เมื่อต้นสัปดาห์ที่ผ่านมา ไมโครซอฟท์ได้ออกแพตช์แก้ไขช่องโหว่ที่ได้รับการจัดอันดับความรุนแรงในระดับ "สูงสุดเท่าที่เคยมีมา" สำหรับช่องโหว่ด้านความปลอดภัยของ ASP.NET Core
ช่องโหว่ประเภท HTTP request smuggling ซึ่งมีหมายเลข CVE-2025-55315 นี้ ถูกพบบนเว็บเซิร์ฟเวอร์ Kestrel ของ ASP.NET Core โดยอาจทำให้ผู้โจมตีที่ผ่านการยืนยันตัวตนแล้ว สามารถส่ง HTTP request อื่นเข้าไปเพื่อขโมยข้อมูล credentials ของผู้ใช้รายอื่น หรือเพื่อ bypass มาตรการรักษาความปลอดภัยของ front-end
Microsoft ระบุเมื่อวันอังคารที่ผ่านมาว่า "ผู้โจมตีที่สามารถใช้การโจมตีจากช่องโหว่ดังกล่าวได้สำเร็จ จะสามารถดูข้อมูลสำคัญ เช่น ข้อมูล credentials ของผู้ใช้อื่น, แก้ไขเนื้อหาไฟล์บนเซิร์ฟเวอร์เป้าหมายได้ และอาจทำให้เซิร์ฟเวอร์หยุดทำงานได้"
เพื่อให้แน่ใจว่าแอปพลิเคชัน ASP.NET Core ของตนปลอดภัยจากการโจมตีที่อาจเกิดขึ้น Microsoft จึงแนะนำให้นักพัฒนา และผู้ใช้งานปฏิบัติตามมาตรการดังต่อไปนี้ :
- หากใช้ .NET 8 หรือเวอร์ชันที่ใหม่กว่า ให้ติดตั้งอัปเดต .NET จาก Microsoft Update จากนั้นรีสตาร์ทแอปพลิเคชันหรือรีบูตเครื่อง
- หากคุณใช้ .NET 2.3 ให้อัปเดต package reference สำหรับ Microsoft.AspNet.Server.Kestrel.Core เป็นเวอร์ชัน 2.3.6 จากนั้นทำการ recompile และติดตั้งแอปพลิเคชันใหม่
- หากคุณใช้แอปพลิเคชันแบบ self-contained/single-file ให้ติดตั้งอัปเดต .NET จากนั้นทำการ recompile และติดตั้งใหม่
เพื่อแก้ไขช่องโหว่ดังกล่าว Microsoft ได้ออกอัปเดตความปลอดภัยสำหรับ Microsoft Visual Studio 2022, ASP.NET Core 2.3, ASP.NET Core 8.0 และ ASP.NET Core 9.0 รวมถึงแพ็กเกจ Microsoft.AspNetCore.Server.Kestrel.Core สำหรับแอปพลิเคชัน ASP.NET Core 2.x
ตามที่ Barry Dorrans ผู้จัดการโครงการด้านเทคนิคความปลอดภัยของ .NET ได้อธิบายว่า ผลกระทบจากการโจมตีผ่านช่องโหว่ CVE-2025-55315 นั้นจะขึ้นอยู่กับแอปพลิเคชัน ASP.NET ที่ตกเป็นเป้าหมาย และหากการโจมตีสำเร็จ อาจทำให้ผู้ไม่หวังดีสามารถล็อกอินเป็นผู้ใช้รายอื่น (เพื่อยกระดับสิทธิ์), ส่ง request ภายในระบบ (ในการโจมตีแบบ Server-Side Request Forgery - SSRF), หลีกเลี่ยงการตรวจสอบ Cross-Site Request Forgery (CSRF) หรือทำการโจมตีแบบ Injection ได้
Dorrans ระบุว่า "เราไม่รู้ว่าอะไรจะเกิดขึ้นได้บ้าง เพราะมันขึ้นอยู่กับว่าคุณเขียนแอปพลิเคชันของคุณอย่างไร ดังนั้น เราจึงให้คะแนนความรุนแรงโดยคำนึงถึงกรณีที่เลวร้ายที่สุดที่เป็นไปได้ ซึ่งก็คือการ bypass ฟีเจอร์ด้านความปลอดภัยที่ส่งผลกระทบในวงกว้าง"
"หากถามว่ามีโอกาสเกิดขึ้นสูงไหม? ก็อาจจะไม่ เว้นแต่ว่าโค้ดของแอปพลิเคชันของคุณจะทำงานผิดปกติ และ skips การตรวจสอบหลายอย่างที่ควรจะทำในทุก ๆ request อย่างไรก็ตาม ขอแนะนำให้ทำการอัปเดตด้วย"
ใน Patch Tuesday ของเดือนนี้ Microsoft ได้ปล่อยอัปเดตความปลอดภัยสำหรับแก้ไขช่องโหว่ 172 รายการ ซึ่งประกอบด้วยช่องโหว่ระดับ Critical 8 รายการ และช่องโหว่ zero-day อีก 6 รายการ (โดย 3 รายการในนั้นถูกนำไปใช้ในการโจมตีจริงแล้ว)
ในสัปดาห์นี้ Microsoft ยังได้เผยแพร่ KB5066791 ซึ่งเป็น cumulative update ที่รวมเอาการอัปเดตความปลอดภัยชุดสุดท้ายของ Windows 10 เข้าไว้ด้วยกัน เนื่องจากระบบปฏิบัติการดังกล่าวจะสิ้นสุดระยะเวลาการ support ไปแล้ว
ที่มา : bleepingcomputer
You must be logged in to post a comment.