ISAC Cambodia (InfoSec)
GeneralSecurity News

កុំព្យូទ័រម៉ាក Dell មានចំនុចខ្សោយដែលអាចឱ្យមានការហេគចូលពីចំងាយបាន

ចំនុចខ្សោយមាននៅក្នុងកម្មវិធីកុំព្យូទ័ររបស់ Dell មានឈ្មោះថា SupportAssist បានធ្វើឱ្យកុំព្យូទ័រយួរដៃ និងកុំព្យូទ័រលើតុម៉ាក Dell អាចប្រឈមមុខទៅនឹងការវាយប្រហារពីចំងាយដែលអាចឱ្យពួក Hackers ដំណើរការកូដជាមួយហើយគ្រប់គ្រងទៅលើកុំព្យូទ័រនោះតែម្តង។

Dell បានចេញផ្សាយការជួសជុលទៅលើកំហុសសុវត្ថិភាពនេះនាថ្ងៃទី 23 ខែមេសា កន្លងទៅនេះ។ ទោះជាយ៉ាងណាក៏ដោយ អ្នកប្រើបា្រស់ជាច្រើនទៀតទំនងជានៅតែងាយរងគ្រោះដោយសារបញ្ហានេះ លុះត្រាតែពួកគេបានធ្វើបច្ចុប្បន្នភាពទៅលើកម្មវិធី SupportAssist ។

ចំនួនអ្នកប្រើប្រាស់ដែលទទួលរងផលប៉ះពាល់ត្រូវបានគេជឿថាមានកំរិតខ្ពស់ ពីព្រោះកម្មវិធី SupportAssist គឺជាផ្នែកមួយនៃកម្មវិធីរបស់ក្រុមហ៊ុន Dell តំឡើងជាមុននៅលើកុំព្យូទ័រយួរដៃនិងកុំព្យូទ័រលើតុ ម៉ាក Dell ទាំងអស់ ដែលក្រុមហ៊ុនភ្ជាប់ជាមួយនូវប្រព័ន្ធប្រតិបត្តិការ Windows OS (កុំព្យូទ័រដែលលក់ដោយគ្មានប្រព័ន្ធប្រតិបត្តិការមិនត្រូវបានប៉ះពាល់ ) ។

ចំនុចខ្សោយលេខកូដ CVE-2019-3719

យោងទៅតាមលោក Bill Demirkapi អ្នកស្រាវជ្រាវសន្តិសុខអ៊ិនធឺណិតអាយុទើបតែ 17ឆ្នាំបានឱ្យដឹងថា កម្មវិធី Dell SupportAssist គឺងាយរងគ្រោះពីការដំណើរការកូដពីចម្ងាយ (remote code execution) ដែលស្ថិតក្រោមកាលៈទេសៈមួយចំនួនដែលអាចឱ្យអ្នកវាយប្រហារធ្វើការវាយលុកចូល (hijack) ទៅក្នុងប្រព័ន្ធរបស់ Dell នៅក្នុងកុំព្យូទ័រនោះតែម្តង។

ការវាយប្រហារនេះអាចកើតមានឡើង ដោយពឹងផ្អែកលើការបញ្ចុះបញ្ចូលអ្នកប្រើប្រាស់ចូលទៅកាន់វេបសាយណាមួយដែលមានផ្ទុកទៅដោយកូដ malicious JavaScript ដែលអាចបញ្ឆោតឱ្យកម្មវិធី Dell SupportAssist ចូលទៅទាញយក (download) និងដំណើរការឯកសារពីអ៊ិនធឺណិត (ដែលស្ថិតនៅក្រោមការគ្រប់គ្រងរបស់ហេគឃ័រ)។

ដោយសារតែកម្មវិធី Dell SupportAssist ដំណើរការក្នុងសិទ្ធិជា Admin អ្នកវាយប្រហារនឹងមានលទ្ធភាពអាកសេសពេញលេញទៅក្នុងប្រព័ន្ធ។

ការវាយប្រហារតម្រូវឱ្យមានការចូលទៅដល់បណ្តាញ LAN / ROUTER

លោក Demirkapi បានប្រាប់ ZDNet នៅក្នុងការសន្ទនាតាមអ៊ីម៉ែលមួយថា “អ្នកវាយប្រហារត្រូវតែមានវត្តមាននៅលើបណ្តាញរបស់ជនរងគ្រោះដើម្បីអនុវត្តន៍ ARP Spoofing Attack និង DNS Spoofing Attack នៅលើម៉ាស៊ីនរបស់ជនរងគ្រោះ ដើម្បីអាចធ្វើការដំណើរការកូដពីចម្ងាយបាន”។

វាស្តាប់ទៅហាក់ដូចជាមិនងាយស្រួលនោះទេ ក៏ប៉ុន្តែវាក៏មិនស្មុគស្មាញដូចជាយល់ឃើញនោះដែរ។

សេណារីយ៉ូពីរដែលការវាយប្រហារនេះអាចធ្វើទៅបាន ដោយរួមបញ្ចូលបណ្តាញ WiFi សាធារណៈ ឬរបស់បណ្តាញសហគ្រាសធំៗ ដែលមានយ៉ាងហោចណាស់ម៉ាស៊ីនមួយត្រូវបានហេគចូលគ្រប់គ្រង ហើយអាចត្រូវបានប្រើដើម្បីចាប់ផ្តើមការវាយប្រហារ ARP និង DNS ចូលទៅក្នុងកុំព្យូទ័រ Dell ដែលនៅជិតៗ កំពុងដំណើរការកម្មវិធី SupportAssist ។

សេណារីយ៉ូដែលអាចជឿទុកចិត្តបានមួយទៀតគឺ ស្ថិតនៅក្នុងស្ថានភាពដែលអ្នកវាយប្រហារធ្វើការវាយលុករួចគ្រប់គ្រងទៅលើ router WiFi របស់អ្នកប្រើប្រាស់ ដែលអាចឱ្យគាត់ធ្វើការកែប្រែ (alter) ទៅលើត្រាហ្វិក DNS ដោយផ្ទាល់តែម្តងនៅលើ router នោះ។

ដូចដែលយើងបានឃើញនៅក្នុងប៉ុន្មានខែកន្លងមកនេះ ការហេគចូល router ដើម្បីកែប្រែទៅលើ DNS traffic គឺមិនមែនជាការវាយប្រហារដ៏ស្មុគស្មាញទៀតឡើយ ហើយវាកំពុងតែកើតមានកាន់តែច្រើនឡើងៗ ជាទូទៅគឺដោយសារតែបញ្ហាសន្តិសុខនៅលើ router តែម្តង។

ATTACK មិនតម្រូវឱ្យមានអន្តរាគមន៍របស់អ្នកប្រើទេ

លើសពីនេះទៀតការវាយប្រហារនេះមិនតម្រូវឱ្យមានអន្តរកម្ម (interaction) ពីសំណាក់អ្នកប្រើប្រាស់ទេ លើកលែងតែការបោកបញ្ជោតឱ្យអ្នកប្រើប្រាស់ចូលទីកាន់វេបសាយណាមួយហើយកូដ JavaScript សម្រាប់វាយប្រហារនោះ ក៏អាចត្រូវបានគេបង្កប់នៅក្នុងការផ្សព្វផ្សាយ (ads iframes) នៅលើវេបសាយស្របច្បាប់ផងដែរ។

លោក Demirkapi បានពន្យល់ថា iframe នោះនឹងចង្អុលទៅ subdomain នៃ dell.com ហើយបន្ទាប់មក DNS spoofing attack និងដំណើរការពីម៉ាស៊ីន ឬ​ router ដែលគ្រប់គ្រងដោយអ្នកវាយប្រហារ នឹងបញ្ជូនត្រឡប់នូវលេខអាសយដ្ឋាន IP មិនត្រឹមត្រូវ (fake IP) របស់ domain dell.com ដែលអនុញ្ញាតឱ្យអ្នកវាយប្រហារអាចធ្វើការត្រួតពិនិត្យនូវរាល់ឯកសារនានាដែលត្រូវបានបញ្ជូន និងដំណើរការដោយដោយឧបករណ៍ SupportAssist ។

ដំណឹងល្អនោះគឺថាក្រុមហ៊ុន Dell យករបាយការណ៍របស់អ្នកស្រាវជ្រាវហើយពិនិត្យយ៉ាងម៉ត់ចត់ ហើយបានធ្វើការអស់រយៈពេលជាច្រើនខែមកហើយដើម្បីបង្កើតនូវកម្មវិធីអាប់ដេតទៅលើថ្មីគឺ SupportAssist V3.2.0.90 ដែលទាមទារឱ្យអ្នកប្រើប្រាស់កុំព្យូទ័រ Dell ទាំងអស់ត្រូវតែតំឡើងវាចាំបាច់។

ភស្តុតាងនៃការវាយប្រហារ​ (proof of concept) ត្រូវបានគេដាក់នៅលើ GitHub ហើយ លោក Demirkapi ក៏បានចេញនូវវីដេអូបង្ហាញផងដែរ។ សម្រាប់អ្នកដែលចង់អានបច្ចេកទេសលំអិត ក៏អាចទាញយក vulnerability report បានផងដែរ៕


Show More

Phannarith

Mr. OU Phannarith is one of the well-known cybersecurity experts in Cambodia and the region. He is the founder of the first leading information security website (www.secudemy.com) in Cambodia. He has been invited to present in global conferences, forums, and seminars and he was awarded in Information Security Leadership Achievements (ISLA) in 2016 by (ISC)2 and in December 2012 as one of the top 10 Chief Information Security Officers (CISO) in ASEAN by the International Data Group (IDG). Mr. OU has been the Professor specializing in Cybersecurity.

Related Articles

Back to top button