พบช่องโหว่หลายรายการบน Email Encryption Gateway ของ Trend Micro แนะควรอัปเดต

Core Security ผู้ให้บริการด้านความมั่นคงปลอดภัยสำหรับซอฟต์แวร์และบริการได้เปิดเผยถึงช่องโหว่กว่า 10 รายการที่สามารถทำให้ผู้โจมตีทั้งภายในหรือภายนอกสามารถเข้าถึงระบบเป้าหมายเพื่อ Execute คำสั่งด้วยสิทธิ์ระดับผู้ดูแล โดยส่งผลกระทบกับ Email Encryption Gateway เวอร์ชัน 5.5 Build 1111 แนะนำผู้ใช้ควรอัปเดตแพตซ์

ช่องโหว่ดังกล่าวถูกเผยแพร่ในเว็บของ Core Security  โดยมีเลขอ้างอิงของช่องโหว่คือ CVE-2018-6219 ถึง 6230 (12 รายการ) ช่องโหว่ที่น่าสนใจคือ CVE-2018-6223 ซึ่งเกี่ยวกับความผิดพลาดในการพิสูจน์ตัวตน คือผู้ดูแลระบบสามารถตั้งค่า Virtual Appliance สำหรับ Email Encryption Gateway ได้ในระหว่างที่มีการลงทะเบียนกับ Endpoint นั่นทำให้ Endpoint สามารถเข้าถึงระบบได้โดยปราศจากการพิสูจน์ตัวตนส่งผลให้ผู้โจมตีเข้าไปตั้งค่า Credential ของผู้ดูแลและเปลี่ยนแปลงการตั้งค่าได้

ช่องโหว่ความรุนแรงระดับสูง 6 รายการประกอบด้วย การเขียนไฟล์ซึ่งนำไปสู่การ Execution คำสั่ง การเกิด Cross-site-Scripting (XSS) โดย Trend Micro ได้แจ้งเตือนลูกค้าที่ได้รับผลกระทบถึงช่องโหว่ดังกล่าวแล้วและแนะนำให้อัปเดตแพตซ์เป็นเวอร์ชัน 5.5 Build 1129 แต่อย่างไรก็ตามมันกินเวลากว่าครึ่งปีเลยทีเดียวกับการออกแพตซ์ในครั้งนี้และยังเหลือช่องโหว่ระดับกลางอย่าง CSRF และ SQL injection อีก 2 รายการที่ไม่ได้มีแพตซ์ โดย Trend Micro กล่าวว่า “มันค่อนข้างยากและส่งผลลบกับฟังก์ชันสำคัญในการใช้งาน” นอกจากนี้ยังได้ระบุว่า Email Encryption Gateway จะหมดอายุในเร็วๆ นี้ดังนั้นผู้ใช้ควรไปใช้ผลิตภัณฑ์ที่มีความสามารถคล้ายกันอย่าง InterScan Messaging Security แทน

ที่มา : https://www.securityweek.com/dozen-flaws-found-trend-micro-email-encryption-gateway