พบช่องโหว่ในแพ็กเกจ npm สำหรับทำ ‘netmask’ คาดกระทบกว่า 280,000โปรเจ็ค

มีการค้นพบช่องโหว่ในแพ็กเกจ npm ที่ทำหน้าที่สำหรับ netmask โดยมียอดดาวน์โหลดสูงถึงนับล้านครั้งต่อสัปดาห์

Credit: ShutterStock.com

ไอทีทุกท่านรู้จักกับการทำ netmask อยู่แล้ว อย่างไรก็ดีแพ็กเกจที่ทำหน้าที่นี้ใน npm มีช่องโหว่ในการแปลงเลขฐาน 8 ที่ขึ้นต้นด้วย 0 ซึ่งจะตีความกลายเป็นฐาน 10 แทน โดย Sick Codes ผู้พบช่องโหว่ชี้ว่าคนร้ายสามารถต่อยอดช่องโหว่หมายเลข CVE-2021-28918 ได้หลายสถานการณ์เช่น Server-side Request Forgery, Remote File Inclusion และ Local File Inclusion เป็นต้น 

คนร้ายจากภายนอกที่มีสิทธิ์หรือไม่มีสิทธิ์ก็ตามสามารถ Bypass แพ็กเกจที่ใช้เพียงการทำ Netmask เพื่อคัดกรอง IP Address block ในการเข้าถึง Intranet, VPN, Container, VPC instance หรือ LAN เช่นเจอกับอินพุตน์เป็น 012.0.0.1 (ฐานสิบคือ 10.0.0.1) แต่ด้วยข้อผิดพลาดของ netmask จะตีความว่าเป็น 12.0.0.1

อย่างไรก็ดี Marcus Dunn, หัวหน้าทีมวิศวกรรมที่ Netflix ซึ่งเป็นผู้ดูแลโปรเจ็ค netmask ได้แสดงความกระตือรือล้นเป็นอย่างมากโดยใช้เวลาแก้ไขเพียงไม่กี่วัน รวมถึงกรณีอื่นที่คล้ายกันในการแปลงฐาน 8, 10 และ 16 รวมถึงพวกช่องว่าง ทั้งนี้ผู้ใช้งานแพ็กเกจดังกล่าวก็ต้องอัปเดตโค้ดกันครับ

ที่มา : https://www.securityweek.com/vulnerability-netmask-npm-package-affects-280000-projects


About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

สถิติเผย มีองค์กรน้อยกว่า 5% ที่เปิดใช้มาตรการด้าน Email Security

การหลอกลวงหรือปลอมแปลงเป็นอีเมลที่น่าเชื่อถือนั้นมีความเสียหายเป็นนัยสำคัญอย่างมาก จากสถิติเพียงไตรมาสแรกของปี 2022 ได้แตะถึงสถิติใหม่ที่มีจำนวนการโจมตีทางอีเมลกว่า 1 ล้านครั้ง ซึ่งอันที่จริงแล้วโลกนี้มีทางเลือกสำหรับการป้องกันที่เรียกว่า DMARC และ BIMI

แนวโน้มแห่ง NDR ในยุคถัดไป

ปัจจุบัน Network Detection and Response (NDR) ได้ก้าวไปมากกว่าหน้าที่หลักแต่เดิมแล้ว โดยมุ่งเน้นสู่เรื่องของความแม่นยำ การขยายตัวรองรับข้อมูลที่เพิ่มมากขึ้น และความเป็นอัตโนมัติ คำถามคือ NDR กำลังมุ่งหน้าสู่ทิศทางใด NDR เคยถูกวางตัวไว้เป็นเพียงเครื่องมือมอนิเตอร์และวิเคราะห์ทราฟฟิคเท่านั้น …