สรุปข้อมูล
Oligo Security Research พบช่องโหว่ใหม่ใน AirPlay Protocol ของ Apple และ AirPlay Software Development Kit (SDK) ซึ่งใช้โดย third-party เพื่อใช้งาน AirPlay เข้ากับอุปกรณ์อื่น ๆ
ช่องโหว่ดังกล่าวทำให้สามารถโจมตีได้หลายรูปแบบดังนี้ :
- Zero-Click RCE
- One-Click RCE
- Access control list (ACL) and user interaction bypass
- Local Arbitrary File
- Sensitive information disclosure
- Man-in-the-middle (MITM)
- Denial of service (DoS)
โดย Hacker อาจใช้ช่องโหว่เหล่านี้ร่วมกันเพื่อเข้าควบคุมอุปกรณ์ที่รองรับ AirPlay ได้ ซึ่งได้แก่อุปกรณ์ Apple และอุปกรณ์ของบริษัทอื่นที่ใช้ประโยชน์จาก AirPlay SDK
นักวิจัยของ Oligo Security เรียกช่องโหว่ และ Attack Vectors เหล่านี้ว่า “AirBorne” เนื่องจากการโจมตีที่เป็นไปได้นั้นถูกส่งผ่านเครือข่ายไร้สาย หรือการเชื่อมต่อแบบ Peer–to-Peer และสามารถทำให้ Hacker เข้าควบคุมอุปกรณ์ และใช้การเข้าถึงดังกล่าวในการโจมตีอื่น ๆ เพิ่มเติม
Oligo ได้แสดงให้เห็นว่าช่องโหว่ 2 รายการ (CVE-2025-24252 และ CVE-2025-24132) ช่วยให้ Hacker สามารถนำช่องโหว่ RCE มาใช้โจมตีแบบ wormable zero-click ซึ่งหมายความว่า Hacker สามารถเข้าควบคุมอุปกรณ์ที่รองรับ AirPlay และทำสิ่งต่าง ๆ เช่น แพร่กระจายมัลแวร์ไปยังอุปกรณ์บน local network ที่อุปกรณ์ที่ถูกโจมตีเชื่อมต่ออยู่ ซึ่งอาจนำไปสู่การโจมตีอื่น ๆ ที่เกี่ยวข้องกับการขโมยข้อมูล เช่น ransomware, supply-chain attacks และอื่น ๆ
เนื่องจาก AirPlay เป็นซอฟต์แวร์พื้นฐานสำหรับอุปกรณ์ Apple (Mac, iPhone, iPad, AppleTV เป็นต้น) เช่นเดียวกับอุปกรณ์ของ third-party ที่ใช้ประโยชน์จาก AirPlay SDK ดังนั้นช่องโหว่ประเภทนี้จึงสามารถส่งผลกระทบในวงกว้างได้
ภาพรวมของช่องโหว่
- แม้ว่าอุปกรณ์ Apple ทั่วโลกไม่ได้มีความเสี่ยงจากช่องโหว่ RCE จาก AirBorne ทุกเครื่อง แต่ Apple เคยระบุไว้ในเดือนมกราคม 2025 ว่ามีอุปกรณ์ Apple ที่ใช้งานอยู่ทั่วโลกจำนวน 2.35 พันล้านเครื่อง ทำให้จำนวนเครื่องที่อาจมีความเสี่ยงต่อช่องโหว่ก็ถือว่าเยอะมาก
- ในปี 2018 Apple ระบุว่ามีผู้ใช้ MacOs ที่ใช้งานอยู่มากกว่า 100 ล้านคนทั่วโลก
- อุปกรณ์ Apple อื่น ๆ เช่น iPhone, Apple TV และ Vision Pro อาจได้รับผลกระทบจากช่องโหว่ AirBorne ที่แตกต่างกัน อุปกรณ์เช่น iPhone จำเป็นต้องให้ผู้ใช้งานเปิดการใช้งาน AirPlay receiver ในการตั้งค่าโทรศัพท์
- นอกจากนี้ จำนวนอุปกรณ์ audio devices ของบริษัทอื่น ๆ ที่รองรับ AirPlay สามารถประมาณได้ที่หลักสิบล้านเครื่อง
- แม้ว่าจะไม่ทราบจำนวนที่แน่ชัดของอุปกรณ์ที่รองรับ CarPlay แต่อุปกรณ์ดังกล่าวก็มีการใช้งานกันอย่างแพร่หลาย และมีให้เลือกในรถยนต์มากกว่า 800 รุ่น
Apple และ Oligo ได้ทำงานร่วมกันเพื่อระบุ และแก้ไขช่องโหว่อย่างละเอียด โดยมีเป้าหมายเพื่อปกป้องผู้ใช้งาน Apple โดยได้เผยแพร่ซอฟต์แวร์เวอร์ชันล่าสุดเพื่อแก้ไขช่องโหว่ดังกล่าว และจัดสรรเวลาในการอัปเดตอุปกรณ์เหล่านั้น ตลอดจนกระบวนการเปิดเผยข้อมูลอย่างรับผิดชอบของ Oligo ซึ่งได้มีการจัดเตรียมเอกสาร, กระบวนการ และโค้ดที่เกี่ยวข้องกับช่องโหว่เหล่านี้ให้กับ Apple
โดย Oligo เปิดเผยช่องโหว่ทั้งหมด 23 รายการต่อ Apple ส่งผลให้มีการออก CVE ทั้งหมด 17 รายการ
Types of Attacks
ช่องโหว่ที่พบโดย Oligo ไม่ว่าจะโดยอิสระ หรือใช้ร่วมกัน ก็สามารถทำให้เกิดการโจมตีได้หลายรูปแบบ รวมถึงการเรียกใช้คำสั่งที่เป็นอันตรายจากระยะไกล (RCE), การควบคุม Access Control List (ACL) โดยไม่ต้องมีการโต้ตอบจากผู้ใช้, การอ่านไฟล์ในเครื่อง, การเปิดเผยข้อมูลที่มีความสำคัญ, การโจมตีแบบ Man-in-the-Middle (MITM) และการโจมตีแบบ Denial of service (DoS)
สำหรับรายงานนี้ จะเน้นที่การโจมตีในรูปแบบ RCE บนอุปกรณ์ที่ใช้ MacOS, AirPlay SDK และ CarPlay ในโพสต์ต่อ ๆ ไป เราอาจตรวจสอบประเภทการโจมตีอื่น ๆ และอุปกรณ์อื่น ๆ ที่เกี่ยวข้องกับ AirPlay
Remote Code Execution (RCE) Attacks
การใช้ AirBorne ช่วยให้ Hacker สามารถโจมตีแบบ RCE บนอุปกรณ์ที่มีช่องโหว่ได้ โดยอาศัยปัจจัยบางประการ เช่น การตั้งค่าอุปกรณ์ของ Apple และ third-party รวมทั้งการกำหนดลักษณะของผู้ใช้
เพื่อเป็นตัวอย่าง ด้านล่างนี้เป็นการโจมตีแบบ RCE ที่แตกต่างกันบางส่วนที่เป็นไปได้กับอุปกรณ์ที่กำหนดค่าด้วยการตั้งค่าที่แตกต่างกัน
MacOS - Zero-Click RCE
CVE-2025-24252 คือช่องโหว่ประเภท use-after-free (UAF) ที่ทำให้ผู้โจมตีสามารถรันโค้ดจากระยะไกลบนอุปกรณ์ MacOS ได้
เมื่อ CVE-2025-24252 ถูกใช้ร่วมกับ CVE-2025-24206 (user interaction bypass) จะทำให้สามารถโจมตีแบบ zero-click RCE บนอุปกรณ์ MacOS ที่เชื่อมต่อกับเครือข่ายเดียวกันกับ Hacker ได้ เพียงเปิด AirPlay receiver และตั้งค่าเป็น "Anyone on the same network" หรือ "Everyone" ด้วยช่องโหว่นี้อาจทำให้สามารถโจมตีแบบ wormable ได้ เนื่องจากช่องโหว่นี้เปิดเส้นทางการโจมตีที่สามารถแพร่กระจายจากเครื่องหนึ่งไปยังอีกเครื่องหนึ่งโดยไม่ต้องมีการตอบโต้จากผู้ใช้งาน
สถานการณ์ที่อาจเกิดขึ้นได้ : อุปกรณ์ของเหยื่อถูกโจมตีในขณะที่ใช้ WiFi สาธารณะ จากนั้นจึงเชื่อมต่อกับเครือข่ายของบริษัท ซึ่งเป็นช่องทางให้ Hacker เข้าควบคุมอุปกรณ์อื่น ๆ บนเครือข่ายนั้นได้
MacOS - One-Click RCE
CVE-2025-24271 เป็นช่องโหว่ Access Control List (ACL) ที่ทำให้ Hacker สามารถส่งคำสั่ง AirPlay ได้โดยไม่ต้องมีการ pairing เมื่อ CVE-2025-24271 ถูกใช้ร่วมกับ CVE-2025-24137 ช่องโหว่ดังกล่าวจะทำให้สามารถโจมตีแบบ one-click RCE บนอุปกรณ์ MacOS ที่เชื่อมต่อกับเครือข่ายเดียวกันกับ Hacker โดยเปิด AirPlay receiver ไว้ และตั้งค่าเป็น "Current User"
หมายเหตุ : CVE-2025-24137 ได้รับการแก้ไขโดย Apple ใน macOS Sequoia 15.3 เมื่อวันที่ 27 มกราคม 2025
AirPlay SDK - Speakers and Receivers - Zero-Click RCE
CVE-2025-24132 เป็นช่องโหว่ stack-based buffer overflow ทำให้สามารถโจมตีแบบ zero-click RCE บนอุปกรณ์ speakers และ receivers ที่ใช้ AirPlay SDK ได้ โดยอุปกรณ์เหล่านี้มีช่องโหว่ zero-click RCE ภายใต้ configurations ทุกรูปแบบ ด้วยช่องโหว่นี้อาจทำให้สามารถโจมตีแบบ wormable ได้ เนื่องจากช่องโหว่นี้เปิดเส้นทางการโจมตีที่สามารถแพร่กระจายจากเครื่องหนึ่งไปยังอีกเครื่องหนึ่งโดยไม่ต้องมีการตอบโต้จากผู้ใช้งาน
ตัวอย่างผลลัพธ์ของการโจมตีที่ประสบความสำเร็จ ได้แก่ สามารถแสดงภาพบนอุปกรณ์ หรือเล่นเพลง ไปจนถึงการใช้ไมโครโฟนของอุปกรณ์เพื่อฟังบทสนทนาที่อยู่ใกล้เคียง เช่น การแอบฟังผ่านอุปกรณ์ในห้องประชุมที่มีคนจำนวนมาก
Car-Play Devices - Zero-Click and One-Click RCE
CVE-2025-24132 เป็นช่องโหว่ stack-based buffer overflow และใช้ได้กับอุปกรณ์ CarPlay ช่องโหว่นี้ทำให้สามารถโจมตีแบบ zero-click RCE ภายใต้เงื่อนไขบางประการ
- WiFi Conditions : เมื่อใช้ wifi hotspot ในอุปกรณ์ CarPlay ผู้โจมตีสามารถดำเนินการโจมตีแบบ RCE ได้หากอยู่ในบริเวณใกล้เคียงกับอุปกรณ์ CarPlay หากอุปกรณ์มีรหัสผ่าน wifi hotspot แบบคาดเดาได้ หรือทราบอยู่แล้ว ก็จะสามารถเข้าถึง และดำเนินการโจมตีแบบ RCE ได้
- Bluetooth Conditions : อุปกรณ์ CarPlay จาก vendors บางราย มีการแลกเปลี่ยนข้อมูล WiFi credentials ผ่าน Bluetooth ผ่านโปรโตคอล IAP2 ซึ่งต้องใช้ PIN เพื่อจับคู่อุปกรณ์ ทำให้ Hacker สามารถดำเนินการโจมตี RCE ได้เนื่องจาก
1) อยู่ใกล้กับ CarPlay unit
2) สามารถดู และกรอก PIN ที่แสดงบนอุปกรณ์ AirPlay ได้ ในบางกรณี การโจมตีเป็นแบบ one-click RCE เนื่องจากจำเป็นต้องมีการตอบโต้จากเหยื่อ - USB Conditions : อุปกรณ์ CarPlay แบบ Non-wireless จะมีความเสี่ยงผ่านการเชื่อมต่อทาง physical connection (USB)
ตัวอย่างผลลัพธ์ของการโจมตี ได้แก่ การทำให้ผู้ขับขี่เสียสมาธิผ่านการแสดงภาพ และการเล่นเสียง หรือการกระทำที่อาจเป็นไปได้ เช่น การแอบฟังบทสนทนา และการติดตามตำแหน่งของรถ
การโจมตีอื่น ๆ
เนื่องจากผลกระทบที่อาจเกิดขึ้นจากช่องโหว่ RCE รายงานนี้จึงมุ่งเน้นไปที่การให้รายละเอียดเกี่ยวกับช่องโหว่ดังกล่าวเป็นหลัก
อย่างไรก็ตาม ตามที่กล่าวไว้ Attack Vectors และช่องโหว่อื่น ๆ ที่นอกเหนือจาก RCE อาจเกิดขึ้นได้โดยใช้ช่องโหว่ชุดนี้ ได้แก่ การเรียกใช้คำสั่งที่เป็นอันตรายจากระยะไกล (RCE), การควบคุม Access Control List (ACL) โดยไม่ต้องมีการโต้ตอบจากผู้ใช้, การอ่านไฟล์ในเครื่อง, การเปิดเผยข้อมูลที่มีความสำคัญ, การโจมตีแบบ Man-in-the-Middle (MITM) และการโจมตีแบบ Denial of service (DoS)
โดยจะให้ข้อมูลเชิงลึกเพิ่มเติมเกี่ยวกับ Attack Vectors และช่องโหว่อื่น ๆ เหล่านี้ในบล็อก และการนำเสนอในอนาคต
เหตุใด Oligo จึงมุ่งตรวจสอบ AirPlay
Oligo ระบุว่า เริ่มการวิจัยนี้ตามผลงานเกี่ยวกับช่องโหว่ 0.0.0.0 Day: Exploiting Localhost APIs From the Browser ในขณะที่สแกนหาพอร์ตที่เปิดอยู่ซึ่งอาจเข้าถึงได้โดย 0.0.0.0 เราสังเกตเห็นว่าอุปกรณ์ส่วนใหญ่ในเครือข่ายภายในของเรามีพอร์ต AirPlay 7000 เปิดอยู่ เราเริ่มศึกษาคำสั่งพื้นฐานที่เซิร์ฟเวอร์ AirPlay จัดการด้วยความอยากรู้อยากเห็นเกี่ยวกับโปรโตคอลนี้ และรู้สึกประหลาดใจที่สามารถเข้าถึงคำสั่งโปรโตคอลหลายคำสั่งได้อย่างสมบูรณ์ในการตั้งค่าเริ่มต้น ระหว่างการตรวจสอบโปรโตคอลเบื้องต้น เราสังเกตเห็นรูปแบบบางอย่างภายในคำสั่งที่จัดการ flows ที่มี "code smell" อย่างมีประสิทธิภาพ flows ที่น่าสงสัยเหล่านี้ทำให้เราเจาะลึกลงไปอีก และดำเนินการวิจัยอย่างละเอียดนี้
ภาพรวมทางเทคนิค
Attack Vectors ทำงานอย่างไร
AirPlay จะสื่อสารผ่านพอร์ต 7000 โดยใช้ API ซึ่งผสมผสานคุณลักษณะต่าง ๆ ของ HTTP และ RTSP protocols ในระบบนี้คำสั่งจำนวนมาก โดยเฉพาะคำสั่งที่ต้องใช้พารามิเตอร์เพิ่มเติมจะถูกส่งเป็น HTTP data payloads ที่เข้ารหัสในรูปแบบ plist format
property list หรือ plist เป็นรูปแบบ structured data ซึ่งใช้กันอย่างแพร่หลายในระบบของ Apple เพื่อจัดลำดับ และจัดเก็บข้อมูล plist จะแสดงข้อมูลเป็นชุดลำดับชั้นของ key-value pairs ซึ่งช่วยให้จัดระเบียบข้อมูลที่ซับซ้อนได้ plist รองรับประเภทข้อมูลต่าง ๆ เช่น strings, numbers, dates, booleans, arrays และ dictionaries ที่สามารถจัดลำดับในรูปแบบ XML หรือ binary ก็ได้
API ของ Core Foundation ของ Apple มีบทบาทสำคัญในการจัดการไฟล์ plist API เหล่านี้ ซึ่งมีฟังก์ชันที่ครอบคลุมสำหรับการอ่าน, การเขียน และการทำสำเนา plist
เนื่องจาก plists เป็นวิธีหลักในการส่งอาร์กิวเมนต์ไปยัง AirPlay receiver การทำความเข้าใจอาร์กิวเมนต์ และโครงสร้างของอาร์กิวเมนต์จึงมีความสำคัญต่อการทำความเข้าใจโปรโตคอล นอกจากนี้ช่องโหว่จำนวนมากยังเกี่ยวข้องโดยตรงกับ plist argument parsing flows อีกด้วย
ตัวอย่างหนึ่งของช่องโหว่ type-confusion ที่เกิดจากการจัดการ plist parameters ที่ไม่เหมาะสม คือ CVE-2025-24129 เนื่องจากช่องโหว่นี้ได้รับการเผยแพร่ไปแล้วเมื่อเดือนมกราคม เราจึงรู้สึกสบายใจที่จะแบ่งปันรายละเอียดทางเทคนิคบางส่วนเกี่ยวกับช่องโหว่นี้ รายละเอียดทางเทคนิคสำหรับช่องโหว่ที่เหลือ รวมถึงช่องโหว่ที่เผยแพร่ในรายงานนี้จะโพสต์ในภายหลัง หลังจากที่เราแน่ใจว่าผู้ใช้งานส่วนใหญ่ได้รับการอัปเดตเป็นเวอร์ชันล่าสุดแล้ว และจะไม่ได้รับผลกระทบอีกต่อไป
ช่องโหว่ Type Confusion ที่สาธิตโดย CVE-2025-24129
URI: /getProperty
Method: POST
getProperty command ใน AirPlay ใช้เพื่อรับคุณสมบัติ หรือการตั้งค่าเฉพาะจาก receiver เช่น ระดับเสียงปัจจุบัน หรือชื่ออุปกรณ์
CFPropertyCreateWithData method จะสร้างรายการคุณสมบัติจาก ข้อมูล HTTP ที่ส่งโดยไคลเอนต์ วิธีนี้สามารถ return ค่า CFType ที่แตกต่างกันได้ ขึ้นอยู่กับข้อมูลที่ผู้ใช้ให้มา (CFArray/CFString เป็นต้น)
property list จะถูกสร้างขึ้นโดยใช้ CFPropertyListCreateWithData โดยที่ประเภท (CFType) ของ plist ที่ได้นั้นจะไม่ถูกตรวจสอบ และถือว่าเป็น dictionary
หาก plist ที่สร้างขึ้นไม่ใช่ CFDictionary การเรียกใช้ method เช่น CFDictionaryGetValue กับ plist จะทำให้ process crash ได้
ความสามารถในการใช้โจมตี : CFDictionaryGetValue เป็นส่วนหนึ่งของไลบรารี CoreFoundation ทำให้ความสามารถในการโจมตีของปัญหานี้ขึ้นอยู่กับเวอร์ชันของ CoreFoundation ความแตกต่างในความสามารถในการใช้ประโยชน์ระหว่างเวอร์ชันของ Core Foundation นั้นเป็นจริงสำหรับ type confusions ส่วนใหญ่ที่เราพบ
ช่องโหว่ที่ไม่ได้รับ CVE-IDS
ทีมวิจัย Oligo Security รายงานช่องโหว่ 23 รายการให้ Apple ทราบ ช่องโหว่ทั้งหมดได้รับการแก้ไขแล้ว แต่ไม่ทั้งหมดที่ได้รับ CVE-ID ในบางกรณี Apple ได้จัดกลุ่มช่องโหว่บางรายการเป็น CVE เดียวตามวิธีการแก้ไข และระยะเวลาในการแก้ไข แทนที่จะพิจารณาตามประเภทช่องโหว่, ผลกระทบ หรือตำแหน่งในโค้ดของ AirPlay Protocol
ตัวอย่างของช่องโหว่สองรายการ และไม่ได้รับ CVE-ID :
/setProperty Route Crash
URI: /setProperty
Method: PUT
Configurations: All
User Interaction: 1 click to accept connection
คำสั่ง setProperty ใน AirPlay ช่วยให้ผู้ส่งสามารถกำหนดค่าคุณสมบัติ หรือการตั้งค่าเฉพาะบน receiver ได้ โดยปรับองค์ประกอบต่าง ๆ เช่น ระดับเสียง, ตัวเลือกการเล่น หรือคุณสมบัติเฉพาะอุปกรณ์อื่น ๆ
ส่วนใหญ่แล้วคำสั่ง POST / PUT ของ AirPlay ต้องการ HTTP request ที่มีข้อมูลในรูปแบบ plist
เซิร์ฟเวอร์คาดว่า value key จะอยู่ใน /setProperty plist payload
value variable จะใช้เพื่อสร้างการ response โดยไม่มีการตรวจสอบว่าเป็นค่าว่างหรือไม่ :
หากผู้ใช้ไม่ได้ส่ง value key ในการ request value key มันจะเป็นค่าว่าง
การเรียก CFDictionarySetValue ด้วยค่าว่างจะส่งผลให้เกิด unhandled exception ซึ่งทำให้ ControlCenter process crash ได้
Remote user logout using WindowServer Crash
URI: rtsp://<ip>/stream
Method: SETUP
Configurations: Anyone on the same network
Configurations: Everyone
User Interaction: 0 click โดยใช้ CVE-2025-24206
วิธีการตั้งค่าใน AirPlay ซึ่งใช้ RTSP (Real-Time Streaming Protocol) เป็นส่วนหนึ่งของกระบวนการที่เริ่ม media stream จาก AirPlay sender (เช่น iPhone/iPad) ไปยัง receiver (เช่น Apple TV)
การส่งคำสั่ง SETUP หลายครั้งจะสร้าง video streams หลายรายการ เนื่องจากจำนวนสตรีมไม่ได้ถูกจำกัด จึงสามารถสร้างสตรีมได้ในลูป while การส่งสตรีมจำนวนมากจะเพิ่มการใช้หน่วยความจำ และเวลาตอบสนองของ WindowServer service หลังจากส่งคำสั่ง SETUP ไม่กี่วินาที watchdog จะหยุดการทำงานของ WindowServer ทำให้ผู้ใช้หลุดออกจากระบบ
ช่องโหว่นี้ทำให้ Hacker บนเครือข่ายสามารถออกจากระบบผู้ใช้จากเครือข่ายเดียวกัน หรือในบริเวณใกล้เคียงจากระยะไกลได้
ช่องโหว่ AirBorne
AirBorne ทำให้อุปกรณ์ต่าง ๆ เสี่ยงต่อการโจมตีหลายแบบ โดยแต่ละช่องโหว่สร้างความเสี่ยงด้านความปลอดภัยที่แตกต่างกัน ด้านล่างนี้ เราจะวิเคราะห์ประเภทของช่องโหว่เหล่านี้ที่อาจเกิดขึ้น รวมถึงผลกระทบที่อาจเกิดขึ้น
ACL and User Interaction Bypass
AirPlay ใช้คุณสมบัติหลักสองประการในการจัดการ permissions :
1. ACL - จำกัดการเข้าถึงตาม AirPlay Receiver configuration
2. Click to Accept - การดำเนินการบางอย่างจำเป็นต้องให้ผู้ใช้คลิก “Accept” และอนุมัติการเชื่อมต่อ AirPlay
เราค้นพบช่องโหว่ และปัญหาด้าน ACL bypass หลายรายการ และปัญหาด้านการ interaction bypass หนึ่งรายการ ซึ่งทำให้สามารถโจมตีได้หลายแบบ ด้วยช่องโหว่ AirBorne เมื่อกำหนดค่าอุปกรณ์ macOS เป็น default ของ AirPlay receiver{} และตั้งค่าเป็น "Current User"
CVE-2025-24206 ยังทำให้การโจมตีจำนวนมากเป็นแบบ zero-click ด้วยการ bypass การคลิก "Accept"
ช่องโหว่ User interaction bypass
ช่องโหว่ ACL issues and bypass
ช่องโหว่ Remote Code Execution (RCE)
ช่องโหว่ที่ร้ายแรงที่สุดในกลุ่มนี้ทำให้สามารถเรียกใช้คำสั่งที่เป็นอันตรายจากระยะไกลได้ ทำให้ Hacker สามารถเข้าควบคุมอุปกรณ์ที่มีช่องโหว่ได้อย่างสมบูรณ์ ช่องโหว่เหล่านี้ทำให้ AirBorne สามารถทำงานแบบ wormable ได้ หลังจากเจาะระบบอุปกรณ์เครื่องหนึ่งแล้ว Hacker สามารถใช้ช่องโหว่เดียวกันนี้เพื่อแพร่กระจายไปยังอุปกรณ์ และเครือข่ายอื่น ๆ ซึ่งจะทำให้อุปกรณ์ และเครือข่ายอื่น ๆ ได้รับผลกระทบ และเสียหายมากขึ้น
ช่องโหว่ Local Arbitrary file Read
ช่องโหว่อีกรายการหนึ่งทำให้ผู้ใช้ภายในเครื่องสามารถอ่านไฟล์ที่เป็นของผู้ใช้คนอื่นได้ โดยการใช้ช่องโหว่นี้ Hacker สามารถอ่านข้อมูลที่มีความสำคัญ, ดึงข้อมูล credentials หรืออาจควบคุมกระบวนการที่ทำงานด้วยสิทธิ์ที่สูงกว่าได้
ช่องโหว่ Sensitive Information Disclosure
ช่องโหว่ critical อีกรายการหนึ่งที่อาจทำให้ข้อมูลที่มีความสำคัญถูกเปิดเผยบนเครือข่าย ช่องโหว่นี้ทำให้ข้อมูล sensitive log data ถูกเปิดเผยต่อผู้ใช้ทุกคนบนเครือข่าย ทำให้ Hacker สามารถติดตามอุปกรณ์ และขโมยข้อมูลที่มีความสำคัญเกี่ยวกับผู้ใช้ และอุปกรณ์ได้
ช่องโหว่เพิ่มเติม
ช่องโหว่ต่อไปนี้ทำให้ Hacker สามารถดำเนินการต่าง ๆ ได้หลากหลาย เช่น Denial of Service (DoS) เนื่องจาก AirBorne มี CVE จำนวนมาก จึงไม่สามารถดำเนินการวิจัยเชิงลึกเกี่ยวกับการใช้ประโยชน์ที่อาจเกิดขึ้นได้
แม้ว่าช่องโหว่ที่กล่าวถึงข้างต้นอาจส่งผลกระทบได้หลากหลาย แต่การทำให้เซิร์ฟเวอร์ AirPlay ขัดข้องจะทำให้เกิดช่องโหว่ในการโจมตีแบบ man-in-the-middle ตัวอย่างเช่น การประชุมคณะกรรมการที่เพิ่งเริ่มต้นขึ้น CEO ต้องการ AirPlay การประชุมไปยังทีวีในสำนักงาน ผู้โจมตีสามารถใช้ช่องโหว่ DOS ช่องโหว่หนึ่งเพื่อ :
- ใช้ประโยชน์จากช่องโหว่ DOS หนึ่งจุดเพื่อทำให้ AirPlay receiver ของทีวีหยุดทำงาน
- Spoof identity ของทีวีบนเครือข่ายโดยใช้ mDNS
- หลอกให้ CEO เริ่มสตรีมไปยังเซิร์ฟเวอร์ AirPlay ปลอม
- ถ่ายทอดสตรีมของ CEO จากเซิร์ฟเวอร์ปลอมกลับไปยังทีวีจริง
- จับภาพ และบันทึกเนื้อหาการประชุมทั้งหมดจากสตรีมที่ถูกดักฟัง
วิธีการป้องกันจากช่องโหว่
สำหรับองค์กร สิ่งสำคัญคืออุปกรณ์ Apple ขององค์กร และเครื่องอื่น ๆ ที่รองรับ AirPlay จะต้องอัปเดตเป็นซอฟต์แวร์เวอร์ชันล่าสุดทันที รวมถึงต้องแจ้งให้พนักงานทราบอย่างชัดเจนว่าอุปกรณ์ส่วนตัวทั้งหมดที่รองรับ AirPlay จะต้องได้รับการอัปเดตทันทีเช่นกัน
ขั้นตอนการแก้ไขที่แนะนำ
- แนะนำให้ผู้ใช้อัปเดตอุปกรณ์ของตนเพื่อลดความเสี่ยงด้านความปลอดภัยที่อาจเกิดขึ้น
- Disable AirPlay Receiver : แนะนำให้ปิดใช้งาน AirPlay Receiver หากไม่ได้จำเป็นต้องใช้งาน
- Restrict AirPlay Access : สร้าง firewall rules เพื่อจำกัด AirPlay communication (Port 7000 on Apple devices) ให้กับอุปกรณ์ที่เชื่อถือได้เท่านั้น เพิ่มความปลอดภัยเครือข่าย และลดการเปิดเผยข้อมูล
- Restrict AirPlay Settings : เปลี่ยน “Allow AirPlay for” เป็น “Current User” แม้ว่าการดำเนินการนี้จะไม่สามารถป้องกันปัญหาทั้งหมดที่ระบุไว้ในรายงานได้ แต่ก็ช่วยลดความเสี่ยงการโจมตีของโปรโตคอลได้
เกี่ยวกับ Oligo Security Research
Oligo Security Research เป็นกลุ่มนักวิจัยด้านภัยคุกคามที่มีประสบการณ์ซึ่งมุ่งเน้นในการค้นหาช่องโหว่ใหม่ ๆ และ Attack Vectors ในซอฟต์แวร์ประเภทต่าง ๆ ที่ขับเคลื่อนโลก การค้นพบที่สำคัญบางส่วนของทีม ได้แก่ แคมเปญโจมตีซึ่งกำหนดเป้าหมายไปที่ AI workloads ที่ถูกใช้โจมตีจริง (ShadowRay) ช่องโหว่อายุเกือบ 20 ปีในเว็บเบราว์เซอร์ยอดนิยมที่เปิดใช้งาน RCE (0.0.0.0 Day) และช่องโหว่ใน popular AI frameworks ยอดนิยม รวมถึง Meta-Lllama และ Ollama
ที่มา : oligo.security
You must be logged in to post a comment.