FireEye Security Bug: Connection to physical host and adjacent network possible during analysis in Live-Mode

แจ้งเตือนช่องโหว่ด้านความปลอดภัยบน FireEye AX 5400 ทำให้มัลแวร์สามารถเข้าถึง Appliance ได้

Andreas Dewald ได้เปิดเผยช่องโหว่ด้านความปลอดภัยบนอุปกรณ์ FireEye AX รุ่น 5400 ซึ่งส่งผลให้มัลแวร์หรือโปรแกรมซึ่งถูกสร้างมาเป็นพิเศษเพื่อโจมตีช่องโหว่ดังกล่าวสามารถเข้าถึง appliance หรือโจมตีเพื่อแพร่ระบาดตัวเองไปยังโฮสต์อื่นในเครือข่ายได้

FireEye AX เป็นอุปกรณ์ที่ถูกออกแบบมาเพื่อใช้ในการตรวจสอบและพิสูจน์มัลแวร์หรือไฟล์ที่เป็นอันตรายในสภาพแวดล้อมที่มีการควบคุม (sandbox) อุปกรณ์ดังกล่าวมีรูปแบบการทำงานอยู่ด้วยกัน 2 ลักษณะคือ รูปแบบการทำงานแบบ sandbox และรูปแบบการทำงานแบบ live โดยในรูปแบบการทำงานแบบ sandbox นั้น สภาพแวดล้อมในการทดสอบจะถูกควบคุมอย่างเข้มงวด แตกต่างกันในรูปแบบการทำงานแบบ live ที่มีการยินยอมให้โปรแกรมที่เป็นอันตรายส่งข้อมูลออกไปยังอินเตอร์เน็ตได้

Andreas Dewald ค้นพบว่า เมื่ออุปกรณ์ถูกตั้งค่าให้ทำงานในรูปแบบ live โปรแกรมที่ถูกวิเคราะห์นั้นสามารถเข้าถึงพอร์ตของ SSH ที่ใช้ในการตั้งค่าของอุปกรณ์ได้ด้วย ทำให้โปรแกรมที่เป็นอันตรายนั้นสามารถทำการโจมตีแบบ brute force หรือหากรู้รหัสผ่านอยู่แล้วก็สามารถเข้าควบคุมอุปกรณ์ผ่านทาง SSH ได้ ผู้โจมตีเพียงแค่ส่งไฟล์ที่เป็นอันตรายในช่องทางใดๆ ก็ตามที่อุปกรณ์จะทำการวิเคราะห์ เช่น ช่องทางอีเมล ก็จะสามารถโจมตีช่องโหว่ดังกล่าวได้

Recommendation: ช่องโหว่ดังกล่าวได้ถูกแก้ไขแล้วในซอฟต์แวร์รุ่น 7.7.7 และ 8.0.1 แนะนำให้ผู้ใช้งานอุปกรณ์ดังกล่าวอยู่ทำการอัพเกรดซอฟต์แวร์เป็นเวอร์ชันล่าสุดโดยทันที รายละเอียดของช่องโหว่และโค้ดสำหรับทดสอบโจมตีช่องโหว่สามารถตรวจสอบได้จากแหล่งที่มา

ที่มา: insinuator

Read more