พบช่องโหว่ความรุนแรงสูงสุดบน Red Hat Linux DHCP Client เปิดให้ผู้โจมตีเข้าถึงสิทธิ์ Root ได้

นักวิจัยด้าน Security จาก Google ได้ค้นพบช่องโหว่ Remote Command Injection บนระบบ DHCP Client ของ Red Hat Linux ที่ส่งผลกระทบต่อ Linux ตระกูลอื่นๆ ที่เกี่ยวข้องอย่างเช่น Fedora ด้วย

 

Credit: Red Hat

 

ช่องโหว่นี้ได้รับรหัส CVE-2018-1111 ซึ่งเปิดให้ผู้โจมตีสามารถเรียกใช้คำสั่งใดๆ ก็ได้ในสิทธิ์ระดับ Root บนเครื่องเป้าหมายที่มีช่องโหว่นี้ โดยช่องโหว่ดังกล่าวนี้ปรากฏอยู่บน NetworkManager Integration Script ซึ่งเกี่ยวข้องกับการกำหนดการตั้งค่าระบบเครือข่ายผ่าน DHCP Protocol

ผู้โจมตีที่ต้องการเจาะช่องโหว่นี้ จะต้องทำการสร้าง DHCP Server ขึ้นมา หรือต้องอยู่ในระบบเครือข่ายวงเดียวกับเครื่องของเหยื่อ และทำการ Spoof DHCP Response ให้ได้ ซึ่งการ Spoof นี้เองที่จะนำไปสู่การสั่งให้เหยื่อเรียกใช้คำสั่งที่ต้องการด้วยสิทธิ์ระดับ Root ได้นั่นเอง

ถึงแม้ปัจจุบันนี้รายละเอียดฉบับเต็มของช่องโหว่จะยังไม่ถูกเปิดเผย แต่ทาง Red Hat เองก็ได้ออกมายืนยันแล้วว่าช่องโหว่ดังกล่าวส่งผลกระทบต่อทั้ง Red Hat Enterprise Linux 6 และ 7 รวมถึงผู้ใช้งานที่ใช้ dhclient Package รุ่นที่มีช่องโหว่ต่างก็ได้รับผลกระทบทั้งหมด และแจ้งให้ผู้ใช้งานทำการอัปเดตทันทีที่มี Patch ออกมา และปัจจุบัน Fedora เองก็มี Patch อุดช่องโหว่นี้แล้วเช่นกัน

ช่องโหว่นี้ไม่ส่งผลกระทบกับ Linux ค่ายอื่นๆ อย่างเช่น OpenSUSE หรือ Ubuntu แต่อย่างใด เพราะระบบเหล่านั้นไม่ได้ใช้ NetworkManager Integration Script แบบ Default นั่นเอง

สำหรับรายละเอียดฉบับเต็ม สามารถศึกษาได้ที่ https://access.redhat.com/security/vulnerabilities/3442151 ครับ

 

ที่มา: https://thehackernews.com/2018/05/linux-dhcp-hacking.html


About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

เตือนผู้ใช้ VLC เล่นไฟล์วิดีโอแปลกปลอมเสี่ยงถูกแฮ็กได้

Symeon Paraschoudis นักวิจัยด้านความมั่นคงปลอดภัยจาก Pen Test Partners ออกมาแจ้งเตือนถึงช่องโหว่บน VLC แอปพลิเคชันสำหรับเล่นวิดีโอยอดนิยม ซึ่งช่วยให้แฮ็กเกอร์สามารถเข้าควบคุมระบบคอมพิวเตอร์จากระยะไกล ถ้าผู้ใช้เผลอเล่นไฟล์วิดีโออะไรก็ไม่รู้ที่ดาวน์โหลดมาจากอินเทอร์เน็ต

UiPath ขอเชิญร่วม Meeting ในหัวข้อ Discovering the process for Automation 3 ก.ค. 2019

UiPath ขอเชิญผู้ที่สนใจเทคโนโลยี Robotic Process Automation (RPA) ทุกท่าน เข้าร่วมงาน Meeting ฟรี Discovering the process for Automation เพื่อเรียนรู้ว่าปัจจุบันนี้กระบวนการใดบ้างที่นิยมแปลงให้เป็นอัตโนมัติด้วย RPA ในวันที่ 3 ก.ค. 2019 โดยมีรายละเอียด กำหนดการ และวิธีการลงทะเบียนเข้าร่วมงานฟรีดังนี้