Progress ยืนยันช่องโหว่ Zero-day ของ ShareFile เป็นสาเหตุที่ต้องปิด Storage Zone Controllers ฉุกเฉิน

 

Progress Software ยืนยันว่า การสั่งปิด ShareFile Storage Zone Controllers (SZC) แบบฉุกเฉินเมื่อสัปดาห์ที่ผ่านมา มีสาเหตุมาจากช่องโหว่ Zero-day ระดับ High Severity พร้อมออก Security Update เพื่อแก้ไขช่องโหว่ดังกล่าวเรียบร้อยแล้ว

ก่อนหน้านี้ Progress ได้แจ้งเตือนลูกค้าที่ใช้งาน ShareFile Storage Zone Controllers ให้ปิด Windows Server ที่ใช้รันระบบดังกล่าวทันทีหลังได้รับข้อมูลเกี่ยวกับ “credible external security threat”

ระหว่างที่บริษัททำการตรวจสอบเหตุการณ์ร่วมกับผู้เชี่ยวชาญด้าน Cybersecurity บริษัทได้ระงับการเข้าถึงบัญชี ShareFile ทั้งหมดที่ใช้งาน Storage Zone Controllers เป็นการชั่วคราว เพื่อป้องกันความเสี่ยงที่อาจเกิดขึ้น

Progress ให้ข้อมูลกับ BleepingComputer ว่า “บริษัทเลือกดำเนินการเชิงป้องกันไว้ก่อน หลังได้รับข้อมูลจากแหล่งข้อมูลที่น่าเชื่อถือเกี่ยวกับภัยคุกคามที่อาจมุ่งเป้าไปยัง SZC ระหว่างการตรวจสอบ บริษัทพบช่องโหว่ดังกล่าว และเร่งออก Patch ก่อนที่รายละเอียดของช่องโหว่จะถูกเปิดเผยต่อสาธารณะ”

จากการตรวจสอบล่าสุด Progress ระบุว่า พบช่องโหว่ประเภท Path Traversal ระดับ High Severity ซึ่งส่งผลกระทบต่อ ShareFile Storage Zone Controller ทุกเวอร์ชันในเวอร์ชัน 5.x และ 6.x

บริษัทอธิบายว่า หากผู้โจมตีสามารถเข้าถึงบัญชี Administrative User ที่ผ่านการยืนยันตัวตนได้ ก็จะสามารถอ่านไฟล์ใด ๆ ที่ Service Account ของระบบเข้าถึงได้, เขียนไฟล์ หรือข้อมูลที่ผู้โจมตีควบคุมไปยัง Directory ใดก็ได้ หรือ Enumerate โครงสร้าง File System ของ Server

Progress ระบุว่าได้จองหมายเลข CVE สำหรับช่องโหว่นี้ไว้แล้ว และจะเปิดเผยรายละเอียดภายในอีกประมาณ 2 สัปดาห์

เมื่อถูกถามถึงสาเหตุที่ยังไม่เปิดเผยหมายเลข CVE บริษัทชี้แจงว่า การเลื่อนการเผยแพร่ข้อมูลออกไปเป็นการเปิดโอกาสให้ลูกค้ามีเวลาติดตั้ง Patch ก่อนที่รายละเอียดทางเทคนิคจะถูกเปิดเผยต่อสาธารณะ ซึ่งอาจถูกนำไปใช้โดยผู้โจมตีได้ ทั้งยังระบุว่านี่เป็นแนวปฏิบัติมาตรฐานของบริษัท

สำหรับการแก้ไขปัญหา Progress ได้ออก ShareFile Storage Zone Controller เวอร์ชัน 5.12.5 และ 6.0.2 พร้อมแนะนำให้ลูกค้าทุกองค์กรติดตั้ง Security Update โดยเร็วที่สุด หลังอัปเดตเสร็จแล้ว จึงสามารถนำ Storage Zone Controllers กลับมาออนไลน์ได้อย่างปลอดภัย

แม้ว่าบริษัทจะได้รับข้อมูลเกี่ยวกับภัยคุกคามที่อาจมุ่งเป้าโจมตีลูกค้า ShareFile จากแหล่งข้อมูลที่น่าเชื่อถือ แต่จากผลการตรวจสอบล่าสุด ยังไม่พบหลักฐานว่ามีลูกค้ารายใดถูกเจาะระบบ หรือข้อมูลรั่วไหล

Progress ระบุว่า “ปัจจุบัน บริษัทยังไม่พบหลักฐานของการเข้าถึงบัญชี หรือข้อมูลของลูกค้า ShareFile โดยไม่ได้รับอนุญาต และยังไม่พบภัยคุกคามที่กำลังดำเนินอยู่”

Storage Zone Controllers คือ Windows Server ที่ลูกค้าเป็นผู้ดูแลเองซึ่งช่วยให้องค์กรสามารถจัดเก็บไฟล์ไว้ภายในระบบของตนเอง (On-premises) ขณะเดียวกันก็ยังใช้งาน Cloud Platform ของ ShareFile สำหรับการยืนยันตัวตน (Authentication), การกำหนดสิทธิ์ (Permissions), การตรวจสอบ Audit และการทำงานร่วมกัน (Collaboration) ได้ตามปกติ

เนื่องจาก Storage Zone Controllers เป็นจุดที่ใช้จัดเก็บไฟล์ทั้งหมดที่มีการรับส่งผ่านระบบ จึงถือเป็นเป้าหมายที่มีมูลค่าสูงสำหรับกลุ่ม Data Extortion ซึ่งมุ่งขโมยข้อมูลเพื่อนำไปเรียกค่าไถ่ หรือใช้ในการข่มขู่องค์กร

ที่มา : bleepingcomputer