Arcserve ผู้ให้บริการด้านการปกป้องข้อมูล ได้ออกแพตซ์อัปเดตความปลอดภัยเพื่อแก้ไขช่องโหว่ระดับสูงใน Unified Data Protection (UDP) ที่มีหมายเลข CVE-2023-26258 ที่ทำให้สามารถหลีกเลี่ยงการตรวจสอบสิทธิ์ และได้รับสิทธิ์ของผู้ดูแลระบบได้
Arcserve Unified Data Protection (UDP) เป็นโซลูชันการป้องกันข้อมูล และแรนซัมแวร์ที่ออกแบบมาเพื่อช่วยป้องกันการโจมตีจากแรนซัมแวร์ กู้คืนข้อมูลที่ถูกโจมตี และเปิดใช้การกู้คืนระบบที่มีประสิทธิภาพ เพื่อให้มั่นใจว่าธุรกิจจะดำเนินต่อไปได้ โดยมีลูกค้าประมาณ 235,000 รายใน 150 ประเทศ
โดยทาง Arcserve เปิดตัว UDP เวอร์ชัน 9.1 เพื่อแก้ไขช่องโหว่ CVE-2023-26258 เมื่อวันที่ 27 มิถุนายน 2023 หลังจากที่นักวิจัยด้านความปลอดภัย Juan Manuel Fernandez และ Sean Doherty กับทีม ActiveBreach red ของ MDSec ได้ค้นพบช่องโหว่ และรายงานไปเมื่อ 4 เดือนก่อน
ซึ่งทีม ActiveBreach red ของ MDSec ได้ค้นพบช่องโหว่ดังกล่าวในระหว่างที่ทำการทดสอบการโจมตีของแรนซัมแวร์ โดยมุ่งไปยังการโจมตีโครงสร้างพื้นฐานการสำรองข้อมูลขององค์กร โดย MDSec ได้ทำการวิเคราะห์รหัส credentials และพบวิธีหลีกเลี่ยงการตรวจสอบสิทธิ์ในเครือข่าย local และทำให้เข้าถึงอินเทอร์เฟซการดูแลระบบ UDP หลังจากได้ admin credentials ซึ่งสามารถถอดรหัสได้โดยง่าย โดยการดักจับ request SOAP ที่มี AuthUUID เพื่อรับ administrator sessions ทำให้ Hacker สามารถใช้ admin credentials ในการทำลายข้อมูลของเป้าหมายได้โดยการล้างข้อมูลสำรองในการโจมตีด้วยแรนซัมแวร์ โดยช่องโหว่ดังกล่าวส่งผลกระทบต่อ Arcserve UDP เวอร์ชัน 7.0 จนถึงเวอร์ชัน 9.0 (windows)
รวมถึงขณะนี้ทาง MDSec ได้เปิดเผยชุดสาธิตเครื่องมือการโจมตี หรือ proof-of-concept exploits (PoC) and tools ออกมาแล้ว ซึ่งสามารถสแกนหา Arcserve UDP instance ที่มีการตั้งค่าแบบ default configuration บน local network รวมทั้งสามารถดึงข้อมูล และถอดรหัส credentials โดยการโจมตีเพื่อหลีกเลี่ยงการตรวจสอบสิทธิ์ใน management interface และดึงข้อมูลของผู้ดูแลระบบ (ArcServe-exploit.py) โดยรหัสผ่านทั้งหมดที่ดึงมาจากเครื่องมือ สามารถถอดรหัสได้โดยใช้ ArcServeDecrypter.exe
Arcserve จึงได้ออกมาแจ้งเตือนให้ผู้ดูแลระบบเร่งทำการอัปเดตแพตซ์ความปลอดภัยเพื่อป้องช่องโหว่โดยด่วน โดยอัปเดตเป็น UDP เวอร์ชัน 9.1 (Windows) ซึ่งสามารถทำได้ผ่านการอัปเดตอัตโนมัติในตัวใน UDP เวอร์ชัน 9 หรือใช้เวอร์ชัน 9.1 RTM สำหรับการติดตั้งใหม่
ที่มา : bleepingcomputer
You must be logged in to post a comment.