Black Hat Asia 2023

นักวิจัยสาธิตการแฮ็กเซิร์ฟเวอร์ Oracle เพื่อแสดงให้เห็นถึงช่องโหว่ที่ร้ายแรง

สืบเนื่องมาจากความล่าช้าในการแก้ไขข้อพร่องพกนานถึง 6 เดือน กับช่องโหว่ที่นักวิจัยเรียกว่า “mega 0-day” ช่องโหว่นี้สามารถถูกใช้ได้จากทางไกลโดยไม่ต้องผ่านการพิสูจน์ตัวตน ถูกค้นพบโดย Jang และ Peterjson นักวิจัยด้านความปลอดภัย พวกเขาตั้งชื่อมันว่า The Miracle Exploit โดย Oracle ได้ทำการแก้ไขปัญหานี้ในชุดอัปเดตความปลอดภัย 520 แพตซ์ ที่ถูกเผยแพร่เมื่อเดือนเมษายน 2022
 

วิดีโอสาธิตการแฮ็กเว็บของ Oracle

https://youtu.be/crXKjOyc1Lk
เหตุที่นักวิจัยจึงลงมือสาธิตแฮ็กในบางไซต์ของ Oracle เพื่อแสดงให้เห็นถึงผลกระทบต่อ Oracle เอง และให้รู้ว่าช่องโหว่นี้ร้ายแรงมากเพียงใด นั่นเป็นเหตุผลที่นักวิจัยต้องการให้ Oracle เร่งดำเนินการโดยเร็วที่สุด เพราะถ้าปล่อยไว้อาจจะส่งผลต่อระบบและลูกค้าของ Oracle เอง
นักวิจัยตั้งคำถามถึงระยะเวลา 6 เดือน กับการแก้ไข และมองว่าตัวแก้ไขที่ออกมานั้น ค่อนข้างง่ายดายเกินไป โดย Oracle ใช้การเปลี่ยนแกลงโค้ดเพียงเล็กน้อย และนั้นก็เป็นเหตุผลว่าทำไม นักวิจัยถึงสาธิตการแฮ็กคุณสมบัติเว็บของ Oracle อาทิเช่น login.oracle.com ซึ่งให้การเข้าถึงบริการออนไลน์ของ Oracle
 
Miracle Exploit ส่งผลกระทบต่อผลิตภัณฑ์จำนวนมากที่ใช้ Oracle Fusion Middleware การทำ deserialization ใน ADF Faces ของซอฟต์แวร์
 
หลังจาก Oracle ได้ปล่อยแพตซ์ 520 รายการออกมา นักวิจัยได้รายงานช่องโหว่ไปยังบริษัทหลายแห่ง เช่น NAB Group, BestBuy, Starbucks, Dell, Regions Bank และ United States Automobile Association ผ่านช่องทางโปรแกรมหาข้บกพร่องของบริษัทต่างๆ
 

About Pawarit Sornin

- จบการศึกษา ปริญญาตรี สาขาวิทยาการคอมพิวเตอร์ มหาวิทยาลัยสวนดุสิต - เคยทำงานด้าน Business Development / Project Manager / Product Sales ดูแลผลิตภัณฑ์ด้าน Wireless Networking และ Mobility Enterprise ในประเทศ - ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

เดลล์ เทคโนโลยีส์ และ อินเทล ขอเชิญท่านเข้าร่วมสัมมนาออนไลน์ ” Modernize IT, Lower Risk and Simplified Hyperconverged for Modern and Traditional Workload” [5 เมษายน 2566 — 13.30น.]

เดลล์ เทคโนโลยีส์ และ อินเทล ขอเชิญท่านเข้าร่วมสัมมนาออนไลน์ ” Modernize IT, Lower Risk and Simplified Hyperconverged for Modern and …

[Video Webinar] Securing Container and Cloud Workload in 2023

สำหรับผู้ที่ไม่ได้เข้าฟังการบรรยาย F5 Webinar เรื่อง “Securing Container and Cloud Workload in 2023” เพื่อเรียนรู้การปกป้อง Container และ Cloud …