พบอีกหนึ่งช่องโหว่สุ่มเดาชื่อ Username บน OpenSSH ยังไม่มีแพตช์ให้แก้ไข

หลังจากที่ทีมนักวิจัยด้านความมั่นคงปลอดภัยจาก Qualys ออกมาเปิดเผยถึงช่องโหว่การสุ่มเดาชื่อ Username เมื่อสัปดาห์ที่ผ่านมา ล่าสุดทีมนักวิจัยได้ออกมาเปิดเผยถึงช่องโหว่ที่คล้ายคลึงกันบน OpenSSH เวอร์ชันหลังปี 2011 ซึ่งขณะนี้ยังไม่มีแพตช์สำหรับอุดช่องโหว่

ช่องโหว่การสุ่มเดาชื่อ Username นี้มีรหัส CVE-2018-15919 เป็นช่องโหว่ซึ่งช่วยให้แฮ็กเกอร์สามารถลองสุ่มชื่อ Username บนเซิร์ฟเวอร์ เพื่อดูว่ามีชื่อ Username อะไรอยู่บ้าง ซึ่งอาจนำไปสู่การเดารหัสผ่านในขั้นตอนถัดไปได้ ช่องโหว่นี้ส่งผลกระทบบน OpenSSH ทุกเวอร์ชันที่ออกหลังเดือนกันยายนปี 2011

จากการตรวจสอบพบว่าช่องโหว่นี้มีสาเหตุมาจากโมดูล auth2-gss.c ซึ่งถูกใช้งานโดย Default บน Fedora, CentOS, Red Hat Enterprise Linux และอาจรวมไปถึง Linix Distro อื่นๆ เมื่อผู้ใช้พยายามทำการพิสูจน์ตัวตน แฮ็กเกอร์จะได้รับ Packet เดียวกับผู้ใช้ที่ระบุว่า Username ที่ใช้ถูกต้องหรือไม่ ถ้าถูกต้อง ‘server_caused_failure’ จะถูกเซ็ต ซึ่งแฮ็กเกอร์จะทราบทันทีว่ามีชื่อ Username นี้อยู่จริง อย่างไรก็ตาม จำนวนครั้งที่ให้เดาจะถูกจำกัดอยู่ที่ 6 โดย Default ส่งผลให้นักพัฒนาจาก OpenSSH มองว่าเป็นช่องโหว่ที่มีความรุนแรงระดับต่ำ จึงยังไม่สนใจออกแพตช์ออกมาเพื่ออุดช่องโหว่โดยทันที นอกจากนี้ Username ยังถือว่าไม่ใช่ข้อมูลลับ และจะไม่มีความสำคัญถ้าไม่ทราบถึงรหัสผ่าน

รายละเอียดเชิงเทคนิคเกี่ยวกับช่องโหว่: http://seclists.org/oss-sec/2018/q3/180

ที่มา: https://www.bleepingcomputer.com/news/security/openssh-versions-since-2011-vulnerable-to-oracle-attack/

About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

Amazon เตรียมปลดระวาง Mechanical Turk ไม่รับผู้ใช้งานเพิ่มแล้ว

Amazon Web Services (AWS) ได้ยุติการรับลูกค้าใหม่สำหรับบริการที่มีอายุเก่าแก่หลายทศวรรษอย่าง Mechanical Turk เป็นที่เรียบร้อยแล้ว ซึ่งนับเป็นสัญญาณเตือนถึงจุดสิ้นสุดของแพลตฟอร์มตลาดแรงงานแบบคราวด์ซอร์สรุ่นบุกเบิกนี้

Meta เตรียมปล่อยโมเดล AI รุ่นใหม่ เพิ่มความสามารถด้าน Coding หวังชน GPT-5.5

Meta เตรียมปล่อยโมเดล AI รุ่นใหม่ที่พัฒนาต่อยอดจาก Muse Spark โดย Alexandr Wang Chief AI Officer ของ Meta เปิดเผยผ่านแพลตฟอร์ม …