เมนู

พบช่องโหว่ในอุปกรณ์ขยายสัญญาณ D-Link

12 ตุลาคม 2566 | NT.

พบช่องโหว่ในอุปกรณ์ขยายสัญญาณ Wifi D-Link DAP-X1860 WiFi 6 ซึ่งเป็นรุ่นกำลังได้รับความนิยม อาจก่อให้เกิด DoS และการแทรกชุดคำสั่ง (Command Injection) จากระยะไกลได้ โดยยังคงปรากฎการเผยแพร่ข้อมูลของผลิตภัณฑ์บนเว็บไซต์ รวมถึงการรีวิวเป็นจำนวนมากบนเว็บ Amazon ซึ่งแสดงถึงการได้รับความนิยมในหมู่ผู้บริโภคเป็นจำนวนมาก

RedTeam (ทีมนักวิจัยจากเยอรมัน) ซึ่งเป็นผู้ที่ค้นพบช่องโหว่ดังกล่าวและกลายเป็น CVE-2023-45208 (N/A) ได้รายงานประเด็นนี้ไปยัง D-Link หลายครั้งแต่ยังคงไม่ได้รับการตอบสนองหรือดำเนินการแก้ไขแต่อย่างใด

ช่องโหว่ดังกล่าวเกิดขึ้นฟังก์ชั่นการตรวจสอบเครือข่าย (Network Scanning) ของ D-Link DAP-X1860 ซึ่งไม่รองรับการกำหนดชื่อ SSID โดยมีเครื่องหมาย ‘ (Single Tick) ได้ ส่งผลให้การแปลความหมายผิดพลาด (เป็น Command Terminator ได้)

โดยในเชิงเทคนิค ช่องโหว่ดังกล่าวเป็นปัญหาจากฟังก์ชั่น parsing_xml_stasurvey ในไลบรารี่ libcgifunc.so ซึ่งบรรจุคำสั่งของระบบสำหรับปฏิบัติงานต่างๆ ซึ่งเมื่อผลิตภัณฑ์มิได้มีการตรวจสอบชื่อ SSID ย่อมส่งผลให้ผู้บุกรุกนำฟีเจอร์นี้ไปใช้เพื่อมุ่งร้ายได้โดยง่าย

ผู้บุกรุกที่อยู่ภายในอาณาเขตของอุปกรณ์ขยายสัญญาณจะสามารถสร้างเครือข่าย WiFi และตั้งชื่อให้คล้ายกับชื่อที่เป้าหมายมีความคุ้นเคยโดยมีเครื่องหมาย ‘ อยู่ภายในชื่อนั้นด้วย เช่น CBT’s Network เป็นต้น ซึ่งเมื่ออุปกรณ์พยายามเชื่อมต่อกับ SSID ดังกล่าวก็จะเกิดความบกพร่อง “Error 500 Internal Server Error” และไม่สามารถปฏิบัติงานได้ตามปกติ

นอกจากนี้ ผู้บุกรุกยังสามารถเพิ่มชุดคำสั่ง Shell ให้แก่ SSID ได้โดยการคั่นด้วย “&&” เช่น Test’ && uname -a && ซึ่งจะทำให้อุปกรณ์เข้าใจไปว่าจะต้องรันคำสั่ง uname -a ในขณะกำลังเซ็ตอัพหรือสแกนเครือข่าย

ทุกโปรเซสและทุกคำสั่งบนอุปกรณ์ขยายสัญญาณสามารถแทรก (Injected) โดย Threat Actor จากภายนอกโดยได้รับสิทธิระดับ root ทำให้สามารถตรวจสอบอุปกรณ์อื่นๆ ที่เชื่อมต่อเข้ามา และแทรกซึมเข้าสู่ระบบเครือข่ายได้ในอนาคต

แม้ว้าการบังคับให้เกิดการสแกนเครือข่ายบนอุปกรณ์เป้าหมายจะเป็นเรื่องที่ค่อนข้างยากแต่ก็สามารถดำเนินการได้ด้วยการโจมตีประเภท Deauthentication ซึ่งในปัจจุบันมีซอฟต์แวร์หลายรายการที่สามารถสร้างและส่งแพคเกจ deauth ไปย้งอุปกรณ์ขยายสัญญาณ ซึ่งจะทำให้หลุดออกจากเครือข่ายหลักและทำให้ต้องทำการแสกนเครือข่ายอีกครั้ง

จากการศึกษาของ RedTeam ได้พบช่องโหว่นี้ตั้งแต่พฤษภาคม 2566 และได้รายงานไปยัง D-Link โดยได้ประสานการติดตามหลายครั้งซึ่งยังคงปราศจากการตอบกลับจาก D-Link นั่นหมายความว่า D-Link DAP-X1860 ยังคงมีช่องโหว่ที่พร้อมถูกนำไปใช้ในการโจมตีและนำมาซึ่งความเสี่ยง 

ดังนั้น ผู้ที่ยังคงใช้งานอุปกรณ์ในรุ่น DAP-X1860 ควรต้องจำกัดการสแกนเครือข่าย ตรวจสอบการตัดเครือข่ายที่ต้องสงสัย รวมถึงการปิดอุปกรณ์เมื่อไม่ได้ใช้งาน หรืออาจรวมถึงการแยกเครือข่ายระหว่างอุปกรณ์ IoT ที่เชื่อมต่อกับอุปกรณ์ขยายสัญญาณออกจากเครือข่ายของการปฏิบัติงานที่มีข้อมูลสำคัญBleepingComputer