เมนู

พบ!! ช่องโหว่หลายรายการใน OpenLiteSpeed

2022-11-OpenLiteSpeed

พบข้อบกพร่องที่มีความเสี่ยงสูงหลายรายการใน OpenLiteSpeed ซึ่งรวมถึงตัวแปรต่างๆ ที่อยู่ใน (Web Server) ช่วยให้ผู้โจมตีสามารถใช้ประโยชน์จากข้อบกพร่องนี้ ในการเรียกใช้โค้ดจากระยะไกล (RCE)

16 พฤศจิกายน 2565

OpenLiteSpeed เป็นโอเพ่นซอร์สของ LiteSpeed Web Server ซึ่งเป็นเว็บเซิร์ฟเวอร์ที่ได้รับความนิยมสูงเป็นอันดับ 6 ของโลก

รายการช่องโหว่แรก (CVE-2022-0072 CVSS: 5.8) จากสามช่องโหว่ที่เกี่ยวข้องในการเข้าถึงการใช้งานไดเรกทอรี ซึ่งอาจถูกในไปใช้ในการโจมตี และการเข้าถึงไฟล์ทีไม่ได้รับอนุญาตในส่วนของการใช้งานเว็บไซต์ต่างๆ


ช่องโหว่ที่เหลืออีก 2 รายการได้แก่ (CVE-2022-0073 และ CVE-2022-0074 CVSS: 8.8)

ซึ่งเกี่ยวข้องกับการยกระดับสิทธิ์การเข้าใช้งาน การรันโค้ดคำสั่ง ให้เป็นตามขั้นตอนเพื่อให้การทำงานมีความสัมพันธ์ และเชื่อมโยงกันในการดำเนินการ

ผู้โจมตีสามารถจัดการทำงานต่างๆ เพื่อให้ได้ข้อมูลประจำตัวของผู้ใช้งานไปไว้ยังหน้าแดชบอร์ด ไม่ว่าจะใช้วิธีการแบบ brute-force attacks หรือ social engineering และใช้ประโยชน์จากช่องโหว่นี้ทำการรันโค้ดบนเซิร์ฟเวอร์

OpenLiteSpeed เวอร์ชันที่ได้รับผลกระทบตั้งแต่ (1.5.11 ถึง 1.7.16) ซึ่งได้รับการแก้ไขแล้วในเวอร์ชัน 1.7.16.1 และในส่วนของ LiteSpeed ที่ได้รับผลกระทบตั้งแต่เวอร์ชัน 5.46 ถึง 6.0.11 ซึ่งได้รับการแก้ไขแล้วในเวอร์ชัน 6.0.12 ในวันที่ 4 ตุลาคม 2565 ที่ผ่านมา