พบช่องโหว่ในแพ็กเกจ npm สำหรับทำ ‘netmask’ คาดกระทบกว่า 280,000โปรเจ็ค

มีการค้นพบช่องโหว่ในแพ็กเกจ npm ที่ทำหน้าที่สำหรับ netmask โดยมียอดดาวน์โหลดสูงถึงนับล้านครั้งต่อสัปดาห์

Credit: ShutterStock.com

ไอทีทุกท่านรู้จักกับการทำ netmask อยู่แล้ว อย่างไรก็ดีแพ็กเกจที่ทำหน้าที่นี้ใน npm มีช่องโหว่ในการแปลงเลขฐาน 8 ที่ขึ้นต้นด้วย 0 ซึ่งจะตีความกลายเป็นฐาน 10 แทน โดย Sick Codes ผู้พบช่องโหว่ชี้ว่าคนร้ายสามารถต่อยอดช่องโหว่หมายเลข CVE-2021-28918 ได้หลายสถานการณ์เช่น Server-side Request Forgery, Remote File Inclusion และ Local File Inclusion เป็นต้น 

คนร้ายจากภายนอกที่มีสิทธิ์หรือไม่มีสิทธิ์ก็ตามสามารถ Bypass แพ็กเกจที่ใช้เพียงการทำ Netmask เพื่อคัดกรอง IP Address block ในการเข้าถึง Intranet, VPN, Container, VPC instance หรือ LAN เช่นเจอกับอินพุตน์เป็น 012.0.0.1 (ฐานสิบคือ 10.0.0.1) แต่ด้วยข้อผิดพลาดของ netmask จะตีความว่าเป็น 12.0.0.1

อย่างไรก็ดี Marcus Dunn, หัวหน้าทีมวิศวกรรมที่ Netflix ซึ่งเป็นผู้ดูแลโปรเจ็ค netmask ได้แสดงความกระตือรือล้นเป็นอย่างมากโดยใช้เวลาแก้ไขเพียงไม่กี่วัน รวมถึงกรณีอื่นที่คล้ายกันในการแปลงฐาน 8, 10 และ 16 รวมถึงพวกช่องว่าง ทั้งนี้ผู้ใช้งานแพ็กเกจดังกล่าวก็ต้องอัปเดตโค้ดกันครับ

ที่มา : https://www.securityweek.com/vulnerability-netmask-npm-package-affects-280000-projects

About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

การจ่ายค่าไถ่แรนซัมแวร์ทั่วโลกลดลง 35% ในปี 2024 เหลือ 813.55 ล้านดอลลาร์

บริษัทวิเคราะห์บล็อกเชน Chainalysis รายงานว่าการจ่ายค่าไถ่ให้กับกลุ่มแรนซัมแวร์ทั่วโลกในปี 2024 ลดลง 35% เมื่อเทียบกับปีก่อน โดยมีมูลค่ารวม 813.55 ล้านดอลลาร์ จากเดิม 1.25 พันล้านดอลลาร์ในปี 2023

Dynatrace เปิดตัวฟีเจอร์ใหม่ด้าน AI และความปลอดภัยสำหรับแพลตฟอร์ม Observability

Dynatrace ประกาศเพิ่มความสามารถใหม่ให้กับ AI Assistant Davis พร้อมเปิดตัวฟีเจอร์ด้านความปลอดภัยและการแก้ไขปัญหาสำหรับนักพัฒนา ในงาน Perform ที่ลาสเวกัส