CVE-2024-10524 ช่องโหว่ใน Wget ที่อาจเป็นช่องทางสู่การโจมตี
สรุปข้อมูล
CVE-2024-10524 เป็นช่องโหว่ความปลอดภัยระดับร้ายแรงใน Wget ซึ่งเป็นเครื่องมือสำคัญในระบบ Linux สำหรับดาวน์โหลดข้อมูลผ่านโปรโตคอล HTTP และ FTP โดยช่องโหว่นี้ช่วยให้ผู้โจมตีสามารถใช้การโจมตีแบบ Server-Side Request Forgery (SSRF) เพื่อเข้าถึงเซิร์ฟเวอร์ภายในหรือทรัพยากรที่ถูกจำกัดการเข้าถึง รวมถึงการขโมยข้อมูลหรือการโจมตีเพิ่มเติมในระบบเครือข่ายที่ไม่มีการป้องกัน
รายละเอียดช่องโหว่
ช่องโหว่เกิดจากการจัดการ HTTP headers และการตอบสนองที่ไม่ปลอดภัยในกระบวนการทำงานของ Wget โดยหากผู้ใช้งานเรียกใช้ Wget เพื่อดาวน์โหลดไฟล์จาก URL ที่ไม่น่าเชื่อถือ ผู้โจมตีส่ง URL ที่มีโค้ดอันตรายฝังอยู่ในรูปแบบลิงก์ในระบบที่ใช้ Wget โดยตรงหรือผ่าน API/สคริปต์ที่เรียกใช้ Wget และ Wget จะดำเนินการตาม URL ที่ได้รับ โดยไม่ได้ตรวจสอบแหล่งที่มาทำให้สามารถเข้าถึงทรัพยากรที่ถูกจำกัดการเข้าถึง เช่น Internal APIs, เซิร์ฟเวอร์ฐานข้อมูล หรือ Metadata services ในระบบ Cloud เช่น AWS และ GCP เป็นต้น
การใช้ประโยชน์จากช่องโหว่
- การโจมตี SSRF โดยการจัดการ URL แบบย่อ ผู้โจมตีสามารถบังคับให้ Wget ส่งคำขอไปยังเซิร์ฟเวอร์ภายในที่โดยปกติไม่สามารถเข้าถึงได้จากอินเทอร์เน็ต
- การโจมตีรูปแบบ Phishing ผู้โจมตีสามารถสร้างลิงก์ที่เป็นอันตรายซึ่งดูเหมือนว่าจะชี้ไปยังเว็บไซต์ที่ถูกต้องตามกฎหมายแต่จริง ๆ แล้วกลับเปลี่ยนเส้นทางผู้ใช้ไปยังเซิร์ฟเวอร์ที่ผู้โจมตีควบคุม
- การโจมตีรูปแบบ Man-in-the-middle (MitM) ผู้โจมตีสามารถวางตำแหน่งตัวเองระหว่าง Wget และเซิร์ฟเวอร์ที่ต้องการ โดยดักจับและอาจจะแก้ไขข้อมูลได้
- การรั่วไหลของข้อมูล ผู้โจมตีสามารถใช้ประโยชน์จากช่องโหว่เพื่อเข้าถึงข้อมูลที่สำคัญ เช่น บันทึกข้อผิดพลาดหรือชื่อโฮสต์ภายใน
เวอร์ชันที่ได้รับผลกระทบ
| ผลิตภัณฑ์ | เวอร์ชันที่ได้รับผลกระทบ | เวอร์ชั่นที่ปลอดภัย |
| Wget | 1.24.5 และ ต่ำกว่า | 1.25.0 หรือ ใหม่กว่า |
ผลกระทบจากการโจมตี
เครื่องที่ใช้ Wget ในการดาวน์โหลดข้อมูลจากแหล่งที่ไม่เชื่อถือ เสี่ยงต่อการถูกโจมตีภายในเครือข่าย (Internal breach) และอาจถูกโจมตีหรือดึงข้อมูลส่วนตัวโดยที่ผู้ใช้งานไม่รู้ตัว สูญเสียข้อมูลสำคัญที่ควรปกปิด เช่น รหัสผ่าน, เอกสารสำคัญ, ฐานข้อมูลลูกค้า, ข้อมูลการเงิน เป็นต้น อีกทั้งระบบ Cloud อาจถูกนำไปใช้โจมตีเพิ่มเติมหากมีการเข้าถึง metadata services
คำแนะนำ
- อัปเดต Wget เป็นเวอร์ชัน 1.25.0 หรือใหม่กว่า
- กำหนดให้การใช้งาน Wget ต้องผ่าน Proxy Server เพื่อควบคุมและตรวจสอบคำขอ
- จำกัดสิทธิ์การใช้งาน Wget ให้ทำงานเฉพาะในโซนหรือสภาพแวดล้อมที่กำหนด เพื่อลดความเสี่ยงในการเข้าถึงทรัพยากรภายใน
- เปิดใช้งานการบันทึกและตรวจสอบคำขอ HTTP ขาออก เพื่อจับพฤติกรรมที่ผิดปกติซึ่งอาจบ่งบอกถึงการโจมตี SSRF
- ใช้เครื่องมือเฝ้าระวัง เช่น Intrusion Detection System (IDS) เพื่อตรวจจับและบล็อกกิจกรรม SSRF
แหล่งอ้างอิง
https://securityonline.info/wget-vulnerability-cve-2024-10524-opens-door-to-ssrf-attacks/
