Google ได้ทำข้อมูลรั่วไหลโดยไม่ได้ตั้งใจ ซึ่งเป็นรายละเอียดเกี่ยวกับช่องโหว่ที่ยังไม่ได้รับการแก้ไขใน Chromium ซึ่งช่องโหว่ดังกล่าวส่งผลให้ JavaScript สามารถทำงานอยู่เบื้องหลังได้แม้ว่าจะปิดเบราว์เซอร์ไปแล้วก็ตาม ซึ่งอาจทำให้เกิดการเรียกใช้โค้ดจากระยะไกล (Remote Code Execution) บนอุปกรณ์ดังกล่าวได้
ช่องโหว่ดังกล่าวถูกรายงานโดย Lyra Rebane นักวิจัยด้านความปลอดภัยทางไซเบอร์ และได้รับการยืนยันว่าเป็นช่องโหว่ที่เกิดขึ้นจริงเมื่อเดือนธันวาคม 2022 ตามข้อมูลที่ปรากฏในระบบ Chromium Issue Tracker
ผู้โจมตีสามารถใช้ประโยชน์จากช่องโหว่ดังกล่าว เพื่อสร้างเว็บเพจที่เป็นอันตรายร่วมกับการใช้ Service Worker เช่น การสร้างกระบวนการดาวน์โหลดที่ไม่มีวันสิ้นสุด Rebane ระบุว่าช่องโหว่ดังกล่าวอาจทำให้ผู้โจมตีสามารถเรียกใช้โค้ด JavaScript บนอุปกรณ์ของผู้เข้าชมเว็บไซต์ได้
Rebane ระบุไว้ใน Bug Report ต้นฉบับว่า "มีความเป็นไปได้สูงมากที่จะมียอดเข้าชมหน้าเว็บไซต์นับหมื่นครั้งเพื่อสร้างเครือข่าย Botnet และผู้ใช้งานจะไม่ทราบเลยว่ามี JavaScript ที่สามารถถูกเรียกใช้จากระยะไกลบนอุปกรณ์ของตนเองได้"
รูปแบบสถานการณ์ที่เป็นไปได้ในการนำช่องโหว่ดังกล่าวไปใช้ในการโจมตี รวมถึงการใช้เบราว์เซอร์ที่ถูกโจมตีเพื่อทำการโจมตีแบบ DDoS, การทำพร็อกซีเพื่อส่งต่อ Traffic ที่เป็นอันตราย และการเปลี่ยนเส้นทาง Traffic ไปยังเว็บไซต์เป้าหมายโดยพลการ
ช่องโหว่ดังกล่าวส่งผลกระทบต่อเบราว์เซอร์ทั้งหมดที่พัฒนาบนพื้นฐานของ Chromium ซึ่งรวมถึงเบราว์เซอร์ Google Chrome, Microsoft Edge, Brave, Opera, Vivaldi และ Arc
ช่องโหว่ดังกล่าวยังคงมีอยู่
เมื่อวันที่ 26 ตุลาคม 2024 นักพัฒนาของ Google ได้สังเกตเห็นว่าช่องโหว่ดังกล่าวยังคงอยู่ในสถานะที่ยังไม่ได้รับการแก้ไข และได้ระบุว่านี่เป็นช่องโหว่ร้ายแรง ซึ่งจำเป็นต้องมีการอัปเดตสถานะเพื่อให้มั่นใจว่ามีความคืบหน้าในการแก้ไข
ในปีนี้ เมื่อวันที่ 10 กุมภาพันธ์ที่ผ่านมา ช่องโหว่ดังกล่าวได้ถูกระบุสถานะว่าได้รับการแก้ไขเรียบร้อยแล้ว แต่กลับถูกเปลี่ยนสถานะเป็น Reopened อีกครั้งในเวลาเพียงไม่กี่นาทีต่อมา เนื่องจากยังคงมีข้อกังวลหลายประการ
เนื่องจากเป็นปัญหาด้านความปลอดภัย Labels ของช่องโหว่ดังกล่าวจึงได้รับการอัปเดต เพื่อให้เข้าสู่กระบวนการพิจารณาของคณะกรรมการโครงการให้รางวัลผู้ค้นพบช่องโหว่ของ Chrome (Chrome Vulnerability Rewards Program (VRP) และช่องโหว่ดังกล่าวถูกระบุสถานะว่าแก้ไขแล้วในวันที่ 12 กุมภาพันธ์ที่ผ่านมา แม้ว่าจะยังไม่มีการปล่อยแพตช์แก้ไขออกมาก็ตาม
หลังจากนั้น ระบบอีเมลอัตโนมัติได้แจ้งให้ Rebane ทราบว่าเป็นผู้ได้รับเงินรางวัลสำหรับการค้นพบช่องโหว่ดังกล่าวเป็นจำนวนเงิน 1,000 ดอลลาร์สหรัฐ
ข้อจำกัดในการเข้าถึงข้อมูลทั้งหมดบนระบบ Chromium Issue Tracker ได้ถูกยกเลิกในวันที่ 20 พฤษภาคมที่ผ่านมา เนื่องจากช่องโหว่ดังกล่าวถูกปิดมานานกว่า 14 สัปดาห์ และถูกระบุสถานะในระบบว่าได้รับการแก้ไขเรียบร้อยแล้ว
ในวันเดียวกันนั้น Rebane ได้ทำการทดสอบการแก้ไขดังกล่าว และพบว่าปัญหายังคงปรากฏอยู่ในเบราว์เซอร์ Chrome Dev 150 และ Edge 148
Rebane ระบุในโพสต์เมื่อวานนี้ว่า "ย้อนกลับไปในปี 2022 เขาได้ค้นพบช่องโหว่ที่อาจทำให้ผู้ไม่หวังดีสามารถเปลี่ยนเบราว์เซอร์ใด ๆ ที่ทำงานบนพื้นฐานของ Chromium ให้กลายเป็นส่วนหนึ่งของเครือข่าย JS Botnet แบบถาวรได้ โดยไม่จำเป็นต้องมีการโต้ตอบใด ๆ จากผู้ใช้งาน"
"สำหรับเบราว์เซอร์ Edge ผู้ใช้งานจะไม่มีทางสังเกตเห็นความผิดปกติใด ๆ ได้เลย และอุปกรณ์จะยังคงเชื่อมต่อกับเซิร์ฟเวอร์ C2 ต่อไป แม้ว่าจะทำการปิดเบราว์เซอร์ไปแล้วก็ตาม"
หลังจากพบว่าวิธีการโจมตีดังกล่าวยังคงสามารถนำมาใช้งานได้จริง นักวิจัยจึงตระหนักได้ว่า Google น่าจะเผยแพร่รายละเอียดของช่องโหว่ดังกล่าวออกมาโดยความผิดพลาด
สถานการณ์ยิ่งเลวร้ายลงไปอีก เมื่อหน้าต่าง Pop-up การดาวน์โหลด ซึ่งก่อนหน้านี้จะปรากฏขึ้นเมื่อมีการเรียกใช้งานช่องโหว่ดังกล่าว กลับไม่แสดงขึ้นมาอีกต่อไปในเบราว์เซอร์ Edge เวอร์ชันล่าสุด ส่งผลให้การโจมตีดังกล่าวสามารถแฝงตัวได้อย่างแนบเนียนมากยิ่งขึ้น
Rebane โพสต์ข้อความบนแพลตฟอร์ม Mastodon โดยระบุว่า "ช่องโหว่ดังกล่าวยังไม่ได้รับการแก้ไขอย่างถูกต้อง และมันยังสามารถนำไปใช้งานได้อยู่"
"ยิ่งไปกว่านั้นคือเบราว์เซอร์ Edge ไม่แสดงเมนู Pop-up การดาวน์โหลดขึ้นมาอีกต่อไป ดังนั้นมันจึงกลายเป็นการเรียกใช้โค้ดจากระยะไกลผ่าน JavaScript (JS RCE) ที่ทำงานอย่างเงียบ ๆ และจะยังคงทำงานต่อไปเรื่อย ๆ แม้ว่าคุณจะปิดเบราว์เซอร์ไปแล้วก็ตาม !! ทั้งหมดนี้เกิดขึ้นจากการเข้าชมเว็บไซต์เพียงหน้าเดียวแค่ครั้งเดียวเท่านั้น !!"
แม้ว่ารายงานช่องโหว่ดังกล่าวจะถูกปรับสถานะกลับไปเป็น Private อีกครั้งแล้วก็ตาม แต่ช่วงเวลาที่ข้อมูลถูกเปิดเผยนั้นก็ยาวนานเพียงพอที่จะทำให้ข้อมูลรั่วไหลออกไปได้
Rebane ได้ให้ข้อมูลกับ Ars Technica โดยระบุว่า การที่ Google ปล่อยข้อมูลหลุดออกมาเช่นนี้ จะทำให้การนำช่องโหว่ดังกล่าวไปใช้งานนั้นสามารถทำได้ค่อนข้างง่าย อย่างไรก็ตาม การขยายขอบเขตเพื่อสร้างเครือข่าย Botnet ขนาดใหญ่นั้นมีขั้นตอนที่ซับซ้อนกว่า
Rebane ยังได้ชี้แจงเพิ่มเติมด้วยว่า ช่องโหว่ดังกล่าวไม่ได้ Bypass ขอบเขตการรักษาความปลอดภัยของเบราว์เซอร์ และไม่ได้ช่วยให้ผู้โจมตีสามารถเข้าถึงอีเมล, ไฟล์ข้อมูล หรือระบบปฏิบัติการหลัก (Host OS) บนเครื่องของเหยื่อได้แต่อย่างใด
เนื่องจากรายละเอียดของช่องโหว่ได้รั่วไหลออกไปแล้ว ความเสี่ยงที่จะเกิดขึ้นกับผู้ใช้งานจำนวนมากจึงถือว่าอยู่ในระดับที่น่ากังวล และมีความเป็นไปได้สูงมากที่ Google จะต้องจัดการกับเรื่องนี้อย่างเร่งด่วน โดยคาดว่าจะมีการปล่อยแพตช์แก้ไขฉุกเฉินออกมาในเร็ว ๆ นี้
ที่มา : Bleepingcomputer
You must be logged in to post a comment.