26 พฤษภาคม 2566
D-Link ได้ประกาศแก้ไขช่องโหว่ในระดับวิกฤต 2 รายการในเรื่องการจัดการเครือข่าย Software D-View 8 ส่งผลกระทบให้ผู้โจมตีทำการโจมตีจากระยะไกลและสามารถเข้าถึงเครือข่ายโดยไม่ต้องได้รับการตรวจสอบสิทธิ์
Software D-View เป็นเครื่องมือการจัดการเครือข่ายที่พัฒนาโดย D-Link เพื่อใช้ในการตรวจสอบประสิทธิภาพ ควบคุมกำหนดค่าอุปกรณ์ สร้างเครือข่าย และเป็นศูนย์กลางการจัดการเครือข่ายให้มีประสิทธิภาพ
ช่องโหว่ที่เกิดขึ้นได้รายงานโดยนักวิจัยด้านความปลอดภัยของ Trend Micro Zero Day Initiative (ZDI) ซึ่งพบข้อบกพร่องจำนวน 6 รายการที่ส่งผลกระทบต่อ Software D-View และได้รายงานข้อบกพร่องดังกล่าวไปเมื่อวันที่ 23 ธันวาคม 2022 ที่ผ่านมา โดยมีรายการดังต่อไปนี้
โดยที่ช่องโหว่ที่พบสองรายการจัดอยู่ในระดับความรุนแรงวิกฤต ส่งผลให้ผู้โจมตีที่ไม่ผ่านการตรวจสอบสิทธิสามารถเข้าถึงเครือข่ายได้
ช่องโหว่แรกติดตามด้วยหมายเลข CVE-2023-32165 (CVSS:9.8) เป็นช่องโหว่ให้ผู้โจมตีเรียกใช้โค้ดจากระยะไกลได้ (RCE) โดยเป็นข้อบกพร่องจากการตรวจสอบความถูกต้องของเส้นทางก่อนการเรียกใช้ไฟล์ ผู้โจมตีที่ใช้ประโยชน์จากช่องโหว่ดังกล่าวจะรันโค้ดด้วยสิทธิ์ SYSTEM โดยใช้ OS Windows ส่งผลให้ได้รับสิทธิ์สูงสุด
ช่องโหว่ที่สองติดตามด้วยหมายเลข CVE-2023-32169 และเป็นข้อบกพร่องในการ bypass ตรวจสอบสิทธิการรับรองความถูกต้องซึ่งเป็นผลมาจากการใช้คีย์เข้ารหัสแบบฮาร์ดโค้ดในระดับ TokenUtils ของซอฟต์แวร์ ส่งผลกระทบให้ผู้โจมตีเข้าถึงข้อมูลโดยไม่ได้รับอนุญาต รวมถึงการเปลี่ยนแปลงการตั้งค่าซอฟต์แวร์ แล้วทำการติดตั้ง Blackdoors, Malware
ท้ายสุดแล้ว D-Link แนะนำให้ผู้ใช้งานตรวจสอบการแก้ไขฮาร์ดแวร์ของผลิตภัณฑ์โดยตรวจสอบที่ฉลากผลิตภัณฑ์หรือตรวจสอบได้ที่เว็บไซต์ก่อนที่จะดาวน์โหลดอัพเดตเฟิร์มแวร์ หากแต่ว่าแพตช์นี้เป็น “ซอฟต์แวร์รุ่นเบต้าหรือรุ่นแก้ไขด่วน” ซึ่งยังอยู่ระหว่างการทดสอบขั้นสุดท้าย นั่นหมายความว่าการอัปเกรดเป็น 2.0.1.28 อาจส่งผลทำให้เกิดปัญหาหรือทำให้ D-View ไม่เสถียร ซึ่งต้องรอการประกาศเฟิร์มแวร์เพื่อแก้ไขแพตช์ช่องโหว่ดังกล่าวอย่างเป็นทางการอีกครั้ง
เกี่ยวกับไซเบอร์ตรอน
ผู้ให้บริการ #CyberResilience ศูนย์เฝ้าระวังภัยคุกคามด้านความมั่นคงปลอดภัยไซเบอร์รูปแบบใหม่ พร้อมโซลูชั่นเพื่อการพัฒนาความสามารถด้วยแพลตฟอร์มการจำลองยุทธ์ด้านความมั่นคงปลอดภัยไซเบอร์ อีกทั้งยังเป็นผู้นำการให้บริการนวัตกรรมด้านความมั่นคงปลอดภัยไซเบอร์ที่ล้ำสมัยในระดับสากล
บริการของเรา