พบช่องโหว่จำนวนมากบนซอฟต์แวร์โอเพ่นซอร์ส 3 ตัวที่ใช้ในหลายธุรกิจ

several-bugs-found-in-3-open-source.jpg

อ้างอิง https://thehackernews.com/

เมื่อวันอังคารที่ 27 กรกฏาคม 2564 นักวิจัยด้านความปลอดภัยทางไซเบอร์ได้เปิดเผยช่องโหว่ด้านความมั่นคงปลอดภัยจำนวน

9 รายการ ที่ส่งผลกระทบต่อโครงการโอเพ่นซอร์สจำนวน 3 โครงการ ได้แก่

  • EspoCRM - แอปพลิเคชันการจัดการลูกค้าแบบโอเพนซอร์ส (CRM)

  • Pimcore - แพลตฟอร์มสำหรับการจัดการข้อมูลลูกค้า การจัดการสินทรัพย์ดิจิทัล การจัดการเนื้อหา และการค้าดิจิทัล

  • Akaunting - ซอฟต์แวร์บัญชีออนไลน์สำหรับการติดตามใบแจ้งหนี้และค่าใช้จ่าย

ซึ่งเป็นที่รู้จักและใช้งานกันอย่างแพร่หลายในธุรกิจขนาดเล็กถึงขนาดกลาง

 

ช่องโหว่ด้านความปลอดภัยในข้างต้นทั้งหมดเป็นปัญหาและส่งผลกระทบต่อ EspoCRM v6.1.1.6, Pimcore Customer Data Framework v3.0.0, Pimcore AdminBundle v6.8.0 และ Akaunting v2.1.12

ได้ถูกแก้ไขภายในหนึ่งวันโดยนักวิจัย “Wiktor Sędkowski”’

 

 

รายการปัญหามีดังนี้

  • CVE-2021-3539 (คะแนน CVSS: 6.3) - ช่องโหว่ XSS แบบถาวรใน EspoCRM v6.1.6

  • CVE-2021-31867 (คะแนน CVSS: 6.5) – การทำ SQL injection ใน Pimcore Customer Data Framework v3.0.0

  • CVE-2021-31869 (คะแนน CVSS: 6.5) - Pimcore AdminBundle v6.8.0

  • CVE-2021-36800 (คะแนน CVSS: 8.7) – การทำ OS command injection ใน Akaunting v2.1.12

  • CVE-2021-36801 (คะแนน CVSS: 8.5) - บายพาสการตรวจสอบสิทธิ์ใน Akaunting v2.1.12

  • CVE-2021-36802 (คะแนน CVSS: 6.5) - การปฏิเสธการให้บริการผ่านตัวแปร 'locale' ที่ผู้ใช้ควบคุมใน Akaunting v2.1.12

  • CVE-2021-36803 (คะแนน CVSS: 6.3) - ช่องโหว่ XSS แบบถาวรในระหว่างการอัปโหลดอวาตาร์ใน Akaunting v2.1.12

  • CVE-2021-36804 (คะแนน CVSS: 5.4) - การรีเซ็ตรหัสผ่านที่อ่อนแอใน Akaunting v2.1.12

  • CVE-2021-36805 (คะแนน CVSS: 5.2) - XSS แบบถาวรในส่วนท้ายของใบแจ้งหนี้ใน Akaunting v2.1.12

 

จากรายการปัญหาในข้างต้นมีการใช้ประโยชน์จากช่องโหว่ดังกล่าวทำให้ผู้ไม่ประสงค์ดีสามารถรันโค้ดอันตรายจากระยะไกล ควบคุมเครื่องของเป้าหมาย และใช้เครื่องเป้าหมายในการโจมตีเครื่องเป้าหมายอื่นๆ ทั้งภายในและภายนอกเครือข่าย ด้วยเทคนิคการโจมตี Denial-of-Service

several-bugs-found-in-3-open-source-1.jpg

EspoCRM

อ้างอิง https://thehackernews.com/

several-bugs-found-in-3-open-source-2.jpg

Pimcore Customer Data Framework

อ้างอิง https://thehackernews.com/

ช่องโหว่ที่พบใน Software ของ Akaunting ที่กล่าวถึง คือ ช่องโหว่ในการรีเซ็ตรหัสผ่านที่อ่อนแอ ซึ่งผู้โจมตีสามารถใช้ฟังก์ชัน

" I forgot my password " เพื่อส่งอีเมลฟิชชิ่งจากแอปพลิเคชันไปยังผู้ใช้ที่ลงทะเบียนโดยมีการแนบลิงก์ที่เป็นอันตรายไปกับอีเมล เมื่อมีการคลิกจะส่งโทเค็นการรีเซ็ตรหัสผ่านไปให้ผู้ไม่ประสงค์ดี ทำให้ผู้ไม่ประสงค์ดีสามารถใช้โทเค็นดังกล่าวเพื่อนำไปตั้งรหัสผ่านตามที่ต้องการได้

 

จากปัญหาข้างต้นผู้ดูแลระบบควรดำเนินการอัพเดตเวอร์ชันให้เป็นเวอร์ชันล่าสุดแต่หากไม่สามารถอัพเดตได้ให้ดำเนินการจำกัดสิทธิ์ในการเข้าถึงเฉพาะเครือข่ายภายในหรือเฉพาะผู้ได้รับอนุญาติเท่านั้น

 

อ้างอิง: https://thehackernews.com/2021/07/several-bugs-found-in-3-open-source.html

ผู้เขียน : นาย วสุพล ไชยสง่าศิลป์

ผู้ตรวจทาน : นายเจษฏา ทองก้านเหลือง

เผยแพร่ : วันที่ 30 กรกฏาคม 2564