นักวิจัยด้านความปลอดภัย Khaled Nassar ได้เผยแพร่โค้ด proof-of-concept (PoC) สำหรับช่องโหว่ Digital signature bypass ใหม่ใน Java ซึ่งมีหมายเลข CVE-2022-21449 (CVSS score: 7.5) โดยช่องโหว่นี้ค้นพบโดย Neil Madden นักวิจัยของ ForgeRock ซึ่งเคยแจ้ง Oracle เมื่อวันที่ 11 พฤศจิกายน 2021

ช่องโหว่ดังกล่าวส่งผลกระทบต่อ Java SE และ Oracle GraalVM Enterprise Edition ในเวอร์ชันต่อไปนี้:

Oracle Java SE: 7u331, 8u321, 11.0.14, 17.0.2, 18
Oracle GraalVM Enterprise Edition: 20.3.5, 21.3.1, 22.0.0.2

ผู้โจมตีไม่จำเป็นต้องผ่านการตรวจสอบสิทธิ์ แค่สามารถเข้าถึงเครือข่ายได้ผ่านทางโปรโตคอลต่างๆ ก็สามารถอาศัยช่องโหว่เพื่อเข้าควบคุม Oracle Java SE และ Oracle GraalVM Enterprise Edition ได้ ซึ่งหากสามารถโจมตีได้สำเร็จอาจส่งผลให้มีการสร้าง ลบ หรือแก้ไขการเข้าถึงข้อมูลที่สำคัญโดยไม่ได้รับอนุญาต หรือข้อมูลของ Oracle Java SE, Oracle GraalVM Enterprise Edition ที่เข้าถึงได้ทั้งหมด

ช่องโหว่นี้ถูกเรียกว่า Psychic Signatures ซึ่งอยู่ในการนำ Elliptic Curve Digital Signature Algorithm (ECDSA) ของ Java ไปใช้ โดยช่องโหว่นี้ช่วยให้ blank signature ได้รับการยอมรับว่าถูกต้องบนระบบที่มีช่องโหว่ ซึ่งหากมีการโจมตีช่องโหว่นี้ได้สำเร็จ อาจทำให้ผู้โจมตีสามารถทำการปลอมแปลง signatures และ bypass มาตรการตรวจสอบสิทธิ์ได้

ช่องโหว่ดังกล่าวได้รับการแก้ไขแล้ว โดย Oracle ด้วย Critical Patch Update (CPU) ประจำไตรมาสเดือนเมษายน 2022 ที่มีการเผยแพร่เมื่อวันที่ 19 เมษายน 2022 ที่ผ่านมา จึงขอแนะนำให้องค์กรที่ใช้ Java เวอร์ชัน 15, 16, 17 หรือ 18 ควรติดตั้งการอัปเดตความปลอดภัยทันที

ที่มา : thehackernews.