มีการค้นพบช่องโหว่ Authentication Bypass ที่อยู่มานานถึง 10 ปีในซอฟต์แวร์ phpBB forum โดยช่องโหว่ดังกล่าวอาจทำให้ผู้โจมตีสามารถเข้าสู่ระบบในฐานะผู้ใช้งานรายใดก็ได้ รวมถึงสิทธิ์ผู้ดูแลระบบ
ช่องโหว่ดังกล่าวยังไม่มีหมายเลข CVE ระบุ และสามารถถูกนำไปใช้ในการโจมตีได้โดยง่ายผ่าน HTTP Request เพียงครั้งเดียว โดยส่งผลกระทบต่อซอฟต์แวร์ phpBB ตั้งแต่เวอร์ชัน 4.0.0-a2 หรือ 3.3.16 ลงไป
นักวิจัยจาก Aikido ซึ่งเป็นบริษัทด้านความปลอดภัยของแอปพลิเคชัน ได้ค้นพบช่องโหว่นี้เมื่อวันที่ 2 มิถุนายน และได้รายงานช่องโหว่ดังกล่าวผ่านโครงการแจ้งเตือนช่องโหว่ (Vulnerability Disclosure Program) บนแพลตฟอร์ม HackerOne ของทางผู้พัฒนา
ทาง phpBB ได้ตอบสนองต่อรายงานดังกล่าวในทันที และได้ดำเนินการแก้ไขช่องโหว่นี้เมื่อวันที่ 6 มิถุนายนที่ผ่านมา ในซอฟต์แวร์เวอร์ชัน 3.3.17
ข้อมูลจาก Aikido ระบุว่า ช่องโหว่นี้เกิดขึ้นในชุดคำสั่ง (Codebase) ของ phpBB เมื่อ 10 ปีก่อน ซึ่งส่งผลกระทบต่อเวอร์ชัน 3.x และ 4.x ทั้งหมด ไปจนถึงเวอร์ชัน 3.3.16 และ 4.0.0-a2 โดยในขณะนี้ยังไม่มีแพตช์แก้ไขสำหรับเวอร์ชัน 4.x แต่อย่างใด
phpBB เป็นแพลตฟอร์ม Web forum แบบ Open-source และใช้งานได้ฟรีที่ถูกพัฒนาขึ้นด้วยภาษา PHP ซึ่งเคยได้รับความนิยมสูงสุดในช่วงปี 2000 ถึงต้นปี 2010 โดยในปัจจุบัน ระบบนี้ยังคงถูกนำไปใช้งานเพื่อเป็นระบบเบื้องหลังที่คอยขับเคลื่อน forums หลายพันแห่งทั่วโลก
Aikido ระบุว่า การโจมตีผ่านช่องโหว่ดังกล่าวไม่จำเป็นต้องมีการกำหนดค่าแบบพิเศษใด ๆ เนื่องจากสามารถโจมตีระบบได้จากค่า Default settings
รายงานของ Aikido ระบุว่า "ช่องโหว่ดังกล่าวสามารถถูกนำไปใช้ในการโจมตีได้ในการกำหนดค่า Default และไม่จำเป็นต้องอาศัยความรู้พิเศษใด ๆ"
"หากคุณกำลังใช้งานเวอร์ชัน 4.0.0-a2 หรือ 3.3.16 ลงไป ต้องทำการอัปเกรดไปเป็นเวอร์ชัน Master ทันที (ขณะนี้ยังไม่มีเวอร์ชัน 4.x ที่ปลอดภัยให้ใช้งาน) และเวอร์ชัน 3.3.17 ตามลำดับ เพื่อป้องกันการถูกโจมตีระบบ"
การเข้าถึงด้วยสิทธิ์ผู้ดูแลระบบอาจทำให้ผู้โจมตีสามารถดูข้อความส่วนตัวทั้งหมดที่ถูกจัดเก็บไว้ใน forum, สร้าง, แก้ไข หรือลบเนื้อหา และบัญชีผู้ใช้งาน, สวมรอยเป็น staff หรือแก้ไขเปลี่ยนแปลงหน้าเว็บไซต์ได้
นอกจากนี้ การเลือกเป้าหมายในการโจมตียังสามารถทำได้โดยง่าย เนื่องจากรายชื่อสมาชิกบน forums ของ phpBB จะถูกเปิดเผยเป็นสาธารณะโดยค่า Default อยู่แล้ว
Aikido ระบุเพิ่มเติมว่า การโจมตีด้วย Remote Code Execution (RCE) นั้นไม่สามารถทำได้ เนื่องจากมีระบบการตรวจสอบรหัสผ่านแยกต่างหากที่ทำหน้าที่ปกป้อง Admin Control Panel
ณ ขณะนี้ นักวิจัยได้ระงับการเปิดเผยรายละเอียดทางเทคนิคทั้งหมดไว้ชั่วคราว เพื่อให้ผู้ดูแลระบบ forum มีเวลาเพียงพอในการติดตั้งการอัปเดตด้านความปลอดภัย นอกจากนี้ ทางทีมงานยังได้ติดต่อไปยังผู้ดูแลระบบของ forum ขนาดใหญ่ที่ใช้งานแพลตฟอร์ม phpBB เพื่อแจ้งเตือนโดยตรงอีกด้วย
ข้อควรระวังคือ การอัปเดตดังกล่าวอาจส่งผลกระทบให้ forums ที่ใช้ระบบการยืนยันตัวตนแบบ OAuth เกิดการขัดข้อง เนื่องจาก OAuth Redirect Handler ได้ถูกย้ายไปยังตำแหน่งใหม่ อย่างไรก็ตาม ปัญหานี้สามารถแก้ไขได้ไม่ยาก
ทาง Aikido รับปากว่าจะดำเนินการเผยแพร่รายละเอียดฉบับเต็มของช่องโหว่ดังกล่าวในรายงานฉบับต่อไป แต่ยังไม่ได้กำหนดระยะเวลาที่แน่ชัด
ที่มา : bleepingcomputer
You must be logged in to post a comment.