TechTalkThai ศูนย์รวมข่าว Enterprise IT ออนไลน์แห่งแรกในประเทศไทย
มีการค้นพบช่องโหว่ในแพ็กเกจ npm ที่ทำหน้าที่สำหรับ netmask โดยมียอดดาวน์โหลดสูงถึงนับล้านครั้งต่อสัปดาห์
ไอทีทุกท่านรู้จักกับการทำ netmask อยู่แล้ว อย่างไรก็ดีแพ็กเกจที่ทำหน้าที่นี้ใน npm มีช่องโหว่ในการแปลงเลขฐาน 8 ที่ขึ้นต้นด้วย 0 ซึ่งจะตีความกลายเป็นฐาน 10 แทน โดย Sick Codes ผู้พบช่องโหว่ชี้ว่าคนร้ายสามารถต่อยอดช่องโหว่หมายเลข CVE-2021-28918 ได้หลายสถานการณ์เช่น Server-side Request Forgery, Remote File Inclusion และ Local File Inclusion เป็นต้น
“คนร้ายจากภายนอกที่มีสิทธิ์หรือไม่มีสิทธิ์ก็ตามสามารถ Bypass แพ็กเกจที่ใช้เพียงการทำ Netmask เพื่อคัดกรอง IP Address block ในการเข้าถึง Intranet, VPN, Container, VPC instance หรือ LAN เช่นเจอกับอินพุตน์เป็น 012.0.0.1 (ฐานสิบคือ 10.0.0.1) แต่ด้วยข้อผิดพลาดของ netmask จะตีความว่าเป็น 12.0.0.1“
อย่างไรก็ดี Marcus Dunn, หัวหน้าทีมวิศวกรรมที่ Netflix ซึ่งเป็นผู้ดูแลโปรเจ็ค netmask ได้แสดงความกระตือรือล้นเป็นอย่างมากโดยใช้เวลาแก้ไขเพียงไม่กี่วัน รวมถึงกรณีอื่นที่คล้ายกันในการแปลงฐาน 8, 10 และ 16 รวมถึงพวกช่องว่าง ทั้งนี้ผู้ใช้งานแพ็กเกจดังกล่าวก็ต้องอัปเดตโค้ดกันครับ
ที่มา : https://www.securityweek.com/vulnerability-netmask-npm-package-affects-280000-projects
