พบช่องโหว่ในแพ็กเกจ npm สำหรับทำ ‘netmask’ คาดกระทบกว่า 280,000โปรเจ็ค

มีการค้นพบช่องโหว่ในแพ็กเกจ npm ที่ทำหน้าที่สำหรับ netmask โดยมียอดดาวน์โหลดสูงถึงนับล้านครั้งต่อสัปดาห์

Credit: ShutterStock.com

ไอทีทุกท่านรู้จักกับการทำ netmask อยู่แล้ว อย่างไรก็ดีแพ็กเกจที่ทำหน้าที่นี้ใน npm มีช่องโหว่ในการแปลงเลขฐาน 8 ที่ขึ้นต้นด้วย 0 ซึ่งจะตีความกลายเป็นฐาน 10 แทน โดย Sick Codes ผู้พบช่องโหว่ชี้ว่าคนร้ายสามารถต่อยอดช่องโหว่หมายเลข CVE-2021-28918 ได้หลายสถานการณ์เช่น Server-side Request Forgery, Remote File Inclusion และ Local File Inclusion เป็นต้น 

คนร้ายจากภายนอกที่มีสิทธิ์หรือไม่มีสิทธิ์ก็ตามสามารถ Bypass แพ็กเกจที่ใช้เพียงการทำ Netmask เพื่อคัดกรอง IP Address block ในการเข้าถึง Intranet, VPN, Container, VPC instance หรือ LAN เช่นเจอกับอินพุตน์เป็น 012.0.0.1 (ฐานสิบคือ 10.0.0.1) แต่ด้วยข้อผิดพลาดของ netmask จะตีความว่าเป็น 12.0.0.1

อย่างไรก็ดี Marcus Dunn, หัวหน้าทีมวิศวกรรมที่ Netflix ซึ่งเป็นผู้ดูแลโปรเจ็ค netmask ได้แสดงความกระตือรือล้นเป็นอย่างมากโดยใช้เวลาแก้ไขเพียงไม่กี่วัน รวมถึงกรณีอื่นที่คล้ายกันในการแปลงฐาน 8, 10 และ 16 รวมถึงพวกช่องว่าง ทั้งนี้ผู้ใช้งานแพ็กเกจดังกล่าวก็ต้องอัปเดตโค้ดกันครับ

ที่มา : https://www.securityweek.com/vulnerability-netmask-npm-package-affects-280000-projects

from:https://www.techtalkthai.com/netmask-npm-package-bug-found-cve-2021-28918/