Microsoft Azure by Ingram Micro (Thailand)

ผู้เชี่ยวชาญเผยช่องโหว่ใหม่ DNSpooq คาดกระทบอุปกรณ์จำนวนมาก

JSOF บริษัทผู้เชี่ยวชาญด้านความมั่นคงปลอดภัยจากอิสราเอลได้ค้นพบช่องโหว่ใหม่ 7 รายการ ในซอฟต์แวร์สำหรับให้บริการ Network Service ที่ชื่อ Dnsmasq

Credit: ShutterStock.com

Dnsmasq เป็นซอฟต์แวร์ที่ให้บริการ Network Service เช่น DNS Server, DNS Forwarder, DHCP Server, Route Advertisement, Network Boot Services ซึ่งเหมาะกับงานในโครงสร้างขนาดเล็กที่มีอุปกรณ์ IoT, SOHO Routers หรือไฟล์วอล์ที่มีทรัพยากรจำกัด แม้ดูเหมือนจะไม่มีอะไรแต่ว่าซอฟต์แวร์นี้ถูกใช้ใน Vendor ชื่อดังหลายรายเช่น Android/Google, Comcast, Cisco, Redhat, Netgear, Qualcomm, Linksys, Netgear, IBM, D-Link, Dell, Huawei และ Ubiquiti เป็นต้น

ช่องโหว่ที่ผู้เชี่ยวชาญเปิดเผยมี 7 รายการ โดย 3 รายการแรกอยู่ในกลุ่มของ DNS Cache Poisoning Attack ประกอบด้วย CVE-2020-25686, CVE-2020-25684 และ CVE-2020-25685 ส่วนที่เหลือ 4 รายการส่งผลให้เกิด Buffer Overflow ได้ประกอบด้วย CVE-2020-25687, CVE-2020-25683, CVE-2020-25682 และ CVE-2020-25681 ซึ่งนำไปสู่การลอบรันโค้ดได้หาก Dnsmasq เปิดใช้ DNSSEC

โดย JSOF ได้ลองค้นหาแพลตฟอร์มจาก SHODAN หรือ BinaryEdge พบว่ามีเซิร์ฟเวอร์ Dnsmasq เชื่อมต่อผ่านอินเทอร์เน็ตมากกว่า 1,000,000 และ 630,000 ตามลำดับ อย่างไรก็ดีสำหรับผู้ใช้งานปัจจุบันสามารถแก้ไขได้แล้วด้วยการอัปเดต Dnsmasq เวอร์ชัน 2.83 ขึ้นไป

ที่มา : https://www.bleepingcomputer.com/news/security/dnspooq-bugs-let-attackers-hijack-dns-on-millions-of-devices/

About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

Microsoft ยกเลิกการใช้ 1024-bit RSA Key บน Windows แล้ว

Microsoft ประกาศยกเลิกการใช้กุญแจเข้ารหัส 1024-bit RSA Key บน Windows แล้ว เปลี่ยนไปใช้กุญแจเข้ารหัสความยาว 2048-bit เป็นอย่างน้อย

Google ยกระดับ URL Protection บน Chrome ให้เป็นแบบเรียลไทม์

Google ประกาศเปิดตัว Safe Browsing ที่เพิ่มความสามารถในการป้องกันภัยคุกคามและรักษาความเป็นส่วนบุคคลได้แบบเรียลไทม์สำหรับผู้ใช้ Google Chrome ทั้งบน Desktop และ iOS รวมถึงอัปเดตฟีเจอร์ Password Checkup ใหม่บน …