HPE OneView RCE Flaw: ช่องโหว่ความรุนแรงสูงสุดที่ต้องแก้ไขด่วน
Hewlett Packard Enterprise (HPE) ได้ออกคำเตือนเกี่ยวกับช่องโหว่ความปลอดภัยระดับ “สูงสุด” (Maximum Severity) ในซอฟต์แวร์การจัดการโครงสร้างพื้นฐาน HPE OneView ช่องโหว่นี้คือช่องโหว่การเรียกใช้โค้ดจากระยะไกลโดยไม่ได้รับการรับรองความถูกต้อง (Unauthenticated Remote Code Execution – RCE) ซึ่งถูกติดตามในชื่อ CVE-2023-23589 โดยมีคะแนน CVSSv3.1 ที่ 9.8 (วิกฤต) ช่องโหว่นี้ส่งผลกระทบต่อ HPE OneView ทุกเวอร์ชัน 7.x และเวอร์ชันก่อนหน้าทั้งหมด ผู้โจมตีสามารถใช้ช่องโหว่นี้เพื่อดำเนินการโค้ดตามอำเภอใจบนอุปกรณ์ HPE OneView ที่มีช่องโหว่โดยไม่จำเป็นต้องมีการตรวจสอบสิทธิ์ใดๆ ซึ่งอาจนำไปสู่การควบคุมระบบและการเข้าถึงข้อมูลที่เป็นความลับ
Severity (ระดับความรุนแรง) วิกฤต (Maximum Severity)
System Impact
- HPE OneView: ช่องโหว่ส่งผลกระทบโดยตรงต่อซอฟต์แวร์การจัดการ HPE OneView ทุกเวอร์ชัน 7.x และเวอร์ชันก่อนหน้า
- โครงสร้างพื้นฐานที่จัดการโดย HPE OneView: เนื่องจาก HPE OneView ใช้ในการจัดการเซิร์ฟเวอร์, สตอเรจ และเครือข่ายของ HPE ผู้โจมตีที่เข้าควบคุม HPE OneView ได้อาจสามารถเข้าถึงและจัดการโครงสร้างพื้นฐานทั้งหมดที่อยู่ภายใต้การดูแล
- ข้อมูลที่เป็นความลับ: การเข้าถึงระบบ HPE OneView โดยไม่ได้รับอนุญาตอาจทำให้ผู้โจมตีสามารถเข้าถึงข้อมูลการกำหนดค่าระบบ, ข้อมูลประจำตัว และข้อมูลสำคัญอื่นๆ
Malware หรือ Threat Actor ที่เกี่ยวข้อง ยังไม่มีการระบุ Malware หรือ Threat Actor เฉพาะที่กำลังใช้ช่องโหว่นี้ อย่างไรก็ตาม ช่องโหว่ RCE ที่ไม่ต้องการการตรวจสอบสิทธิ์มักจะเป็นเป้าหมายยอดนิยมของกลุ่มแฮกเกอร์และแรนซัมแวร์
ขั้นตอนการโจมตีทางเทคนิคแบบ Step by Step
- การค้นหาเป้าหมาย: ผู้โจมตีจะสแกนหาอินสแตนซ์ของ HPE OneView ที่สามารถเข้าถึงได้จากอินเทอร์เน็ต
- การใช้ประโยชน์จากช่องโหว่: เมื่อพบเป้าหมาย ผู้โจมตีจะส่งคำขอที่สร้างขึ้นเป็นพิเศษไปยัง HPE OneView เพื่อใช้ประโยชน์จากช่องโหว่ CVE-2023-23589
- การเรียกใช้โค้ดจากระยะไกล: ช่องโหว่นี้อนุญาตให้ผู้โจมตีเรียกใช้โค้ดตามอำเภอใจบนระบบ HPE OneView โดยไม่ต้องมีการตรวจสอบสิทธิ์
- การควบคุมระบบและการขยายสิทธิ์: เมื่อสามารถเรียกใช้โค้ดได้ ผู้โจมตีจะสามารถควบคุมระบบ HPE OneView ได้อย่างสมบูรณ์ และอาจพยายามขยายสิทธิ์เพื่อเข้าถึงส่วนอื่นๆ ของเครือข่าย
คำแนะนำ
Short Term (คำแนะนำเร่งด่วน)
- อัปเดตทันที: HPE ได้ออกแพตช์แก้ไขสำหรับช่องโหว่นี้แล้ว ผู้ใช้ HPE OneView ควรดำเนินการอัปเดตเป็นเวอร์ชันที่ปลอดภัยที่สุดทันทีที่ทำได้
- HPE OneView 7.0: อัปเดตเป็นเวอร์ชัน 7.00.01 หรือสูงกว่า
- HPE OneView 7.1: อัปเดตเป็นเวอร์ชัน 7.10.01 หรือสูงกว่า
- HPE OneView 7.2: อัปเดตเป็นเวอร์ชัน 7.20.01 หรือสูงกว่า
- HPE OneView 7.3: อัปเดตเป็นเวอร์ชัน 7.30.01 หรือสูงกว่า
- จำกัดการเข้าถึงเครือข่าย: ตรวจสอบให้แน่ใจว่า HPE OneView ไม่สามารถเข้าถึงได้จากอินเทอร์เน็ตโดยตรง ควรจำกัดการเข้าถึงเฉพาะเครือข่ายภายในที่เชื่อถือได้เท่านั้น
- ตรวจสอบบันทึก (Logs): ตรวจสอบบันทึกของ HPE OneView และอุปกรณ์เครือข่ายอย่างสม่ำเสมอเพื่อหาสัญญาณของการเข้าถึงที่ไม่ได้รับอนุญาตหรือกิจกรรมที่น่าสงสัย
Long Term (คำแนะนำระยะยาว)
- การจัดการแพตช์อย่างสม่ำเสมอ: สร้างกระบวนการจัดการแพตช์ที่มีประสิทธิภาพเพื่อให้อัปเดตซอฟต์แวร์และเฟิร์มแวร์ทั้งหมดเป็นเวอร์ชันล่าสุดอยู่เสมอ
- การแบ่งส่วนเครือข่าย (Network Segmentation): แยก HPE OneView ออกจากเครือข่ายส่วนอื่นๆ ด้วยการแบ่งส่วนเครือข่าย เพื่อจำกัดความเสียหายหากมีการโจมตีเกิดขึ้น
- หลักการสิทธิ์ขั้นต่ำ (Least Privilege): ใช้หลักการสิทธิ์ขั้นต่ำสำหรับการเข้าถึง HPE OneView และระบบที่เกี่ยวข้อง เพื่อลดความเสี่ยงจากการถูกบุกรุก
- การตรวจสอบความปลอดภัยอย่างสม่ำเสมอ: ทำการประเมินช่องโหว่และทดสอบการเจาะระบบ (Penetration Testing) บน HPE OneView และโครงสร้างพื้นฐานที่เกี่ยวข้องเป็นประจำ
แหล่งที่มาของข่าว https://www.bleepingcomputer.com/news/security/hpe-warns-of-maximum-severity-rce-flaw-in-oneview-software/
Share this content: