พบช่องโหว่ร้ายแรงบน phpMyAdmin เสี่ยงฐานข้อมูลถูกโจมตี

Ashutosh Barot นักวิจัยด้านความมั่นคงปลอดภัยจากอินเดีย ออกมาแจ้งเตือนถึงช่องโหว่ Cross-site Request Forgery (CSRF) บน PhpMyAdmin เวอร์ชัน 4.7.x ซึ่งช่วยให้แฮ็กเกอร์สามารถสั่งการระบบฐานข้อมูลได้จากระยะไกล เพียงแค่หลอกให้ผู้ดูแลระบบกดคลิกลิงค์เท่านั้น

CSRF เป็นการโจมตีเว็บแอปพลิเคชันรูปแบบหนึ่ง ซึ่งแฮ็กเกอร์จะใช้วิธีการหลอกผู้ใช้ที่พิสูจน์ตัวตนเข้าสู่ระบบแล้ว ดำเนินการบางอย่างตามที่ตนต้องการ เช่น ผู้ใช้กำลังเข้าสู่ระบบ Internet Banking ถูกหลอกให้คลิกลิงค์เพื่อทำธุรกรรมการเงินให้แฮ็กเกอร์ เป็นต้น

ช่องโหว่ CSRF ที่ค้นพบนี้ ช่วยให้แฮ็กเกอร์สามารถสร้าง URL แบบพิเศษขึ้นมาก แล้วหลอกให้ผู้ดูแลระบบ phpMyAdmin กดคลิกเพื่อดำเนินคำสั่งบนระบบฐานข้อมูลได้ เช่น ลบข้อมูลในฐานข้อมูล หรือแม้แต่ลบ Table ฐานข้อมูลทิ้งไปเลย อย่างไรก็ตาม การโจมตีผ่านช่องโหว่ดังกล่าวยังมีเงื่อนไขที่ยุ่งยากอย่างหนึ่ง คือ แฮ็กเกอร์ต้องรู้จักชื่อของฐานข้อมูลและ Table ก่อน จึงจะสามารถสั่ง Insert, Drop หรือคำสั่งอื่นๆ ที่ต้องระบุชื่อเหล่านั้นได้

วิดีโอด้านล่างสาธิตการลบ (Drop) Table ของฐานข้อมูลทิ้งผ่านทางการหลอกให้ผู้ดูแลระบบคลิกลิงค์ที่สร้างขึ้นมาเป็นพิเศษ โดยที่ผู้ดูแลระบบไม่รู้ตัว

ช่องโหว่นี้ส่งผลกระทบบน phpMyAdmin เวอร์ชัน 4.7.6 หรือก่อนหน้านั้น ซึ่งทาง Barot ได้รายงานช่องโหว่ดังกล่าวไปยังทีมผู้พัฒนาของ phpMyAdmin ซึ่งก็ได้ออกแพทช์เวอร์ชันใหม่ คือ 4.7.7 เพื่อแก้ไขปัญหาเรียบร้อย แนะนำให้ผู้ดูแลระบบอัปเดตโดยเร็ว

รายละเอียดเพิ่มเติม: http://cyberworldmirror.com/vulnerability-phpmyadmin-lets-attacker-perform-drop-table-single-click/

ที่มา: https://thehackernews.com/2018/01/phpmyadmin-hack.html