ช่องโหว่บน Amazon AWS-LC อาจทำให้ผู้โจมตีสามารถ Bypass การตรวจสอบ Certificate Chain ได้

Amazon แจ้งเตือนช่องโหว่ด้านความปลอดภัยระดับ Critical ที่ระบุถึงช่องโหว่ 3 รายการใน AWS-LC ซึ่งเป็น Cryptographic library แบบ Open-source สำหรับการใช้งานทั่วไป

ในวันที่ 2 มีนาคมที่ผ่านมา ทาง Amazon ระบุถึงช่องโหว่ดังกล่าวอาจทำให้ผู้โจมตีจากภายนอกที่ไม่ต้องผ่านการยืนยันตัวตน สามารถ Bypass การตรวจสอบ Certificate Chain และสามารถใช้ประโยชน์จากการโจมตีโดยช่องโหว่ Timing side-channels ได้

หากไม่ทำการอัปเดตแพตช์แก้ไขช่องโหว่ดังกล่าว อาจส่งผลกระทบต่อ Cryptographic integrity ทั่วทั้งระบบที่ได้รับผลกระทบได้

ช่องโหว่ดังกล่าวระบุว่า ผู้โจมตีอาจมุ่งเป้าไปที่ PKCS7_verify () function ใน AWS-LC library เป็นหลัก

สำหรับช่องโหว่ CVE-2026-3336 การตรวจสอบ Certificate อาจทำให้แฮ็กเกอร์สามารถ Bypass การตรวจสอบได้ เมื่อระบบประมวลผลข้อมูล PKCS7 ที่มี Signers หลายราย โดยระบบจะตรวจสอบเฉพาะ Signers ลำดับสุดท้ายเท่านั้น

ขณะเดียวกันช่องโหว่ CVE-2026-3338  อาจทำให้แฮ็กเกอร์สามารถ Bypass การตรวจสอบได้ทั้งหมด เมื่อระบบประมวลผลข้อมูล PKCS7 ที่มี Authenticated Attributes

นอกเหนือจากช่องโหว่บน PKCS7 ยังมีช่องโหว่ CVE-2026-3337 เป็นช่องโหว่ประเภท Timing side-channel ในระหว่างการตรวจสอบ AES-CCM tag

Amazon ระบุว่า ระยะเวลาที่ระบบประมวลผลข้อมูลระหว่างการถอดรหัส ผู้โจมตีอาจสามารถวิเคราะห์ความคลาดเคลื่อนของเวลาเพื่อคาดเดาได้ว่า Authentication tag นั้นถูกต้องหรือไม่

ช่องโหว่ดังกล่าวอาจลดทอนความน่าเชื่อถือของระบบ และเสี่ยงต่อการถูกสอดแนม หรือดักเก็บข้อมูลจากผู้โจมตี

AWS แนะนำให้ลูกค้าทุกคนทำการอัปเกรดเป็นเวอร์ชันล่าสุดของ AWS-LC ในทันที

เวอร์ชันที่ได้รับผลกระทบ

  • AWS-LC: เวอร์ชัน 1.21.0 ถึง <1.69.0
  • AWS-LC-FIPS: เวอร์ชัน 3.0.0 ถึง <3.2.0
  • aws-lc-sys: เวอร์ชัน 0.14.0 ถึง <0.38.0
  • aws-lc-sys-fips: เวอร์ชัน 0.13.0 ถึง <0.13.12

ทีมนักวิจัยจาก AISLE ได้ร่วมมือกับ AWS สำหรับการค้นพบ และเปิดเผยช่องโหว่ CVE-2026-3336 และ CVE-2026-3337 ผ่านกระบวนการเปิดเผยช่องโหว่ที่มีการประสานงานร่วมกัน (Coordinated Vulnerability Disclosure)

ปัจจุบัน ยังไม่มีวิธีแก้ไขปัญหาเบื้องต้นสำหรับช่องโหว่ PKCS7_verify (CVE-2026-3336 และ CVE-2026-3338) นอกจากการอัปเดตแพตช์เท่านั้น

แต่ละองค์กรควรรีบทำการอัปเดตแพตช์เพื่อความปลอดภัยของระบบสำหรับช่องโหว่ CVE-2026-3337 ใน AES-CCM และมีวิธีแก้ไขปัญหาชั่วคราวสำหรับการกำหนดค่าเฉพาะบางอย่าง

ลูกค้าที่ใช้งาน AES-CCM ด้วย Parameter เฉพาะ ได้แก่ (M=4, L=2), (M=8, L=2) หรือ (M=16, L=2) สามารถลดความเสี่ยงจากช่องโหว่ดังกล่าวได้โดยการเรียกใช้งาน AES-CCM ผ่านทาง EVP AEAD API แทน

ซึ่งจำเป็นต้องเปลี่ยนไปใช้การทำงานของชุดคำสั่งดังต่อไปนี้ตามลำดับ EVP_aead_aes_128_ccm_bluetooth,EVP_aead_aes_128_ccm_bluetooth_8 และ EVP_aead_aes_128_ccm_matter

ที่มา : cybersecuritynews