่ดังกล่าวสามารถยกระดับสิทธิ์ เข้าถึงข้อมูล และเปลี่ยนแปลงการกำหนดค่า และการตั้งค่าบนซอฟต์แวร์ รวมทั้งการติดตั้งแบ็คดอร์ และมัลแวร์วัน
พุธที่ 17 พฤษภาคม 2023 ที่ผ่านมา D-Link ทราบถึงปัญหาด้านความปลอดภัยจากรายงาน จึงได้เริ่มการตรวจสอบ และพัฒนาแพตช์ความปลอดภัยทันที และยังคงแนะนำให้ ผู้ดูแลระบบอัปเกรดเป็นเวอร์ชัน 2.0.1.28 ที่ได้รับการแก้ไข อย่างไรก็ตาม เนื่องจากประกาศยังเตือนว่า แพตช์ดังกล่าวเป็นซอฟต์แวร์เวอร์ชันเบต้า หรือเวอร์ชั่นแก้ไขด่วนที่ยังอยู่ในขั้นตอนการทดสอบขั้นสุดท้าย การอัปเกรดเป็นเวอร์ชัน 2.0.1.28 อาจทำให้การทำงานของ D-View ไม่เสถียรได้
นอกจากนี้ ยังแนะนําให้ผู้ใช้งานตรวจสอบเวอร์ชันฮาร์ดแวร์ของผลิตภัณฑ์ โดยการตรวจสอบ underside label หรือ web configuration panel ก่อนที่จะดาวน์โหลดอัปเดตเฟิร์มแวร์ที่เกี่ยวข้อง
ที่มา : bleepingcomputer
You must be logged in to post a comment.