พบช่องโหว่บนภาษา R ทำให้ผู้โจมตีสามารถรันคำสั่งบนเครื่องเป้าหมาย

ผู้เชี่ยวชาญด้านความมั่นคงปลอดภัยจาก HiddenLayer ค้นพบช่องโหว่ใหม่บนภาษา R ทำให้ผู้โจมตีสามารถรันคำสั่งบนเครื่องเป้าหมายได้

ช่องโหว่ CVE-2024-27322 มีความรุนแรงตาม CVSS ระดับ 8.8 เป็นช่องโหว่ที่เกิดขึ้นในภาษา R ซึ่งเป็นภาษาคอมพิวเตอร์ยอดนิยมสำหรับงานทางด้าน Data Science และ Data Miner ซึ่งมีการใช้งานกันมากขึ้นเนื่องจากความนิยมของ AI โดยช่องโหว่ดังกล่าวทำให้ผู้โจมตีสามารถรันคำสั่งบนเครื่องเป้าหมายได้ผ่านการสร้างไฟล์ R Data Serialization (RDS) หรือ R package files (RDX) แบบพิเศษขึ้นมา เมื่อเหยื่อทำการเปิดไฟล์จะมีกระบวนการทำ Serialization (‘saveRDS) และ deserialization (‘readRDS’) ทำให้สามารถรันคำสั่งที่แอบแนบไปกับ Package บนเครื่องปลายทางได้

CERT Coordination Center (CERT/CC) ได้ออกรายงานเตือนช่องโหว่ดังกล่าวให้กับโครงการหรือองค์กรต่างๆที่มีการใช้งานภาษา R ภายในแล้ว โดยแนะนำให้ทำการอัปเกรดไปใช้งาน R Core เวอร์ชัน 4.4.0 ซึ่งมีการอุดช่องโหว่นี้เรียบร้อยแล้ว ส่วนองค์กรที่ไม่สามารถอัปเกรดได้ ควรทำการรันไฟล์ RDS/RDX ภายใน Isolate Environment เพื่อป้องกันการโจมตี

ที่มา: https://www.bleepingcomputer.com/news/security/r-language-flaw-allows-code-execution-via-rds-rdx-files/