Microsoft เตือน พบช่องโหว่ใน OpenVPN ที่อาจถูกใช้สร้างการโจมตีแบบลูกโซ่

ในงาน Black Hat Security Conference ที่กำลังจัดขึ้น Microsoft ได้เปิดเผยช่องโหว่หลายรายการที่พบใน OpenVPN พร้อมเตือนว่าแฮกเกอร์อาจสร้างการโจมตีแบบลูกโซ่เพื่อนำไปสู่การโจมตีแบบ Remote Code Execution ได้

Credit: ShutterStock.com

นักวิจัยด้านความมั่นคงปลอดภัยจาก Microsoft, Vladimir Tokarev ได้ค้นพบช่องโหว่ 4 รายการที่ส่งผลกระทบต่อฝั่ง Client ของ OpenVPN โดยช่องโหว่เหล่านี้ได้รับการแก้ไขแล้วใน OpenVPN เวอร์ชัน 2.6.10 ซึ่ง Microsoft ระบุว่าหากโจมตีในสภาวะที่เหมาะสมแล้ว สามารถนำไปสู่การโจมตีแบบลูกโซ่ ทำให้สามารถเข้ายึดควบคุมอุปกรณ์ปลายทางได้อย่างสมบูรณ์

โดยช่องโหว่ที่ค้นพบ ได้แก่:

  1. CVE-2024-27459: ส่งผลต่อ openvpnserv component ทำให้ผู้ใช้ Windows เสี่ยงต่อการโจมตีเพื่อยกระดับสิทธิ์แบบ local
  2. CVE-2024-24974: พบใน openvpnserv component ทำให้เข้าถึงโดยไม่ได้รับอนุญาตบนแพลตฟอร์ม Windows
  3. CVE-2024-27903: ส่งผลต่อ openvpnserv component ทำให้สามารถรันโค้ดจากระยะไกลบน Windows ได้ และสามารถยกระดับสิทธิ์หรือเข้าถึงข้อมูลแบบ local บน Android, iOS, macOS และ BSD
  4. CVE-2024-1305: เกิดขึ้นใน Windows TAP driver ทำให้สามารถโจมตีแบบ denial-of-service บน Windows ได้

อย่างไรก็ตาม การโจมตีด้วยช่องโหว่เหล่านี้ต้องอาศัยการยืนยันตัวตนของผู้ใช้และความเข้าใจเกี่ยวกับการทำงานภายในของ OpenVPN ในเชิงลึก ผู้ใช้งานควรอัปเดตไปใช้งาน OpenVPN เวอร์ชัน 2.6.10 ขึ้นไป เพื่ออุดช่องโหว่

ที่มา: https://www.securityweek.com/microsoft-warns-of-openvpn-vulnerabilities-potential-for-exploit-chains/

About เด็กฝึกงาน TechTalkThai หมายเลข 1

นักเขียนผู้มีความสนใจใน Enterprise IT ด้วยประสบการณ์กว่า 10 ปีในไทย ปัจจุบันใช้ชีวิตอยู่ที่ Cupertino, CA แต่ยังคงมุ่งมั่นในการแบ่งปันความรู้และประสบการณ์ด้านเทคโนโลยีให้กับทุกคน

Check Also

Broadcom เปิดตัวชิป 50G PON ใหม่ สำหรับเครือข่ายผู้ให้บริการอินเทอร์เน็ต

Broadcom เปิดตัวชิปสองรุ่นสำหรับโครงสร้างพื้นฐาน PON พร้อมฟีเจอร์ AI ที่ช่วยให้งานบำรุงรักษาง่ายขึ้น โดยเริ่มส่งมอบให้ลูกค้าบางรายได้ทดลองใช้งานแล้ว

ขอเชิญเข้าร่วมงาน IBM Solutions Summit 2024: AI and Hybrid Cloud in Action [8 พ.ย. 2024 ณ โรงแรม InterContinental Bangkok]

IBM ขอเรียนเชิญทุกท่านเข้าร่วมงานสัมมนาใหญ่ประจำปี IBM Solutions Summit 2024: AI and Hybrid Cloud in Action ในวันที่ 8 พฤศจิกายน …