พบช่องโหว่ Buffer Overflow บน Memcached เสี่ยงถูกโจมตีแบบ RCE

cisco_logo_2

เว็บไซต์ชื่อดังอย่าง Facebook, Twitter, Youtube และ Reddit ตกอยู่ในความเสี่ยง !!

Aleksandar Nikolich นักวิจัยจาก Cisco Talos ออกมาเปิดเผยถึงช่องโหว่ Remote Code Execution 3 รายการบน Memcached ระบบ Caching ชื่อดังที่ช่วยเพิ่มความเร็วให้แก่ Web Application ซึ่งหลายเว็บไซต์ชั้นนำทั่วโลกใช้ ไม่ว่าจะเป็น Facebook, Twitter, Youtube, Reddit และอื่นๆ

cisco_talos_banner

Nikolich พบว่าบั๊ก Integer Overflow หลายที่บน Memcached ซึ่งช่วยให้แฮ็คเกอร์ลอบส่งโค้ดแปลกปลอมเข้ามารันบน Memcached Server จากระยะไกลได้ ส่งผลให้หลายเว็บไซต์ที่สามารถเข้าถึง Memcached Server ผ่านอินเทอร์เน็ตได้กำลังตกอยู่ในความเสี่ยง อาจถูกโจมตีแบบ Remote Code Execution ได้

Memcached เวอร์ชันที่ได้รับผลกระทบ คือ 1.4.31 และก่อนหน้านั้น โดยช่องโหว่ที่ค้นพบปรากฏบนฟังก์ชันที่ใช้สำหรับ Insert, Append, Prepend และ Modify ค่า Key-value Data Pairs โดยมีรายละเอียด ดังนี้

  • CVE-2016-8704: Memcached Server Append/Prepend Remote Code Execution Vulnerability
  • CVE-2016-8705: Memcached Server Update Remote Code Execution Vulnerability
  • CVE-2016-8706: Memcached Server SASL Authentication Remote Code Execution Vulnerability

ส่งผลให้แฮ็คเกอร์สามารถส่งคำสั่ง Memcached ที่เขียนขึ้นเป็นพิเศษ เพื่อสั่งการ Memcached Server รวมไปถึงขโมยข้อมูล Process ที่สำคัญ ซึ่งช่วยให้แฮ็คเกอร์สามารถใช้บายพาสระบบรักษาความมั่นคงปลอดภัย เช่น ASLR (Address Space Layout Randomisation) เพื่อทำอันตรายระบบได้ ที่แย่ที่สุดคือ ช่องโหว่นี้ยังช่วยให้แฮ็คเกอร์สามารถเขียน Content แปลกปลอมทับบนระบบ Cache เพื่อเปลี่ยนแปลงหน้าเว็บไซต์, ทำ Phishing Page หรือแนบลิงค์มัลแวร์เพื่อเข้าควบคุมเครื่องของเหยื่อได้

โดยปกติแล้ว Memcached Service ที่ถูกติดตั้งลงบน Server สามารถเข้าถึงได้ผ่านทาง TCP พอร์ท 11211 Cisco Talos แนะนำว่า ให้จำกัดการเข้าถึงเฉพาะเครื่องที่ Trust เท่านั้น รวมไปถึงอัปเดตเป็น Memcached เวอร์ชันล่าสุดให้เรียบร้อยเพื่อจัดการกับช่องโหว่ดังกล่าว

ที่มา: http://thehackernews.com/2016/11/memcached-hacking.html


About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

“ฟอร์ติเน็ตจับมือมหาวิทยาลัยศรีปทุม” เพื่อลดช่องว่างด้านทักษะ เพื่อต่อสู้ภัยไซเบอร์ของบุคลากรไทย [Guest Post]

“เปิดโอกาสให้บุคลากรไทยเข้าถึงหลักสูตรความรู้ด้านความปลอดภัยไซเบอร์ระดับโลกล่าสุดของฟอร์ติเน็ต เพื่อปั้นผู้เชี่ยวชาญมืออาชีพรุ่นเน็กซ์เจนเนอเรชั่น” ฟอร์ติเน็ต ผู้นำระดับโลกด้านโซลูชันการรักษาความปลอดภัยทางไซเบอร์แบบอัตโนมัติและครบวงจร ได้ลงนามในบันทึกความเข้าใจ (MOU) กับมหาวิทยาลัยศรีปทุม เพื่อจัดหลักสูตรการฝึกอบรมและออกประกาศนียบัตรด้านความปลอดภัยทางไซเบอร์อันเป็นที่ยอมรับในอุตสาหกรรมระดับโลกให้นักศึกษาของไทย ความร่วมมือครั้งสำคัญนี้จะช่วยให้นักศึกษาของมหาวิทยาลัยศรีปทุมเพิ่มทักษะด้านการรักษาความปลอดภัยไซเบอร์ที่ตรงกับความต้องการขององค์กรในประเทศไทยจากหลักสูตรที่ได้รับรางวัลของฟอร์ติเน็ต เพื่อเตรียมให้นักศึกษาพร้อมเป็นผู้เชี่ยวชาญ ลดช่องว่างด้านทักษะ ช่วยสร้างโลกดิจิทัลของไทยให้ปลอดภัย

เดลล์ เทคโนโลยีส์ ประกาศเสริมความแข็งแกร่งในการเตรียมพร้อมเพื่อการรับมือกับภัยคุกคามไซเบอร์ด้วยนวัตกรรมด้านความปลอดภัยและการปกป้องข้อมูลบนมัลติคลาวด์ [Guest Post]

ซอฟต์แวร์ที่ทำงานด้วยพลังของ AI จากเดลล์ และความสามารถในการดูแลรักษาความปลอดภัยในการปฏิบัติงานช่วยขับเคลื่อนการทำงานแบบ Zero Trust ที่ปกป้องทั้งข้อมูล พร้อมลดความเสี่ยงจากการโจมตีทางไซเบอร์