ແຈ້ງເຕືອນແລະຂໍ້ແນະນຳຜູ້ໃຊ້ທົ່ວໄປ

ແຈ້ງເຕືອນ​ ຊ່ອງ​ໂຫວ່ Zero-day ກະທົບ phpMyAdmin ທຸກເວີ​ຊັ່ນ 

Manuel Garcia Cardenas ນັກ​ວິໄ​ຈ​ດ້ານ​ຄວາມ​ປອດ​ໄພ ​ແລະ Pentester ໄດ້​ອອກ​ມາ​ເປີດ​ເຜີຍ​ເຖິງ​ຊ່ອງ​ໂຫວ່ Zero-day ເທິງ phpMyAdmin ທີ່​ຍັງ​ບໍ່​ຖືກແພັດ (Patch) ພ້ອມ​ຫຼັກ​ຖານ PoC ຊຶ່ງ​ຊ່ວຍ​ໃຫ້ແຮັກເກີ​ໂຈມ​ຕີ​ແບບ Cross-site Request Forgery (CSRF) ເພື່ອ​ຫຼອກ​ໃຫ້​ຜູ້​ໃຊ້​ທີ່​ພິສູດ​ຕົວ​ຕົນ​ແລ້ວ​ດຳ​ເນີນ​ການ​ບາງຢ່າງ​ຕາມ​ຄວາມ​ຕ້ອງ​ການ​ຂອງ​ແຮັກເກີ​ໂດຍ​ທີ່​ຜູ້​ໃຊ້​ບໍ່​ຮູ້​ຕົວ​ໄດ້.

         phpMyAdmin ເປັນ​ໜຶ່ງ​ໃນ​ແອັບພິເຄຊັ່ນ Open Source ຍອດ​ນິຍົມ​ສຳລັບ​ບໍລິຫານ​ຈັດການ​ຖານ​ຂໍ້​ມູນ MySQL ແລະ MariaDB ຊຶ່ງ​ຖືກ​ນຳ​ໄປ​ໃຊ້​ເທິງ Content Management Platforms ທີ່​ຫຼາກ​ຫຼາຍ ເຊັ່ນ: WordPress ແລະ Joomla ຊຶ່ງ​ຫຼ້າ​ສຸດ Cardenas ໄດ້​ຄົ້ນ​ພົບ​ຊ່ອງ​ໂຫວ່ Zero-day ປະ​ເພດ CSRF ລະ​ຫັດ CVE-2019-12922 ຄວາມ​ຮຸນແຮງ​ລະ​ດັບ​ປານ​ກາງ ເນື່ອງ​ຈາກ​ຊ່ອງ​ໂຫວ່​ນີ້ ​ມີ​ຂອບ​ເຂດ​ການ​ໂຈມ​ຕີ​ທີ່​ຈຳ​ກັດ ກ່າວ​ຄື ຊ່ວຍ​ໃຫ້ແຮັກເກີ​ລຶບ​ສະເພາະ Server ເທິງ​ໜ້າ Setup Page ຂອງ phpMyAdmin ຂອງ​ເປົ້າໝາຍ​ໄດ້​ເທົ່າ​ນັ້ນ.

         ແຮັກເກີ​ສາມາດ​ໂຈມ​ຕີ​ຜ່ານ​ຊ່ອງ​ໂຫວ່​ດັ່ງ​ກ່າວ​ໄດ້​ດ້ວຍ​ການ​ສົ່ງ URL ທີ່​ຖືກ​ສ້າງ​ຂຶ້ນ​ມາ​ເປັນ​ພິເສດ​ໄປ​ໃຫ້ Web Admin ທີ່​ກຳ​ລັງ​ລັອກ​ອິນ​ຢູ່ໃນ​ລະບົບ phpMyAdmin ເທິງ​ບຣາວເຊີ (Browser) ​ດຽວ​ກັນ ເມື່ອ Web Admin ເຂົ້າ​ເຖິງ URL ນັ້ນ​ໆ ກໍ່ຈະ​ດຳ​ເນີນ​ການ​​ລຶບ (DROP) Server ເທິງ phpMyAdmin ໂດຍ​ທັນ​ທີ.

ຕົວຢ່າງ: POC ດັ່ງຮູບລຸ່ມນີ້

         ການ​ໂຈມ​ຕີ​ຜ່ານ​ຊ່ອງ​ໂຫວ່​ນີ້​ຖື​ວ່າ​ເຮັດ​ໄດ້​ບໍ່​ຍາກ​ ພຽງ​ແຕ່​ຮູ້ URL ຂອງ​ Server ​ເປົ້າ​ໝາຍ​ກໍ​ພຽງ​ພໍ​ແລ້ວ ແຮັກເກີ​​ບໍ່​ຈຳ​ເປັນ​ຕ້ອງ​ຮູ້​ຊື່ Database Server ໃດ​ໆ.

         ຊ່ອງ​ໂຫວ່ Zero-day ດັ່ງ​ກ່າວ ​ສົ່ງ​ຜົນ​ກະທົບ​ເທິງ phpMyAdmin ທຸກ​ເວີ​ຊັ່ນທັງຫມົດລວມ​ໄປ​ເຖິງເວີ​ຊັ່ນ 4.9.0.1 ຫຼ້າສຸດ ແລະ​ ຍັງ​ບໍ່​ມີ​ແພັດສຳລັບ​ປິດ​ຊ່ອງ​ໂຫວ່​ຈົນ​ເຖິງ​ຕອນ​ນີ້.

ເອກະສານອ້າງອີງ

  1. https://thehackernews.com/2019/09/phpmyadmin-csrf-exploit.html
  2. https://www.techtalkthai.com/csrf-zero-day-affects-all-versions-of-phpmyadmin/