พบช่องโหว่ยกระดับสิทธ์บนลีนุกซ์ คาดกระทบดิสโทรหลักทั้งหมด

ผู้เชี่ยวชาญจาก Qualys ได้สาธิตช่องโหว่ใหม่ที่ชื่อว่า ‘PwnKit’ ซึ่งเกิดขึ้นใน pkexec ซึ่งสามารถทำให้คนร้ายได้สิทธิ์ระดับ Root

pkexec เป็นส่วนหนึ่งของโปรเจ็คโอเพ่นซอร์สที่ชื่อ Polket โดยส่วนประกอบนี้ทำให้ผู้ใช้งานที่มีผ่านการพิสูจน์ตัวตนสามารถรันคำสั่งในบริบทของผู้ใช้งานอื่น คล้ายกับความสามารถของ Sudo ซึ่ง Qualys พบช่องโหว่ CVE-2021-4034 (PwnKit) หรือช่องโหว่ Memory Corruption ทำให้คนร้ายที่ยังไม่มีสิทธิ์ในระดับ Local สามารถได้รับสิทธิ์ในระดับ Root

โดยผู้เชี่ยวชาญพบว่าช่องโหว่เกิดขึ้นตั้งแต่เวอร์ชันแรกของ pkexec แล้วหรือตั้งแต่พฤษภาคมปี 2009 และกระทบกับลีนุกซ์ดิสโทรหลักๆทั้ง Ubuntu, Debian, Fedora และ CentOS ซึ่งคาดว่าจะมีมากกว่านี้ อย่างไรก็ดีทีมงานได้แจ้งเตือนทีมพัฒนา OS จะมีแพตช์ออกมาแล้วไม่ว่าจะเป็น Red Hat และ Ubuntu เป็นต้น สำหรับผู้สนใจชมวีดีโอสาธิตได้ที่ด้านล่าง

ที่มา : https://www.bleepingcomputer.com/news/security/linux-system-service-bug-gives-root-on-all-major-distros-exploit-released/


About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

รวมวิดีโองานสัมมนา NCSA Virtual Summit #1 – 2023 Cybersecurity & Privacy Trends

สำนักงานคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ (สกมช.)​ ร่วมกับ TechTalkThai จัดงานสัมมนา “NCSA Virtual Summit #1” ภายใต้ธีม 2023 Cybersecurity & Privacy Trends …

เชิญร่วมงานสัมมนาออนไลน์ “เทคโนโลยี EDR และ XDR แก้ไขปัญหา Ransomware ได้จริงหรือไม่?” โดย ActiveMedia

ปัญหาการถูกโจมตีจาก Ransomware เริ่มเป็นที่รู้จักอย่างแพร่หลายในช่วงไม่กี่ปีที่ผ่านมานี้ เนื่องจากบรรดาแฮ็กเกอร์ได้มองเห็นช่องทางในการหาเงินโดยการเรียกค่าไถ่เพื่อที่จะได้รับรหัสสำหรับการปลดล็อคและกลับไปใช้ข้อมูลได้ตามปกติจากผู้ที่ตกเป็นเหยื่อ เทคโนโลยี EDR และ XDR ถือเป็นอีกขั้นของเทคโนโลยีเพื่อช่วยตอบสนองภัยคุกคามได้ดีขึ้น เทคโนโลยีนี้ สามารถแก้ไขปัญหา Ransomware ได้จริงหรือไม่? ActiveMedia ขอเชิญเข้าร่วมการสัมมาออนไลน์ไปพร้อมกับเรา