เมื่อวันอังคารที่ 27 กรกฏาคม 2564 นักวิจัยด้านความปลอดภัยทางไซเบอร์ได้เปิดเผยช่องโหว่ด้านความมั่นคงปลอดภัยจำนวน

9 รายการ ที่ส่งผลกระทบต่อโครงการโอเพ่นซอร์สจำนวน 3 โครงการ ได้แก่

# EspoCRM – แอปพลิเคชันการจัดการลูกค้าแบบโอเพนซอร์ส (CRM)

• https://github.com/espocrm/espocrm

# Pimcore – แพลตฟอร์มสำหรับการจัดการข้อมูลลูกค้า การจัดการสินทรัพย์ดิจิทัล การจัดการเนื้อหา และการค้าดิจิทัล

• https://github.com/pimcore/pimcore

# Akaunting – ซอฟต์แวร์บัญชีออนไลน์สำหรับการติดตามใบแจ้งหนี้และค่าใช้จ่าย

• https://github.com/akaunting/akaunting

ซึ่งเป็นที่รู้จักและใช้งานกันอย่างแพร่หลายในธุรกิจขนาดเล็กถึงขนาดกลาง

 

          ช่องโหว่ด้านความปลอดภัยในข้างต้นทั้งหมดเป็นปัญหาและส่งผลกระทบต่อ EspoCRM v6.1.1.6, Pimcore Customer Data Framework v3.0.0, Pimcore AdminBundle v6.8.0 และ Akaunting v2.1.12

ได้ถูกแก้ไขภายในหนึ่งวันโดยนักวิจัย “Wiktor Sędkowski”’

 

• CVE-2021-3539 (คะแนน CVSS: 6.3) – ช่องโหว่ XSS แบบถาวรใน EspoCRM v6.1.6

• CVE-2021-31867 (คะแนน CVSS: 6.5) – การทำ SQL injection ใน Pimcore Customer Data Framework v3.0.0

• CVE-2021-31869 (คะแนน CVSS: 6.5) – Pimcore AdminBundle v6.8.0

• CVE-2021-36800 (คะแนน CVSS: 8.7) – การทำ OS command injection ใน Akaunting v2.1.12

• CVE-2021-36801 (คะแนน CVSS: 8.5) – บายพาสการตรวจสอบสิทธิ์ใน Akaunting v2.1.12

• CVE-2021-36802 (คะแนน CVSS: 6.5) – การปฏิเสธการให้บริการผ่านตัวแปร ‘locale’ ที่ผู้ใช้ควบคุมใน Akaunting v2.1.12

• CVE-2021-36803 (คะแนน CVSS: 6.3) – ช่องโหว่ XSS แบบถาวรในระหว่างการอัปโหลดอวาตาร์ใน Akaunting v2.1.12

• CVE-2021-36804 (คะแนน CVSS: 5.4) – การรีเซ็ตรหัสผ่านที่อ่อนแอใน Akaunting v2.1.12

• CVE-2021-36805 (คะแนน CVSS: 5.2) – XSS แบบถาวรในส่วนท้ายของใบแจ้งหนี้ใน Akaunting v2.1.12

 

          จากรายการปัญหาในข้างต้นมีการใช้ประโยชน์จากช่องโหว่ดังกล่าวทำให้ผู้ไม่ประสงค์ดีสามารถรันโค้ดอันตรายจากระยะไกล ควบคุมเครื่องของเป้าหมาย และใช้เครื่องเป้าหมายในการโจมตีเครื่องเป้าหมายอื่นๆ ทั้งภายในและภายนอกเครือข่าย ด้วยเทคนิคการโจมตี Denial-of-Service

EspoCRM

อ้างอิง https://thehackernews.com/

Pimcore Customer Data Framework

อ้างอิง https://thehackernews.com/

          ช่องโหว่ที่พบใน Software ของ Akaunting ที่กล่าวถึง คือ ช่องโหว่ในการรีเซ็ตรหัสผ่านที่อ่อนแอ ซึ่งผู้โจมตีสามารถใช้ฟังก์ชัน ” I forgot my password ” เพื่อส่งอีเมลฟิชชิ่งจากแอปพลิเคชันไปยังผู้ใช้ที่ลงทะเบียนโดยมีการแนบลิงก์ที่เป็นอันตรายไปกับอีเมล เมื่อมีการคลิกจะส่งโทเค็นการรีเซ็ตรหัสผ่านไปให้ผู้ไม่ประสงค์ดี ทำให้ผู้ไม่ประสงค์ดีสามารถใช้โทเค็นดังกล่าวเพื่อนำไปตั้งรหัสผ่านตามที่ต้องการได้

          จากปัญหาข้างต้นผู้ดูแลระบบควรดำเนินการอัพเดตเวอร์ชันให้เป็นเวอร์ชันล่าสุดแต่หากไม่สามารถอัพเดตได้ให้ดำเนินการจำกัดสิทธิ์ในการเข้าถึงเฉพาะเครือข่ายภายในหรือเฉพาะผู้ได้รับอนุญาติเท่านั้น

อ้างอิง: https://thehackernews.com/2021/07/several-bugs-found-in-3-open-source.html

ผู้เขียน : นาย วสุพล ไชยสง่าศิลป์

ผู้ตรวจทาน : นายเจษฏา ทองก้านเหลือง

เผยแพร่ : วันที่ 30 กรกฏาคม 2564