The Indian Computer Emergency Response Team (CERT-In) ได้แจ้งเตือนผู้ใช้เกี่ยวกับช่องโหว่ที่มีความรุนแรงระดับ High จำนวน 5 รายการในแพลตฟอร์มซื้อขายหุ้นผ่านโทรศัพท์มือถือ และระบบหลังบ้านของ Apex Softcell
บริษัทเอกชนดังกล่าวมีอายุกว่า 32 ปี มุ่งเน้นไปที่การพัฒนาผลิตภัณฑ์ และโซลูชันสำหรับตลาดทุน และอุตสาหกรรมการเงิน ซึ่งทำให้ช่องโหว่ต่าง ๆ มีความสำคัญ
ตามคำแนะนำของ CERT-In ที่เผยแพร่เมื่อสัปดาห์ที่ผ่านมา ช่องโหว่เหล่านี้ส่งผลกระทบกับ Apex Softcell LD Geo เวอร์ชันก่อนหน้า 4.0.0.7 และ LD DP Back Office เวอร์ชันก่อนหน้า 24.8.21.1 และอาจทำให้ผู้โจมตีจากภายนอกสามารถระบุชื่อผู้ใช้, bypass การตรวจสอบ OTP, ดำเนินการทำธุรกรรมที่ไม่ได้รับอนุญาต หรือเข้าถึงข้อมูลที่สำคัญของผู้ใช้อื่นโดยไม่ได้รับอนุญาต
ผลิตภัณฑ์ที่ได้รับผลกระทบ และช่องโหว่
ผลิตภัณฑ์ที่ได้รับผลกระทบ
- Apex Softcell LD Geo เวอร์ชันก่อนหน้า 4.0.0.7
- Apex Softcell LD DP Back Office เวอร์ชันก่อนหน้า 24.8.21.1
มีการระบุช่องโหว่หลายรายการแต่ยังไม่ได้ประกาศอย่างเป็นทางการ
- CVE-2024-47085
- CVE-2024-47086
- CVE-2024-47087
- CVE-2024-47088
- CVE-2024-47089
CVE-2024-47085 : ช่องโหว่ในการจัดการพารามิเตอร์
ช่องโหว่ในระบบ LD DP Back Office เป็นช่องโหว่การตรวจสอบความถูกต้องของพารามิเตอร์ "cCdslClicentcode" และ "cLdClientCode" ใน API endpoint ที่ไม่เหมาะสม ทำให้ผู้โจมตีจากภายนอกที่ผ่านการยืนยันตัวตน สามารถใช้ประโยชน์จากช่องโหว่นี้ได้โดยการแก้ไขพารามิเตอร์ใน API request body ซึ่งอาจนำไปสู่การเปิดเผยข้อมูลสำคัญของผู้ใช้รายอื่น
CVE-2024-47086 : ช่องโหว่ OTP Bypass
ช่องโหว่ในระบบ LD DP Back Office เป็นช่องโหว่การใช้กลไกตรวจสอบ OTP ที่ไม่เหมาะสมในบาง API endpoint ทำให้ผู้โจมตีจากภายนอกที่ผ่านการยืนยันตัวตน สามารถใช้ประโยชน์จากช่องโหวนี้ได้โดยการส่งค่า OTP แบบสุ่มสำหรับการยืนยันตัวตน ซึ่งจะเปลี่ยน API response และสามารถ bypassing OTP สำหรับบัญชีผู้ใช้อื่นได้
CVE-2024-47087 : ช่องโหว่ในการเปิดเผยข้อมูล
ช่องโหว่ในระบบ LD Geo เป็นช่องโหว่การตรวจสอบความถูกต้องของพารามิเตอร์บางอย่าง เช่น Client ID, DPID หรือ BOID ใน API endpoint ที่ไม่เหมาะสม ทำให้ผู้โจมตีจากภายนอกที่ผ่านการยืนยันตัวตน สามารถใช้ประโยชน์จากช่องโหวนี้ได้โดยการแก้ไขพารามิเตอร์ใน API request body ซึ่งอาจนำไปสู่การเปิดเผยข้อมูลที่สำคัญ
CVE-2024-47088 : ช่องโหว่ในการระบุชื่อผู้ใช้
ช่องโหว่ในระบบ LD Geo เป็นช่องโหว่ที่เกิดจากการที่ไม่มีการจำกัดจำนวนการพยายามเข้าสู่ระบบที่ไม่สำเร็จในระบบล็อกอินที่ใช้ API ทำให้ผู้โจมตีจากภายนอกสามารถใช้ประโยชน์จากช่องโหว่นี้ได้โดยการโจมตีแบบ bruteforce ในการเข้าสู่ระบบ OTP ซึ่งอาจนำไปสู่การเข้าถึงบัญชีผู้ใช้อื่นโดยไม่ได้รับอนุญาต
CVE-2024-47089 : ช่องโหว่การจัดการธุรกรรมที่ไม่ได้รับอนุญาต
ช่องโหว่ในระบบ LD Geo เป็นช่องโหว่การตรวจสอบความถูกต้องของ token ID ใน API endpoint ที่ไม่เหมาะสม ทำให้ผู้โจมตีจากภายนอกที่ผ่านการยืนยันตัวตน สามารถใช้ประโยชน์จากช่องโหว่นี้ได้โดยการแก้ไข token ID ใน API request ซึ่งอาจนำไปสู่การเข้าถึง และการปรับเปลี่ยนธุรกรรมของผู้ใช้อื่นโดยไม่ได้รับอนุญาต
ผู้ใช้ควรอัปเกรด Apex Softcell LD Geo เป็นเวอร์ชัน 4.0.0.7 และ Apex Softcell LD DP Back Office เป็นเวอร์ชัน 24.8.21.1 เพื่อป้องกันช่องโหว่ที่ระบุไว้
การบรรเทาผลกระทบ และคำแนะนำ
- อัปเกรด Apex Softcell LD Geo เป็นเวอร์ชัน 4.0.0.7 และ LD DP Back Office เป็นเวอร์ชัน 24.8.21.1 เพื่อปิดช่องโหว่ที่ระบุไว้
- ตรวจสอบให้แน่ใจว่า API endpoint ทั้งหมดมีการตรวจสอบพารามิเตอร์อินพุต เพื่อป้องกันการจัดการพารามิเตอร์ และการเข้าถึงที่ไม่ได้รับอนุญาต
- ใช้ระบบตรวจจับความผิดปกติเพื่อระบุรูปแบบที่ผิดปกติ เช่น การพยายามเข้าสู่ระบบไม่สำเร็จจำนวนมาก ซึ่งอาจแสดงถึงการโจมตีแบบ brute-force
- ดำเนินการประเมินความปลอดภัยอย่างสม่ำเสมอ และทดสอบการเจาะระบบบนแพลตฟอร์มการซื้อขาย
- บังคับใช้หลักการให้สิทธิ์น้อยที่สุด (Principle of Least Privilege) โดยให้ผู้ใช้เข้าถึงเฉพาะข้อมูล และระบบที่จำเป็นสำหรับบทบาทของตนเท่านั้น ซึ่งจะช่วยลดผลกระทบจากการที่บัญชีถูกโจมตี
ที่มา : cyble
You must be logged in to post a comment.