បញ្ហាជាច្រើន នៅក្នុងផលិតផល CyberPower និង Dataprobe បង្កគ្រោះថ្នាក់ដល់មជ្ឈមណ្ឌលទិន្នន័យ

ភាពងាយរងគ្រោះផ្នែកសុវត្ថិភាពចម្រុះប៉ះពាល់ដល់ការគ្រប់គ្រងរចនាសម្ព័ន្ធមជ្ឈមណ្ឌលទិន្នន័យ (Data Center Infrastructure Management (DCIM)) សហគ្រាស PowerPanel របស់ CyberPower និងទីតាំងចែកចាយថាមពល (Power Distribution Unit (PDU)) iBoot របស់ Dataprobe អាចត្រូវកេងចំណេញ ដើម្បីដំណើរការដោយមិនចាំបាច់ផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវនៅក្នុងប្រព័ន្ធទាំងនេះ និងបណ្តាលឱ្យប៉ះពាល់ដល់មជ្ឈដ្ឋានគោលដៅ។

បញ្ហាចំនួន៩ ចាប់ពី CVE-2023-3259 ដល់ CVE-2023-3267 មានកម្រិតគ្រោះថ្នាក់ចាប់ពី 6.7 ដល់ 9.8 ដែលអាចឱ្យហេគឃ័របិទ ឬផ្អាកដំណើរការ (shut down) មជ្ឈមណ្ឌលទិន្នន័យទាំងស្រុង និងសម្របសម្រួលមជ្ឈមណ្ឌលទិន្នន័យ ដើម្បីលួចទិន្នន័យ ឬដាក់ចេញការប្រហារទ្រង់ទ្រាយធំ។ អ្នកស្រាវជ្រាវសន្តិសុខនៅក្រុមហ៊ុន Trellix ថ្លែងនៅក្នុងរបាយការណ៍ថា ហេគឃ័រអាចចងភាពងាយរងគ្រោះទាំងនេះចូលគ្នា ដើម្បីអាចដំណើរការទាំងស្រុងនៅក្នុងប្រព័ន្ធទាំងនេះ។ ជាងនេះទៀត ផលិតផលទាំងពីរនេះ ងាយនឹងរងការចាក់បញ្ចូលកូដពីចម្ងាយ ដែលអាចត្រូវបង្កើតជាទ្វារក្រោយ ឬទីតាំងលួចចូល (entry point) ទៅក្នុងបណ្តាញណេតវកដ៏ទូលាយនៃឧបករណ៍ និងប្រព័ន្ធសហគ្រាសរបស់មជ្ឈមណ្ឌលទិន្នន័យដែលត្រូវភ្ជាប់។ លទ្ធផលត្រូវបង្ហាញនៅសន្និសីទ DEFCON នៅថ្ងៃនេះថាគ្មានភស្តុតាងណាមួយបង្ហាញពីការកេងចំណេញនៅឡើយទេ។ បញ្ជីរាយនាមអំពីបញ្ហា ដែលត្រូវបង្ហាញនៅក្នុងជំនាន់ 2.6.9 នៃកម្មវិធី PowerPanel Enterprise និងជំនាន់ 1.44.08042023 នៃ Dataprobe iBoot PDU firmware មានដូចតទៅ៖

1. CVE-2023-3259 (CVSS score: 9.8) Deserialization នៃទិន្នន័យដែលមិនគួរឱ្យទុកចិត្ត ដែលនាំទៅដល់ការឆ្លងកាត់ការផ្ទៀងផ្ទាត់
2. CVE-2023-3260 (CVSS score: 7.2) ការចាក់បញ្ចូលពាក្យបញ្ជា OS ដែលនាំដល់ការផ្ទៀងផ្ទាត់លេខកូដសម្ងាត់ពីចម្ងាយ
3. CVE-2023-3261 (CVSS score: 7.5) បញ្ហាលំហូរដ៏គំហុក (Buffer overflow) នាំឱ្យមានការហេគបែប DoS
4. CVE-2023-3262 (CVSS score: 6.7) បញ្ហានៃការប្រើ hard-code ព័ត៌មានសម្ងាត់ (credentials)
5. CVE-2023-3263 (CVSS score: 7.5) គ្មានការផ្ទៀងផ្ទាត់ឆ្លងកាត់ដោយឈ្មោះ (alternative name) CyberPower PowerPanel Enterprise
6. CVE-2023-3264 (CVSS score: 6.7) បញ្ហានៃការប្រើ hard-code credentials
7. CVE-2023-3265 (CVSS score: 7.2) ភាពមិនត្រឹមត្រូវនៃ escape, meta ឬលទ្ធផលនៃការគ្រប់គ្រងដែលបណ្តាលឱ្យមានការឆ្លងកាត់កាត់ផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវ
8. CVE-2023-3266 (CVSS score: 7.5) បញ្ហានៃការត្រួតពិនិត្យសន្តិសុខដែលអនុវត្តមិនត្រឹមត្រូវតាមស្តង់ដារ ដែលនាំឱ្យមានការឆ្លងកាត់ការផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវ
9. CVE-2023-3267 (CVSS score: 7.5) បញ្ហានៃការចាក់បញ្ចូលខំមិន OS ដែលនាំឱ្យមានប្រតិបត្តិការកូដបញ្ជាពីចម្ងាយលើការផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវ។

ការកេងចំណេញដ៏ជោគជ័យលើកំហុសដែលរៀបរាប់ខាងលើអាចប៉ះពាល់ដល់ការដាក់ពង្រាយរចនាសម្ព័ន្ធសំខាន់ៗ ដែលពឹងផ្អែកលើមជ្ឈមណ្ឌលទិន្នន័យ ដែលនាំឱ្យមានការបិទ ឬបញ្ឈប់ដំណើរការ (shutdowns) ជាមួយនឹងការផ្លាស់ប្តូរភ្លាមៗ (flip of switch), ការដាក់ពង្រាយមេរោគចាប់ជម្រិត, ការប្រហារបែប DDoS ឬធ្វើចារកម្មតាមអុីនធឺណិតជាដើម។ អ្នកស្រាវជ្រាវបន្តថា ភាពងាយរងគ្រោះនៅលើផ្លេតហ្វមគ្រប់គ្រងរបស់មជ្ឈមណ្ឌលទិន្នន័យ ឬឧបករណ៍តែមួយអាចបណ្តាលឱ្យមានការសម្របសម្រួលទាំងស្រុងលើបណ្តាញណេតវកផ្នែកខាងក្នុង និងផ្តល់ឱកាសឱ្យហេគឃ័រឈរជើងដើម្បីប្រហាររចនាសម្ព័ន្ធក្លោដដទៃដែលភ្ជាប់យ៉ាងងាយ៕