เตือนช่องโหว่ Privilege Escalation บน Linux ควรอัปเดตแพตช์ทันที

Jann Horn นักวิจัยด้านความมั่นคงปลอดภัยจาก Google Project Zero ออกมาแจ้งเตือนถึงช่องโหว่ความรุนแรงระดับสูงบน Linux เวอร์ชัน 3.16 ถึง 4.1.18.8 ซึ่งช่วยให้แฮ็กเกอร์สามารถยกระดับสิทธิ์ตนเองเป็น Root ได้ พร้อมเผยแพร่โค้ดสำหรับ PoC การโจมตีสู่สาธารณะ แนะนำให้ผู้ดูแลระดับรีบอัปเดตแพตช์โดยเร็ว

ช่องโหว่ที่ Horn ค้นพบมีรหัส CVE-2018-17182 เป็นมีสาเหตุการจากการตรวจสอบ Cache ใน Linux Mememory Management Subsystem ไม่ดีเพียงพอ ก่อให้เกิดเป็นช่องโหว่ Use-after-free ซึ่งแฮ็กเกอร์สามารถโจมตีช่องโหว่นี้เพื่อยกระดับสิทธิ์ตนเองเป็น Root ของเครื่องเป้าหมายได้

Horn ได้ทำการเผยแพร่โค้ด PoC การโจมตีดังกล่าวสู่สาธารณะ พร้อมระบุว่า ต้องใช้เวลาประมาณ 1 ชั่วโมงในการรันจนได้ Root Shell

Horn รายงานช่องโหว่นี้ไปยังทีมนักพัฒนา Linux Kernel เมื่อวันที่ 12 กันยายนที่ผ่านมา ซึ่งทีมนักพัฒนาก็ได้ตอบสนองอย่างรวดเร็ว โดยออกแพตช์เพื่ออุดช่องโหว่เพียง 2 วันหลังจากนั้น ได้แก่ เวอร์ชัน 4.18.9, 4.14.71, 4.9.128, and 4.4.157 ในขณะที่เวอร์ชัน 3.16 ถูกอัปเดตเป็น 3.16.58 อย่างไรก็ตาม Debian 16.04 และ Ubunto 18.04 ที่เพิ่งออกใหม่เมื่อวันพุธที่ผ่านยังไม่ได้แพตช์ช่องโหว่นี้แต่อย่างใด แต่ทาง Ubuntu แจ้งว่าจะแก้ปัญหานี้ประมาณวันที่ 1 ตุลาคม 2018 ส่วน Fedora ได้ออกแพตช์สำหรับอุดช่องโหว่เมื่อวันที่ 22 กันยายนเป็นที่เรียบร้อยแล้ว แนะนำให้ผู้ใช้รีบอัปเดตแพตช์โดยเร็ว

ที่มา: https://thehackernews.com/2018/09/linux-kernel-exploit.html


About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

ผู้เชี่ยวชาญเผยเซิร์ฟเวอร์ VNC กว่า 9,000 ตัวออนไลน์โดยไร้รหัสผ่าน

ชาวแอดมินทั้งหลายคงรู้จักการใช้ VNC เพื่อรีโมตไปยังเครื่องภายในกันดีอยู่แล้ว แต่สิ่งที่น่ากังวลคือผู้เชี่ยวชาญจาก Cyble ได้สแกนเซิร์ฟเวอร์เหล่านี้ที่ออนไลน์อยู่ในอินเทอร์เน็ตและพบว่ามีเครื่องกว่า 9,000 ตัวที่ไร้การป้องกันด้วยรหัสผ่าน

Microsoft มอบเงินรางวัล 13.7 ล้านเหรียญสหรัฐฯ ให้กับ Bug Bounty Program

ในรอบปีที่ผ่านมา Microsoft มอบเงินรางวัลกว่า 13.7 ล้านเหรียญสหรัฐฯ ให้กับนักวิจัยจำนวน 335 คน ผ่าน Microsoft Bug Bounty Programs