พบช่องโหว่ระดับ Critical ใน applyCT component ของ HIKVISION ซึ่งเป็นระบบ HikCentral Integrated Security Management Platform ที่ทำให้ผู้โจมตีสามารถเรียกใช้โค้ดจากระยะไกลได้ โดยไม่จำเป็นต้องผ่านการยืนยันตัวตน
ช่องโหว่ดังกล่าวมีหมายเลข CVE-2025-34067 และได้รับคะแนนความรุนแรง CVSS สูงสุดที่ 10.0 โดยมีสาเหตุมาจากการที่แพลตฟอร์มดังกล่าวใช้ Fastjson library ที่มีช่องโหว่ ส่งผลให้กล้องวงจรปิด และอุปกรณ์รักษาความปลอดภัยหลายล้านเครื่องทั่วโลกมีความเสี่ยงที่จะถูกโจมตีระบบได้
ช่องโหว่ระดับ Critical ใน Fastjson Deserialization
ช่องโหว่ดังกล่าวถูกโจมตีผ่าน endpoint "/bic/ssoService/v1/applyCT" โดยส่ง JSON payloads ที่เป็นอันตราย ซึ่งถูกประมวลผลโดย Fastjson library
ผู้โจมตีสามารถสร้าง request ในรูปแบบ JSON ที่ถูกออกแบบมาเป็นพิเศษเพื่อทำให้ฟีเจอร์ auto-type ของ Fastjson ทำงาน ซึ่งทำให้สามารถโหลด Java classes ใด ๆ ก็ได้ตามที่ต้องการ
กลไกการโจมตีดังกล่าวเกี่ยวข้องกับการจัดการ JdbcRowSetImpl class เพื่อสร้างการเชื่อมต่อกับเซิร์ฟเวอร์ LDAP ที่ไม่น่าเชื่อถือ ทำให้สามารถ Bypass มาตรการป้องกันความปลอดภัยของระบบได้สำเร็จ
การโจมตีดังกล่าวต้องอาศัยการส่ง POST request โดยระบุ Content-Type: application/json ไปยัง endpoint ที่มีช่องโหว่ โดยผู้โจมตีจะทำการปรับเปลี่ยนพารามิเตอร์ datasource ให้ชี้ไปยังเซิร์ฟเวอร์ LDAP ที่เป็นอันตรายของตนเอง เพื่อทำให้สามารถเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกลบนระบบของเป้าหมายได้
เหตุการณ์นี้เป็นตัวอย่างคลาสสิกของช่องโหว่ CWE-502 - Deserialization of Untrusted Data ร่วมกับ CWE-917 - Expression Language Injection ซึ่งเกิดจากการตรวจสอบการนำเข้าข้อมูลที่ไม่เพียงพอ ทำให้ผู้โจมตีสามารถโหลด class ที่ไม่ได้รับอนุญาต และเรียกใช้โค้ดที่เป็นอันตรายได้ในที่สุด
ช่องโหว่ดังกล่าวส่งผลกระทบต่อแพลตฟอร์ม HikCentral หรือที่เคยรู้จักกันในชื่อ “Integrated Security Management Platform” ซึ่งเป็นโซลูชันบริหารจัดการความปลอดภัยแบบครบวงจร ที่มีการใช้งานอย่างแพร่หลายทั้งในภาครัฐ, ภาคธุรกิจ และภาคอุตสาหกรรมทั่วโลก
การที่แพลตฟอร์มนี้ถูกนำไปใช้งานอย่างแพร่หลายทำให้ช่องโหว่ดังกล่าวมีความน่ากังวลเป็นพิเศษ เนื่องจากมันเป็นศูนย์กลางควบคุมอุปกรณ์รักษาความปลอดภัย และระบบกล้องวงจรปิดจำนวนมาก
ผลกระทบที่อาจเกิดขึ้น ได้แก่ การเข้าถึงข้อมูลจากกล้องวงจรปิดที่มีความสำคัญโดยไม่ได้รับอนุญาต, การแทรกแซง หรือควบคุมระบบรักษาความปลอดภัย และมีความเป็นไปได้ที่ผู้โจมตีจะโจมตีต่อไปยังภายในระบบ (Lateral Movement) เพื่อขยายผลการโจมตีไปยังส่วนอื่น ๆ ภายในโครงสร้างพื้นฐานเครือข่าย
องค์กรที่ใช้งานระบบ applyCT ของ HIKVISION ที่ได้รับผลกระทบ กำลังเผชิญกับความเสี่ยงต่อการรั่วไหลของข้อมูล, การหยุดชะงักของบริการ และการถูกโจมตีระบบรักษาความปลอดภัยทั้งหมด
ช่องโหว่ดังกล่าวสามารถถูกใช้ในการโจมตีได้โดยไม่ต้องผ่านการยืนยันตัวตน หมายความว่าผู้โจมตีไม่จำเป็นต้องมีบัญชีผู้ใช้ หรือรหัสผ่านที่ถูกต้องก็สามารถเข้าสู่ระบบได้ ซึ่งทำให้ช่วยลดอุปสรรคในการเข้าถึงสำหรับผู้โจมตีได้อย่างมาก
ด้วยเหตุนี้ ช่องโหว่ดังกล่าวจึงถูกจัดให้อยู่ในกลุ่มช่องโหว่ที่ถูกใช้โจมตีจริงแล้ว (known-exploited-vulnerability) ซึ่งแสดงให้เห็นว่ามีการนำช่องโหว่นี้ไปใช้ในการโจมตีในสถานการณ์จริงแล้ว
มาตรการลดความเสี่ยง
องค์กรควรประเมินระบบ HIKVISION applyCT ที่ใช้งานอยู่โดยทันที และดำเนินการแยกเครือข่าย (network segmentation) เพื่อจำกัดขอบเขตของผลกระทบหากถูกโจมตี
การเฝ้าระวัง traffic ในเครือข่ายที่ผิดปกติ ที่มุ่งเป้าไปยัง endpoint "/bic/ssoService/v1/applyCT" เพื่อช่วยตรวจจับความพยายามในการโจมตีที่อาจเกิดขึ้นได้
แม้ว่าในขณะนี้ยังไม่มีรายงานของการอัปเดตแพตช์แก้ไขอย่างเป็นทางการ ผู้ใช้ควรติดต่อฝ่าย Support ของ HIKVISION เพื่อขอคำแนะนำในการแก้ไขปัญหาโดยด่วน และควรพิจารณาจำกัดการเข้าถึง endpoint ที่มีช่องโหว่เป็นการชั่วคราวจนกว่าจะมีการออกแพตช์แก้ไขปัญหาดังกล่าว
นอกจากนี้ ทีมความปลอดภัยควรเพิ่มการเฝ้าระวังความพยายามในการเชื่อมต่อ LDAP จากระบบ HIKVISION ของตน และพิจารณาติดตั้งระบบตรวจจับการบุกรุกผ่านเครือข่าย (Network-based Intrusion Detection Systems) เพื่อระบุความพยายามในการโจมตีที่อาจมุ่งเป้าไปยังช่องโหว่ระดับ Critical นี้
ที่มา : cybersecuritynews
You must be logged in to post a comment.