นักวิจัยพบช่องโหว่ Remote Code Execution บนระบบ Blockchain-based EOS Smart Contract System

นักวิจัยด้าน Security ชาวจีนสองคนจาก Qihoo 360 ได้ออกมาเปิดเผยถึงการค้นพบช่องโหว่บน EOS ซึ่งเป็นระบบ Open Source Smart Contract Platform ซึ่งเปิดให้ผู้โจมตีสามารถเข้ายึด Supernode ใน EOS Network ได้ และนำไปสู่การโจมตีต่อเนื่องเพื่อเข้ายึดเครื่องอื่นๆ ใน Network ได้อีกด้วย

 

Credit: ShutterStock.com

 

ช่องโหว่ Remote Code Execution ที่พบในครั้งนี้เป็นช่องโหว่ Buffer Out-of-Bounds Write Vulnerability ที่เกิดขึ้นจากคำสั่งที่ใช้ในการ Parse ข้อมูล Contract บนแต่ละ Node ซึ่งเมื่อผู้โจมตีทำการอัปโหลดไฟล์ WASM ที่เขียนด้วย WebAssembly และปรับแต่งมาเพื่อเจาะช่องโหว่โดยเฉพาะขึ้นไปบน Server ก็จะสามารถเข้ายึด Supernode ใน EOS Network ได้ทันที และสามารถทำการโจมตีต่อเนื่องเพื่อเข้ายึดเครื่องอื่นๆ ทั้งหมดใน EOS Network ต่อไปได้ด้วย

ทั้งนี้นักวิจัยทั้งสองได้ทำการแจ้งไปยังทีมพัฒนาของ EOS แล้วเมื่อวันที่ 28 พฤษภาคม 2018 ที่ผ่านมา และทางทีมพัฒนาก็ได้ออกอัปเดตแก้ไขช่องโหว่นี้ออกมาแล้วบน GitHub เรียบร้อยแล้วในวันที่ 29 พฤษภาคม 2018 แต่อย่างไรก็ดี นักวิจัยทั้งสองยังได้เตือนว่าช่องโหว่ลักษณะนี้อาจไม่ได้ปรากฏอยู่เฉพาะบน EOS เท่านั้น แต่ระบบ Blockchain อื่นๆ เองก็อาจมีช่องโหว่นี้ด้วยก็เป็นได้

สำหรับรายละเอียดฉบับเต็มและวิดีโอแสดงการเจาะช่องโหว่ สามารถศึกษาได้ที่ http://blogs.360.cn/blog/eos-node-remote-code-execution-vulnerability/ ครับ โดยวิดีโอต้องใช้ Flash Player ในการเปิดดูนะครับ

 

ที่มา: https://thehackernews.com/2018/05/eos-blockchain-smart-contract.html

About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

Meta เตรียมปล่อยโมเดล AI รุ่นใหม่ เพิ่มความสามารถด้าน Coding หวังชน GPT-5.5

Meta เตรียมปล่อยโมเดล AI รุ่นใหม่ที่พัฒนาต่อยอดจาก Muse Spark โดย Alexandr Wang Chief AI Officer ของ Meta เปิดเผยผ่านแพลตฟอร์ม …

[Video] WatchGuard Webinar : Zero Trust Made Simple

ในอดีต การวางระบบ Zero Trust Architecture มักถูกมองว่าเป็น ‘ยาขม’ ของฝ่ายไอทีและองค์กรจำนวนมาก เพราะแนวคิดที่ต้อง ‘ไม่เชื่อใจใคร และต้องตรวจสอบเสมอ’ นั้น มักตามมาด้วยความซับซ้อนยุ่งเหยิงในการบริหารจัดการ ในงาน WatchGuard Webinar ครั้งนี้ท่านจะได้รับชมกับแนวทางที่ทำให้ Zero Trust …