พบช่องโหว่บน libssh สามารถบายพาสการพิสูจน์ตัวตนบนเซิร์ฟเวอร์ได้

Peter Winter-Smith จาก NCC กรุ๊ปได้ค้นพบช่องโหว่หมายเลขอ้างอิง CVE-2018-10933 ซึ่งเกิดบน libssh หรือไลบรารี่ที่รองรับการเข้ารหัสการสื่อสารระหว่างเครื่องลูกข่ายและเซิร์ฟเวอร์ โดยผลลัพธ์คือแฮ็กเกอร์สามารถลัดผ่านกระบวนการพิสูจน์ตัวตนกับเซิร์ฟเวอร์ได้นั่นเอง

ไอเดียของเรื่องก็ง่ายมากคือเพียงแค่แฮ็กเกอร์ใส่ข้อความว่า ‘SSH2_MSG-USERAUTH_SUCCESS’ แทนที่จะเป็นการขอเริ่มต้นการพิสูจน์ตัวตนอย่างที่เซิร์ฟเวอร์ที่ใช้งาน libssh ตั้งตารอคอยคือ ‘SSH2_MSG_USERAUTH_REQUEST’ ตัวเซิร์ฟเวอร์ก็จะปล่อยให้แฮ็กเกอร์เข้าถึงปลายทางได้ซึ่งแฮ็กเกอร์ไม่ต้องใส่รหัสผ่านเลย โดยช่องโหว่เกิดกับ libssh เวอร์ชัน 0.6.0 ที่ปล่อยออกมาในปี 2014 อย่างไรก็ตามทางทีมงานได้แก้ไข Bug แล้วในเวอร์ชัน 0.8.4 และ 0.7.6

จากการค้นหาด้วย Shodan Search คาดว่าน่าจะมีเซิร์ฟเวอร์ที่ใช้งาน libssh อยู่หลายพันตัวทั่วโลก แต่ผู้ใช้งานไม่ต้องตกใจเพราะไลบรารี่นี้ไม่ค่อยเป็นที่นิยมมากนักเมื่อเทียบกับ OpenSSH ตัวอย่างรายใหญ่จริงๆ มีแค่ GitHub ที่รองรับ libssh แต่ทางทีมงานได้ออกมาประกาศแล้วว่าเวอร์ชันที่รองรับบน Repository ของตนเป็นเวอร์ชันดัดแปลงจึงไม่ได้รับผลกระทบ นอกจากนี้ช่องโหว่จะอยู่บนโค้ดฝั่งเซิร์ฟเวอร์ซึ่งฝั่ง Client ที่ใช้ libssh หรือพูดง่ายๆ ว่าถ้าเราไม่ได้เปิดใช้งาน SSH Server ที่ใช้ libssh ก็รอดตัวไป

ที่มา : https://www.zdnet.com/article/security-flaw-in-libssh-leaves-thousands-of-servers-at-risk-of-hijacking/ และ https://nakedsecurity.sophos.com/2018/10/17/serious-ssh-bug-lets-crooks-log-in-just-by-asking-nicely/