Vulnerability in ‘netmask’ npm Package Affects 280,000 Projects

พบช่องโหว่ใน netmask npm package ส่งผลให้การใช้งาน private network ไม่ปลอดภัย และสามารถถูกนำไปใช้โจมตีกับวิธีอื่นๆ ได้หลากหลาย

netmask package ดังกล่าวถูกใช้อย่างแพร่หลาย ช่องโหว่นี้ได้รับเป็น CVE-2021-28919 เป็นปัญหาที่เกิดจากการอ่านข้อมูลที่ถูก encode ไม่ถูกต้อง ส่งผลให้แปลความหมายของ IP Address ผิดพลาด ทำให้ netmask เข้าใจว่า Private IP Address เป็น External IP Address และอาจเปิดช่องทางให้สามารถเข้าถึงจากภายนอกได้ ขึ้นอยู่กับว่ามีการใช้งาน Package ดังกล่าวในลักษณะอย่างไร การโจมตีที่อาจถูกใช้ผ่านช่องโหว่นี้ประกอบด้วย Server-side request forgery, remote file inclusion และ local file inclusion เป็นต้น

นักวิจัยที่ใช้ชื่อว่า Sick Codes เป็นผู้ค้นพบช่องโหว่ดังกล่าว และพบว่าปัญหาอยู่ในส่วนของการแปลความหมายในส่วน octet แรกของ IP Address ที่ขึ้นต้นด้วยเลข 0 เป็น decimal เช่น การแปลผลข้อมูลที่ถูกส่งมาเป็น 012.0.0.1 (10.0.0.1) เป็น 12.0.0.1 (Public) ส่งผลให้ผู้ไม่หวังดีสามารถอาศัย IP Address ดังกล่าวเป็นช่องทางในการเข้าถึงภายในได้ ด้วยการส่ง Package มาหลอกลวงแอพพลิเคชั่นที่ใช้งาน netmask package ที่มีช่องโหว่ดังกล่าว

ที่มา: securityweek