โค้ดสาธิตช่องโหว่ Critical บน Veeam Recovery Orchestrator ถูกเผยแพร่แล้ว

June 14, 2024 Cybersecurity, Products, Threats Update, Veeam

โค้ดสาธิตช่องโหว่ Authentication Bypass ความรุนแรงระดับ Critical บน Veeam Recovery Orchestrator ถูกเผยแพร่แล้ว ผู้ดูแลระบบควรแพตช์โดยด่วน

Credit: ShutterStock.com

Sina Kheirkha ผู้เชี่ยวชาญด้านความมั่นคงปลอดภัยได้เผยแพร่โค้ดสาธิตของช่องโหว่ Authentication Bypass (CVE-2024-29855) ที่เกิดขึ้นใน Veeam Recovery Orchestrator (VRO) เวอร์ชัน 7.0.0.337, 7.1.0.205 และเวอร์ชันที่เก่ากว่า มีคะแนนความรุนแรง CVSS v3.1 ระดับ 9.0 หรือ Critical ปัญหาเกิดขึ้นจากมีการใช้งาน Hardcoded JSON Web Token (JWT) secret ทำให้ผู้โจมตีสามารถข้ามขั้นตอนการยืนยันตัวตนในหน้า Web UI และได้สิทธิระดับผู้ดูแลระบบทันที ซึ่ง Script ภายในโค้ดสาธิตดังกล่าวได้แสดงถึงตัวอย่างการโจมตีที่สามารถทำได้อย่างง่ายดายด้วยการผสานเทคนิคต่างๆ เช่น token spraying และ bruteforce

ผู้ดูแลระบบควรทำการแพตช์ช่องโหว่นี้ทันที โดยสามารถอัปเดตไปใช้งาน VRO เวอร์ชัน 7.1.0.230 และ 7.0.0.379 ขึ้นไป

ที่มา: BleepingComputer

Tags

About เด็กฝึกงาน TechTalkThai หมายเลข 1

นักเขียนผู้มีความสนใจใน Enterprise IT ด้วยประสบการณ์กว่า 10 ปีในไทย ปัจจุบันใช้ชีวิตอยู่ที่สหรัฐอเมริกา แต่ยังคงมุ่งมั่นในการแบ่งปันความรู้และประสบการณ์ด้านเทคโนโลยีให้กับทุกคน

Check Also

Extreme Networks เปิดตัว Wi-Fi 7 AP รุ่นใหม่ พร้อม Agentic AI สำหรับบริหารจัดการระบบเครือข่ายแบบอัตโนมัติ

Extreme Networks ได้ออกมาประกาศถึงอัปเดตครั้งใหญ่ โดยเปิดตัว Wi-Fi 7 Access Point รุ่นใหม่ล่าสุด 5 รุ่น พร้อมนวัตกรรมใหม่ในการบริหารจัดการระบบเครือข่ายด้วย AI Agent เพื่อดูแลรักษาระบบเครือข่ายขององค์กรให้ทำงานได้อย่างต่อเนื่องโดยอัตโนมัติ

Omnissa เปิดตัว Workspace ONE UEM 2604 บริหารจัดการ Windows Server ได้แล้ว เพิ่มความสามารถใหม่ๆ มากมาย

Omnissa ได้ออกมาเปิดตัว Release ใหม่ล่าสุด 2604 โดยถือเป็นหนึ่งในการอัปเดตครั้งใหญ่ที่สุด ด้วยความสามารถใหม่ๆ มากมาย ดังนี้

ติดต่อโฆษณา info@techtalkthai.com

©2019 สงวนลิขสิทธิ์โดย TechTalkThai - กรุงเทพมหานคร, ประเทศไทย | ©2019 TechTalkThai, All rights reserved. - Bangkok, Thailand