Black Hat Asia 2023

พบช่องโหว่ร้ายแรงใน VMware Spring แนะผู้ใช้งานเร่งอัปเดต

VMware มีการอัปเดตแพตช์ช่องโหว่ให้โปรเจ็คโอเพ่นซอร์สของตน 2 รายการ ทั้งนี้นอกจากจะเป็นช่องโหว่ที่ร้ายแรงและมีการเปิดเผยโค้ดสาธิตมาแล้ว ยังมีความสับสนในเรื่องชื่อเรียกอีกด้วย

Credit: Pavel Ignatov/ShutterStock

VMware Spring เป็นโปรเจ็คโอเพ่นซอร์สที่เป็นเครื่องมือช่วยสร้างแอปพลิเคชัน Java และแอปแบบคลาวด์โดยผู้ใช้ไม่ต้องไม่ต้องมาจัดการส่วนเซิร์ฟเวอร์เอง อย่างไรก็ดีโปรเจ็ค Spring มีขนาดใหญ่มาก จึงมีองค์ประกอบภายในหลายส่วน สำหรับการอัปเดตช่องโหว่ใหม่เมื่อวานจาก VMware มีดังนี้

1.) CVE-2022-22963 เกิดขึ้นกับส่วน Spring Cloud Function ซึ่งเป็นเพียงโมดูลทางเลือกสำหรับการเขียนโค้ดเท่านั้น ทั้งนี้ HTTP Header ที่ถูกส่งเข้ามายัง Spring Cloud ดันสามารถถูกใช้เพื่อลอบรันโค้ดได้จากแฮ็กเกอร์ (Remote Code Execution) ความน่ากังวลคือมีการปล่อยโค้ดสาธิตออกมาแล้ว แต่เคราะห์ดีเพียงแค่ผู้ใช้อัปเดตโมดูลเป็นเวอร์ชัน 3.1.7 หรือ 3.2.3 ก็สามารถป้องกันตนเองได้แล้ว

2.) CVE-2022-22965 ประเด็นของช่องโหว่นี้ที่ทำให้เกิดความสับสนคือมีการตั้งชื่อเรียกว่า ‘Spring4shell’ ซึ่งไปคล้ายกับ Log4Shell ที่เป็นช่องโหว่ชื่อดังเมื่อปีก่อนและกระทบกับผลิตภัณฑ์อย่างมาก แต่อันที่จริงแล้วทั้งสองไม่ได้เกี่ยวข้องกันอย่างใด อีกประเด็นที่ยังถกเถียงกันอยู่คือ CVE-2022-22965 เป็นช่องโหว่ที่ร้ายแรงแต่ก็ใช้ไม่ง่ายเพราะต้องมีเงื่อนไขหลายอย่าง เช่น มีการใช้ Web Application Archive (WAR) แทนที่จะเป็น Java Archive (JAR) เป็นต้น

โดย CVE-2022-22965 เกิดขึ้นใน Spring Framework ที่นำไปสู่การลอบรันโค้ด ซึ่งท่านสามารถอัปเดตเป็นเวอร์ชัน 5.2.20 และ 5.3.18 และเนื่องจาก Spring Boot มีการใช้ Spring Framework เข้ามาทำให้ท่านที่ใช้ Spring Boot ต้องแพตช์เป็น 2.5.12 หรือ 2.6.6 ด้วยเพื่อแก้ไขช่องโหว่ Sping4shell นี้

ติดตามข้อมูลจาก VMware ได้ที่ https://tanzu.vmware.com/security/cve-2022-22965

ที่มา : https://nakedsecurity.sophos.com/2022/03/31/two-different-vmware-spring-bugs-at-large-we-cut-through-the-confusion/ และ https://redmondmag.com/articles/2022/03/31/vmware-confirms-zero-day-vulnerability.aspx


About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

พลิกมุมคิดการจัดการคลาวด์ไอทีอย่างสมาร์ตฉบับวีเอ็มแวร์ [Guest Post]

แม้คลาวด์จะกลายเป็นส่วนหนึ่งของการพาองค์กรก้าวข้ามวิกฤตไปสู่การสร้างสรรค์โมเดลธุรกิจหรือกลยุทธ์การแข่งขันใหม่ ด้วยคุณลักษณะที่คล่องตัว (Agility) ในการปรับความต้องการใช้งานโดยอัตโนมัติ (Auto-Scaling) ได้ด้วยตัวเอง (Self-Services) ทว่าหลายองค์กรซึ่งเลือกปฏิวัติระบบธุรกิจขึ้นสู่คลาวด์กลับประสบปัญหาการจัดการทรัพยากรที่ยิบย่อยบนคลาวด์ไม่ไหว แถมหัวจะปวดกับภัยคุกคามที่ยุ่งยากในการป้องกัน ด้วยเหตุนี้ ความคาดหวังต่อไอทีคลาวด์ยุคถัดไป คือ การปรับแต่งแอปพลิเคชันและแพลตฟอร์มคลาวด์ไอทีให้ทันสมัยตรงต่อความต้องการทางธุรกิจ ภายใต้ระบบการรักษาความปลอดภัยแบบองค์รวมที่แข็งแกร่ง ทั่วถึง และเป็นอัตโนมัติกว่าเดิม

Microsoft Teams, VirtualBox, Tesla ถูกเจาะ Zero-days ในงาน Pwn2Own

Microsoft Teams, VirtualBox, Tesla ถูกเจาะ Zero-days ในงาน Pwn2Own Vancouver 2023 ผู้เข้าแข่งขันกวาดเงินรางวัลสูงสุด 475,000 เหรียญ หรือประมาณ 16 …