Breaking News
AMR | Citrix Webinar: The Next New Normal

ผู้เชี่ยวชาญเตือนรีบอัปเดต Firmware แก้ไข Backdoor ใน NAS ยี่ห้อ WD

James Bercegay นักวิจัยด้านความมั่นคงปลอดภัยจาก GulfTech ได้ค้นพบช่องโหว่ใน MyCloud NAS ยี่ห้อ Western Digital ซึ่งมีบัญชี Backdoor ฝังอยู่และมีช่องโหว่ที่ทำให้แฮ็กเกอร์เจาะเข้ามาได้ง่าย โดยนักวิจัยแนะนำให้ผู้ใช้รีบอัปเดต Firmware เพื่อแก้ไขช่องโหว่ดังกล่าว

credit : Bleeping Computer

ทาง Western Digital ได้ปล่อย Firmware เวอร์ชัน 2.30.174 เพื่อแก้ไขปัญหาในรายงานที่ออกมาแล้วแนะนำผู้ใช้ควรอัปเดตตามรูปด้านบนคือรายชื่ออุปกรณ์ที่ได้รับผลกระทบ

ในรายงานของ Bercegay ระบุถึงช่องโหว่ 3 รายการดังนี้
  • Unrestricted File Upload คือ เว็บเซิร์ฟเวอร์ที่ Build-in มากับ NAS MyCloud ของ Western Digital มีไฟล์ PHP  ที่ทำให้ผู้โจมตีสามารถอัปโหลดไฟล์ไปบนอุปกรณ์ โดยนักวิจัยได้ทดสอบพบว่าสามารถได้รับสิทธิ์เข้าควบคุมอุปกรณ์
  • Hardcoded Backdoor account คือ มีบัญชี Backdoor ชื่อผู้ใช้ mydlinkBRionyg รหัสผ่าน abc12345cba ฝังอยู่ซึ่งแม้จะไม่ใช่สิทธิ์ระดับผู้ดูแลแต่นักวิจัยก็สามารถได้รับสิทธิ์ของบัญชี Backdoor กลายเป็นระดับผู้ดูแลด้วยการใช้ช่องโหว่อีกช่องโหว่นึง
  • Cross-Site Request Forgery (CSRF) หรือ ใช้ “ตัวตน (Identity)” และ “สิทธิ์ (Privilege)” ของเหยื่อที่มีบนเว็บไซต์ ในการปลอมตัวเป็นเหยื่อและกระทำการหรือธุรกรรมไม่พึงประสงค์  ซึ่งทำให้ผู้โจมตีสามารถกระทำการ เช่น รีเซ็ตภาษาของอินเตอร์เฟส Backend Panel ของอุปกรณ์ได้

นอกจากนี้นักวิจัยได้ชี้ว่าบัญชี Backdoor กลายเป็นปัญหาใหญ่เพราะมันสามารถทำให้ผู้โจมตีเข้าไปโจมตีอุปกรณ์อื่นภายใน Lan ได้ด้วย ไม่เพียงแค่ NAS ที่เชื่อมต่ออินเทอร์เน็ตอยู่เท่านั้น โดยวิธีการใช้ช่องโหว่เพียงแค่ผู้ใช้งานเข้าชมเว็บไซต์ที่ฝัง iframe หรือ Tag รูปภาพ ที่มีการร้องขอไปยังอุปกรณ์ที่มีช่องโหว่โดยใช้ชื่อโฮสต์ที่เป็นค่าดั้งเดิมของ WDMyCloud เช่น wdmycloud หีือ wdmycloudmirror เป็นต้น ก็สามารถทำให้ผู้โจมตีเข้ายึด WDMyCloud ของเหยื่อได้ ด้านล่างคือคำสั่งของตัวอย่างข้างต้นซึ่งอาจจะฝังในโฆษณาหน้าเว็บหรือ iframe

credit : Bleeping Computer

ที่มา : https://www.bleepingcomputer.com/news/security/backdoor-account-removed-from-western-digital-nas-hard-drives/



About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

CU Webinar: ตอบโจทย์ Cybersecurity ด้วยเทคโนโลยี Machine Learning (ML) และ Artificial Intelligence (AI) จาก IBM QRadar

TechTalkThai ขอเรียนเชิญ CTO, CIO, CISO, IT Manager, IT Security Manager, Security Engineer, ผู้ดูแลระบบ IT และผู้ที่สนใจทุกท่าน เข้าร่วมฟัง TechTalk Webinar ในหัวข้อเรื่อง "ตอบโจทย์ Cybersecurity ด้วยเทคโนโลยี Machine Learning (ML) และ Artificial Intelligence (AI) จาก IBM QRadar" เพื่อเรียนรู้กรณีการตรวจจับและจัดการกับภัยคุกคามอย่างมีประสิทธิภาพมากขึ้นโดยการนำ ML และ AI มาใช้ พร้อมชมตัวอย่างจาก IBM QRadar ในวันศุกร์ที่ 12 มิถุนายน 2020 เวลา 14.00 – 15.30 น. โดยมีกำหนดการและวิธีการลงทะเบียนดังนี้

[Guest Post] เอไอเอส ยืนยัน ไม่มีข้อมูลส่วนบุคคลลูกค้ารั่วไหลตามที่เป็นข่าว

นางสายชล ทรัพย์มากอุดม หัวหน้าสายงานประชาสัมพันธ์ บริษัท แอดวานซ์ อินโฟร์ เซอร์วิส จำกัด (มหาชน) กล่าวว่า “จากการรายงานข่าวในต่างประเทศเกี่ยวกับการรั่วไหลของข้อมูลลูกค้าเอไอเอส นั้น บริษัทฯ ขอเรียนว่า ข้อมูลดังกล่าวไม่ใช่ข้อมูลส่วนบุคคลของลูกค้าแต่เป็นข้อมูลเกี่ยวกับการใช้งานอินเตอร์เน็ตในภาพรวมบางส่วน และไม่ใช่ข้อมูลที่สามารถก่อให้เกิดความเสียหายด้านการเงินหรือด้านอื่นๆ โดยกรณีนี้เกิดจากการทดสอบเพื่อปรับปรุงคุณภาพเครือข่ายที่มีขึ้นในเดือนพฤษภาคม และภารกิจดังกล่าวได้ดำเนินการเรียบร้อยแล้ว โดยขอยืนยันอีกครั้งว่า ไม่มีลูกค้ารายใดได้รับผลกระทบทั้งด้านการเงินและด้านอื่นๆอย่างแน่นอน”