Trellix ออกแพตซ์แก้ไขช่องโหว่ CVE-2024-11481 และ CVE-2024-11482
สรุปข้อมูล
Trellix ออกแพตซ์สำหรับ Enterprise Security Manager (ESM) เพื่อแก้ไขช่องโหว่ที่อนุญาตให้แฮกเกอร์เข้าถึงและดำเนินการ Remote Code Execution (RCE) โดยไม่ผ่านการ Authentication ได้แก่ CVE-2024-11481 คะแนน CVSS อยู่ที่ 8.2 และ CVE-2024-11482 CVSS 9.8 ซึ่งส่งกระทบต่อ Confidentiality Integrity และ Availability ของข้อมูลส่วนตัวต่าง ๆ และระบบใน ESM เวอร์ชัน 11.6.10 ถึง 11.6.12 ณ ปัจจุบันทาง Trellix ได้ออกแพตซ์แก้ไขช่องโหว่ดังกล่าวใน ESM เวอร์ชัน 11.6.13 และแนะนำให้ผู้ใช้งานอัปเดตระบบของตนโดยเร็วที่สุด
รายละเอียดเชิงเทคนิค
- CVE-2024-11481 เป็นช่องโหว่ที่อนุญาตให้แฮกเกอร์สามารถเข้าถึง Snowservice API โดยไม่ผ่านการ Authentication ซึ่งอาจนำไปสู่การโจมตีรูปแบบ Path Traversal การ Forward ไปยัง AJP backend โดยไม่ผ่านการ Validate ให้ถูกต้อง รวมไปถึงการ Authentication ไม่เพียงพอในการเข้าถึง API ภายในต่าง ๆ
- CVE-2024-11482 แฮกเกอร์สามารถเข้าถึง Snowservice API โดยไม่ต้อง Authentication และสามารถดำเนินการ Remote Code Execution ผ่านการโจมตีแบบ Command Injection ด้วยผู้ใช้งาน Root ส่งผลให้แฮกเกอร์สามารถ Compromise ระบบของเหยื่อได้
ผลกระทบจากการโจมตี
จากช่องโหว่ CVE-2024-11481 และ CVE-2024-11482 ใน Trellix ESM ทำให้แฮกเกอร์สามารถเข้าถึงข้อมูลส่วนตัวและระบบของเหยื่อโดยไม่ได้รับอนุญาต รวมไปถึงแฮกเกอร์สามารถ Remote Code เข้าควบคุมระบบของเหยื่อได้ตามต้องการ ซึ่งแฮกเกอร์อาจขยายขอบเขตและรูปแบบการโจมตีเพิ่มเติมบนระบบของเหยื่อต่อไปได้
คำแนะนำ
- ติดตามและปฏิบัติตามวิธีการแก้ไขปัญหาตามประกาศของ Trellix
- หมั่นตรวจสอบและอัปเดตซอฟต์แวร์อย่างสม่ำเสมอ
แหล่งอ้างอิง
