เมื่อวันจันทร์ที่ผ่านมา CISA ของสหรัฐฯ ได้เพิ่มช่องโหว่ด้านความปลอดภัยที่มีระดับความรุนแรงสูง (High-Severity) ที่ได้รับการแก้ไขแล้ว ซึ่งส่งผลกระทบต่อ Acclaim Systems USAHERDS ลงใน Known Exploited Vulnerabilities (KEV) Catalog โดยอ้างอิงจากหลักฐานการโจมตีที่เกิดขึ้นจริง
ช่องโหว่ดังกล่าวคือ CVE-2021-44207 (คะแนน CVSS: 8.1) เกิดจากการใช้ข้อมูล Credentials แบบ Hard-coded ใน Acclaim USAHERDS ซึ่งอาจทำให้ผู้โจมตีสามารถเรียกใช้โค้ดตามต้องการบนเซิร์ฟเวอร์ที่มีช่องโหว่ได้
โดยเฉพาะอย่างยิ่ง ช่องโหว่นี้เกี่ยวข้องกับการใช้ค่า ValidationKey และ DecryptionKey แบบ static ในเวอร์ชัน 7.4.0.1 และเวอร์ชันก่อนหน้านั้น ซึ่งอาจถูกนำไปใช้โจมตีแบบการเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกล (RCE) บนเซิร์ฟเวอร์ที่ใช้งานแอปพลิเคชันนี้ อย่างไรก็ตาม ผู้โจมตีจะต้องใช้วิธีการอื่น ๆ เพื่อให้ได้มาซึ่งคีย์เหล่านี้ก่อนการโจมตี
Mandiant บริษัทที่อยู่ภายใต้ Google ได้ระบุคำเตือนเกี่ยวกับช่องโหว่นี้เมื่อเดือนธันวาคม 2021 ว่า "คีย์เหล่านี้ถูกใช้เพื่อรักษาความปลอดภัยสำหรับ ViewState ของแอปพลิเคชัน ผู้โจมตีที่รู้ข้อมูลคีย์เหล่านี้สามารถหลอกให้เซิร์ฟเวอร์ของแอปพลิเคชันให้ทำการถอดรหัสข้อมูล ViewState ที่ถูกสร้างขึ้นมาอย่างเป็นอันตรายได้"
"ผู้โจมตีที่มีความรู้เกี่ยวกับ validationKey และ decryptionKey ของเว็บแอปพลิเคชัน สามารถสร้าง ViewState ที่เป็นอันตราย ผ่านการตรวจสอบ MAC และจะถูกถอดรหัสโดยเซิร์ฟเวอร์ได้ การถอดรหัสนี้สามารถนำไปสู่การเรียกใช้โค้ดที่เป็นอันตรายบนเซิร์ฟเวอร์ได้"
แม้ว่าจะยังไม่มีรายงานใหม่ที่เกี่ยวกับการนำช่องโหว่ CVE-2021-44207 ไปใช้โจมตีจริงในปัจจุบัน แต่ช่องโหว่นี้ถูกตรวจพบว่าถูกใช้โดยกลุ่มผู้โจมตี APT41 ที่มีความเชื่อมโยงกับจีนในปี 2021 ในฐานะช่องโหว่แบบ Zero-Day ซึ่งเป็นการโจมตีเครือข่ายของรัฐบาลสหรัฐอเมริกาจำนวน 6 แห่ง
หน่วยงาน Federal Civilian Executive Branch (FCEB) ได้รับคำแนะนำให้ดำเนินการตามมาตรการลดความเสี่ยงมาใช้ภายในวันที่ 13 มกราคม 2025 เพื่อป้องกันเครือข่ายของตนจากภัยคุกคามที่กำลังเกิดขึ้น
การพัฒนานี้เกิดขึ้นหลังจากที่ Adobe ได้แจ้งเตือนถึงช่องโหว่ด้านความปลอดภัยระดับ Critical ใน ColdFusion (CVE-2024-53961, คะแนน CVSS: 7.8) โดยระบุว่าช่องโหว่นี้มี proof-of-concept (PoC) สำหรับการโจมตีที่สามารถทำให้เกิดการอ่านไฟล์บนระบบโดยไม่ได้รับอนุญาตได้
ช่องโหว่ดังกล่าวได้รับการแก้ไขแล้วใน ColdFusion 2021 Update 18 และ ColdFusion 2023 Update 12 โดยแนะนำให้ผู้ใช้งานติดตั้งแพตช์เหล่านี้โดยเร็วที่สุดเพื่อลดความเสี่ยงที่อาจจะเกิดขึ้นได้
ที่มา : thehackernews
You must be logged in to post a comment.