ช่องโหว่ด้านความปลอดภัยที่เพิ่งมีการเปิดเผยใน Nessus Agent บน Windows ของ Tenable ซึ่งมีช่องโหว่ทำให้ผู้โจมตีสามารถรันโค้ดที่เป็นอันตรายด้วยสิทธิ์ระดับสูงสุดของระบบได้ สร้างความกังวลให้กับทีมรักษาความปลอดภัยระดับองค์กรที่ต้องพึ่งพาแพลตฟอร์มประเมินช่องโหว่ที่มีการใช้งานอย่างแพร่หลายนี้
ช่องโหว่นี้ช่วยให้ผู้โจมตีสามารถสร้าง Windows junction ซึ่งเป็น symbolic link ของระบบไฟล์ประเภทหนึ่ง ที่สามารถนำมาใช้เพื่อลบไฟล์ใด ๆ ก็ได้โดยใช้สิทธิ์ระดับ SYSTEM
เมื่อการลบไฟล์ด้วยสิทธิ์ระดับ SYSTEM สำเร็จ ผู้โจมตีสามารถรันโค้ดคำสั่งใด ๆ ก็ได้ตามต้องการ ซึ่งส่งผลให้ผู้โจมตีสามารถเข้าควบคุมเครื่องที่ได้รับผลกระทบได้อย่างสมบูรณ์
ช่องโหว่ของ Nessus Agent บน Windows
ช่องโหว่นี้อาศัยการใช้ประโยชน์จากช่องโหว่ประเภท Privilege Escalation ซึ่งเป็นที่รู้จักกันทั่วไปในชื่อ Symlink Attack หรือการนำ Junction ไปใช้ในทางที่ผิด โดยในระบบปฏิบัติการ Windows ฟีเจอร์ NTFS Junction จะทำหน้าที่ Redirect การทำงานของระบบไฟล์จากไดเรกทอรีหนึ่งไปยังอีกไดเรกทอรีหนึ่ง
เมื่อกระบวนการที่มีสิทธิ์พิเศษ เช่น Nessus Agent Service มีการทำงานผ่าน Junction ในระหว่างกระบวนการจัดการไฟล์โดยไม่มีการตรวจสอบความถูกต้องอย่างเหมาะสม ทำให้สามารถถูกควบคุมให้กระทำกับไฟล์อื่นที่ไม่ได้ตั้งใจไว้ได้
ในกรณีนี้ ผู้โจมตีที่สามารถเข้าถึงเครื่องได้โดยตรงจะสามารถสร้าง Malicious Junction ไว้ในตำแหน่งที่ Service ของ Nessus Agent มีการเรียกใช้งานได้
ด้วยการ Redirect ขั้นตอนการลบไฟล์ของตัว Agent ให้ไปจัดการกับไฟล์ระบบ หรือไดเรกทอรีที่สำคัญแทน ผู้โจมตีจะสามารถทำลายสภาพแวดล้อมการทำงานของระบบปฏิบัติการในลักษณะที่ควบคุมได้ และหลังจากนั้นจะสามารถวาง Malicious Payload เพื่อให้ทำงานภายใต้สิทธิ์ระดับสูงสุดของระบบ
เทคนิคนี้เป็นอันตรายอย่างยิ่ง เพราะ SYSTEM คือระดับสิทธิ์ที่สูงที่สุดในระบบปฏิบัติการ Windows ซึ่งสูงกว่าบัญชี Administrator ทั่วไป
โค้ดที่รันด้วยสิทธิ์ SYSTEM สามารถแก้ไขไฟล์ใดก็ได้บนเครื่อง, ติดตั้ง Rootkits, สั่งปิดเครื่องมือด้านความปลอดภัย (เช่น Antivirus หรือ EDR) และสร้างช่องทางเพื่อฝัง Persistent ในระบบ แม้จะมีการรีบูตเครื่องใหม่ก็ยังคงอยู่โดยไม่มีข้อจำกัด
ช่องโหว่นี้ส่งผลกระทบโดยตรงต่อ Nessus Agent ที่ติดตั้งบนระบบปฏิบัติการ Windows เท่านั้น โดยองค์กรที่ติดตั้ง Nessus Agent ไว้ตาม Endpoints ต่าง ๆ ทั่วทั้งองค์กรเพื่อใช้สแกนช่องโหว่อย่างต่อเนื่อง ถือว่าอยู่ในกลุ่มที่มีความเสี่ยงสูง
เนื่องจาก Nessus Agent มักจะถูกติดตั้งไว้บนเซิร์ฟเวอร์ และเครื่องเวิร์กสเตชันที่มีความสำคัญสูง การโจมตีที่สำเร็จจึงอาจส่งผลกระทบอย่างรุนแรงต่อภาพรวมความมั่นคงปลอดภัยของทั้งองค์กร
Patch Available
Tenable ได้แก้ไขช่องโหว่ใน Nessus Agent เวอร์ชัน 11.1.3 แล้ว ซึ่งขณะนี้สามารถดาวน์โหลดได้จากพอร์ทัลดาวน์โหลดของ Tenable บริษัทขอแนะนำให้ผู้ใช้ทุกคนอัปเกรดโดยทันที โดยเน้นย้ำว่าการติดตั้งแพตซ์อย่างทันท่วงทีมีความสำคัญอย่างยิ่งต่อการลดความเสี่ยง
Tenable ยืนยันถึงความมุ่งมั่นในด้าน Responsible Disclosure โดยระบุว่า บริษัทยังคงมีการสื่อสารอย่างต่อเนื่องกับบรรดานักวิจัยด้านความมั่นคงปลอดภัย และให้ความสำคัญเป็นอันดับต้น ๆ กับการแก้ไขช่องโหว่ของผลิตภัณฑ์อย่างรวดเร็ว
ทีมรักษาความปลอดภัยยังได้รับการสนับสนุนให้รายงานช่องโหว่ที่ค้นพบใหม่โดยตรงไปยัง Tenable เพื่ออำนวยความสะดวกในการแก้ไขช่องโหว่
ผู้ดูแลระบบรักษาความปลอดภัยควรให้ความสำคัญกับการอัปเดตนี้เป็นอันดับแรก โดยเฉพาะอย่างยิ่งในสภาพแวดล้อมที่มีการติดตั้ง Nessus Agent บนระบบ Windows ที่มีความสำคัญสูง หรือเชื่อมต่อกับอินเทอร์เน็ต
ที่มา: Cybersecuritynews
You must be logged in to post a comment.