CEO Blog

ภัยคุกคามผ่านการเข้าเว็บไซต์

By นักรบ เนียมนามธรรม25 ม.ค. 2021 เวลา 8:00 น.
ภัยคุกคามผ่านการเข้าเว็บไซต์

ผู้โจมตีสามารถสอดแนมกิจกรรมการท่องเว็บของผู้ใช้หรือเปลี่ยนเส้นทางไปยังเว็บไซต์ยอดนิยมที่เป็นของปลอม

ในโลกไซเบอร์ Domain Name System (DNS) นั้นเปรียบเสมือนแท็กซี่ที่จะนำเราไปส่งยังเว็บไซต์ที่ต้องการ โดยเมื่อเราระบุชื่อเว็บไซต์บนเว็บเบราว์เซอร์ เจ้า DNS นี้จะทำหน้าที่พาเราไปยังเว็บไซต์ปลายทาง แต่จะเกิดอะไรขึ้นถ้าเจ้าแท็กซี่ในโลกไซเบอร์นี้พาเราไปยังเว็บไซต์ที่เราไม่ต้องการเข้า

ล่าสุดนักวิจัยทางด้านการรักษาความปลอดภัยไซเบอร์ พบว่า DNSMasq ซอฟต์แวร์โอเพ่นซอร์สที่เปิดให้เข้าไปดาวน์โหลด แก้ไข ได้ฟรี ถูกโจมตีด้วยการทำ Spoofing ซึ่งเป็นการปลอม หลอกลวงเป้าหมายให้ไปยังที่หมายผิดๆ และ Buffer Overflow การทำให้ข้อมูลมีจำนวนมากจนล้นและทำให้ระบบรวน

DNSMasq เป็นที่นิยมอย่างมาก มักถูกนำไปใช้ในซอฟต์แวร์ที่เกี่ยวกับอุปกรณ์ทางด้านเครือข่ายเพื่อที่จะทำหน้าที่เก็บ Cache และ Forward การใช้งานที่มีการเรียกใช้ไปถึงระบบ DNS ที่จับคู่ระหว่าง URLs กับชุด IP Address ของเว็บไซต์นั้นเพื่อให้ผู้ใช้เข้าไปที่เว็บไซต์ได้ถูกต้อง

ในประกาศจากนักวิจัยทางด้านการรักษาความปลอดภัยไซเบอร์ ได้เขียนถึงช่องโหว่ที่เกี่ยวกับ DNS Cache Poisoning จำนวน 3 ช่องโหว่และช่องโหว่เกี่ยวกับ Buffer Overflow อีก 4 ช่องโหว่ ซึ่งช่องโหว่เหล่านี้อนุญาตให้แฮกเกอร์สามารถจู่โจมผ่าน DNSMasq ได้ ไม่ว่าจะเป็นการปลอมแปลงเว็บไซต์ที่เป็นที่นิยม รวมถึงการจู่โจมที่มุ่งให้การบริการขัดข้องหรือล้มเหลวอย่าง Denial-of-Service (DoS) และในบางกรณีสามารถทำการจู่โจมผ่านการรันโค้ดจากระยะไกล หรือ Remote Code Execution (RCE) ได้อีกด้วย

ซึ่งการโจมตีแบบ Cache Poisoning ผู้โจมตีจะสามารถสอดแนมกิจกรรมการท่องเว็บของผู้ใช้หรือเปลี่ยนเส้นทางไปยังเว็บไซต์ยอดนิยมที่เป็นของปลอม ซึ่งเหยื่ออาจถูกหลอกให้แชร์ข้อมูลหรือข้อมูลส่วนบุคคลของตนได้ ซึ่งการโจมตีแบบ Cache Poisoning นั้นค่อนข้างรุนแรงเพราะแฮกเกอร์สามารถปลอมแปลงโดเมนหลายๆโดเมนได้ในคราวเดียว และปลอมได้เป็นระยะเวลานาน

ในขณะเดียวกันช่องโหว่ของ Buffer Overflow ทั้ง 3 ช่องโหว่นั้น แม้ว่าจะสามารถใช้เพื่อดำเนินการโจมตีแบบ Denial-of-Service (DoS) ได้ แต่ช่องโหว่หนึ่งในนั้นอาจทำให้เกิดการโจมตีแบบเรียกใช้โค้ดจากระยะไกลบนอุปกรณ์ของผู้ใช้ได้ด้วย

ผู้เชี่ยวชาญกล่าวว่า DNSmasq ได้กลายมาเป็นตัว DNS Forwarder หลักที่นิยมใช้กันสำหรับระบบที่ใช้ Linux เป็นพื้นฐาน รวมถึงเราเตอร์และอุปกรณ์เครือข่ายจำนวนมาก แม้ว่าโพรโทคอลที่เป็นข้อกำหนดหรือข้อตกลงในการสื่อสารระหว่างคอมพิวเตอร์ที่ช่วยเรื่องความปลอดภัยบางอย่าง เช่น HTTPS จะช่วยป้องกันจากการโจมตีเหล่านี้ได้ แต่ก็ไม่สามารถที่จะปกป้องการโจมตีได้ทั้งหมด อย่างไรก็ตาม DNSmasq เวอร์ชันใหม่ล่าสุดได้รับการแพตช์เพื่อแก้ไขข้อบกพร่องที่เกิดขึ้นแล้ว

หากองค์กรของท่านเป็นองค์กรขนาดใหญ่ผมแนะนำให้ท่านตั้งโฮสต์ DNS Server ขององค์กรเองเพื่อให้สามารถป้องกันตนเองจากการโจมตีเหล่านี้และแก้ไขปัญหาด้านความปลอดภัยอื่นๆได้ แต่หากเป็นองค์กรขนาดเล็กท่านอาจต้องใช้อุปกรณ์เครือข่ายที่มีคุณภาพสูงเพื่อให้มีการอัปเดตแพตช์ที่เร็วขึ้น เมื่อเกิดปัญหาจะได้ดาวน์โหลดแพตช์มาปิดช่องโหว่ได้อย่างรวดเร็วครับ