พบช่องโหว่ระดับร้ายแรงใน IBM QRadar แนะนำควรอัปเดต

Pedro Ribeiro นักวิจัยด้านความมั่นคงปลอดภัยได้รายงาน 3 ช่องโหว่ของ IBM QRadar ซึ่งมีผลเมื่อใช้ประกอบกันทำให้ผู้โจมตีที่ไม่ได้พิสูจน์ตัวตนจากทางไกลสามารถลัดผ่านกระบวนการพิสูจน์ตัวตนและลอบรันค่ำสั่งด้วยสิทธิ์ระดับผู้ดูแลได้

Credit:alexmillos/ShutterStock

IBM QRadar คือผลิตภัณฑ์ด้าน SIEM ที่ได้รับความนิยมยี่ห้อหนึ่ง โดยช่องโหว่มีผลกระทบกับผู้ใช้งาน SIEM 7.3.0 ถึง 7.3.1 แพตช์ 2 และ SIEM 7.2.0 ถึง 7.2.8 แพตช์ 11 ดังนั้นทาง IBM จึงได้ออกแพตช์แก้ไขใน 7.3.1 แพตช์ 3 และ 7.2.8 แพตช์ 12 แนะนำว่าให้รีบอัปเดต เพราะระดับความรุนแรงที่ NIST ได้ให้ไว้นั้นอยู่ในระดับร้ายแรงถึง 9.8 เลยที่เดียวแม้ว่าทาง IBM เองจะให้คะแนนเพียงแค่ 5.6 สำหรับช่องโหว่หมายเลข CVE-2018-1418 นี้

อันที่จริงแล้วภายใน QRadar มีแอปพลิเคชันเพื่อการวิเคราะห์หลักฐาน (forensic) บนไฟล์ และ ตัวแอปพลิเคชันนี้ไม่ได้เปิดใช้งานใน Community Edition แต่ส่วนของโค้ดยังอยู่ภายในและใช้งานได้ ซึ่งภายในแอปพลิเคชันนี้ประกอบด้วย 2 ส่วนคือ Java Servlet และ ส่วนประกอบหลักที่เขียนโดย PHP โดยช่องโหว่ที่พบมีดังนี้

  • ภายใน Servlet นั้นมีช่องโหว่ที่ทำให้เกิดการลัดผ่านกระบวนการพิสูจน์ตัวตน
  • ภายในส่วนประกอบหลักมีช่องโหว่ที่ทำให้สามารถดาวน์โหลดและ Execute shell ได้ แต่ช่องโหว่นี้จะใช้ได้ก็ต่อเมื่อได้รับการพิสูจน์ตัวตนแล้ว

ดังนั้นเมื่อใช้งาน 2 ช่องโหว่รวมกันจะทำให้ผู้โจมตีจากระยะไกลสามารถ Execute คำสั่งบนระบบได้ แต่มีสิทธิ์ระดับต่ำเท่านั้น อย่างไรก็ตามโชคร้ายที่ Ribeiro ไปพบช่องโหว่เพิ่มอีกหนึ่งจุดและส่งผลให้ยกระดับสิทธิ์จาก ‘nobody’ เป็น ‘root’ ได้ จึงกลายเป็นหายนะทันที ผู้สนใจสามารถติดตามรายละเอียดเชิงเทคนิคและโค้ด PoC ได้ที่รายงานนี้

About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

Google ทลายเครือข่ายพร็อกซี NetNut ที่กระจายบนอุปกรณ์กว่า 2 ล้านเครื่อง

Google ได้เข้าสกัดกั้นเครือข่าย NetNut ซึ่งเป็นหนึ่งในเครือข่ายพร็อกซีที่อยู่อาศัย (residential proxy network) ที่ใหญ่ที่สุดที่ยังเปิดให้บริการอยู่ ส่งผลให้บริการที่เคยเปลี่ยนอุปกรณ์ตามบ้านเรือนกว่า 2 ล้านเครื่องทั่วโลกให้กลายเป็นจุดส่งต่อทราฟฟิกอินเทอร์เน็ตของผู้อื่นต้องหยุดชะงักลง

OpenAI อาจมอบหุ้น 5% ให้รัฐบาลสหรัฐ

มีรายงานว่า OpenAI Group ได้เสนอแนวคิดในการมอบหุ้นจำนวน 5% ของบริษัทให้แก่รัฐบาลสหรัฐอเมริกา