ការកេងចំណេញលើ PoC ដែលជាបញ្ហា CVE-2024-49113 (aka “LDAPNightmare”) នៅលើ GitHub បានចម្លងមេរោគលួចព័ត៌មានទៅអ្នកប្រើប្រាស់ និងបានច្រោះយកទិន្នន័យសម្ងាត់ពីម៉ាស៊ីនមេ FTP ខាងក្រៅ។
តិននិកនេះមិនមែនជាការស្រមើស្រមៃទេ ខណៈដែលមានករណីឯកសារជាច្រើនដែលបានលើកឡើងពី Tool អាក្រក់នេះថា បានបំភាន់ជា PoC បំពានលើ GiHub។ ទោះជាយ៉ាងណា ករណីនេះ បានរកឃើញដោយក្រុមហ៊ុន Trend Micro និងបានបញ្ជាក់ថា ហេគឃ័របន្តប្រើតិចនិកនេះសម្រាប់បញ្ឆោតអ្នកប្រើប្រាស់ដែលគ្មានការសង្ស័យឱ្យចម្លងមេរោគចូលទៅក្នុងប្រព័ន្ធរបស់ខ្លួន។
ការបំពាន៖ ក្រុមហ៊ុន Trend Micro រាយការណ៍ថា GitHub Repository អាក្រក់មានផ្ទុកគម្រោងដែលបង្ហាញថាត្រូវបានផ្លាស់ប្តូរពី PoC ផ្លូវការរបស់ SafeBreach Lab សម្រាប់បញ្ហា CVE-2024-49113 ដែលចេញផ្សាយថ្ងៃទី០១ ខែមករា ឆ្នាំ២០២៥។ បញ្ហានេះជាផលប៉ះពាល់ចំនួន១ នៅក្នុងចំណោមផលប៉ះពាល់ចំនួន២ លើ Windows Lightweight Directory Access Protocol (LDAP) ដែលក្រុមហ៊ុន Microsoft បានដោះស្រាយនៅក្នុង December 2024 Patch Tuesday ជាមួយនឹងបញ្ហាផ្សេងទៀតនោះគឺប្រតិបត្តិកូដពីចម្ងាយដ៏សំខាន់ឈ្មោះ CVE-2024-49112។ នៅក្នុងការបង្ហោះរបស់ SafeBreach អំពី PoC បានលើកឡើង CVE-2024-49112 ខុស ខណៈ PoC របស់ពួកគេនោះគឺ CVE-2024-49113 ឯនោះវិញទេ ដែលជាបញ្ហាភាពងាយរងគ្រោះនៃសេវា Denial យ៉ាងធ្ងន់ធ្ងរ។ កំហុសនេះ ទោះបីជាត្រូវបានកែតម្រូវភ្លាមៗក្តី ក៏បានបង្កើតការចាប់អារម្មណ៍យ៉ាងខ្លាំង និងមានការភ្ញាក់ផ្អើលយ៉ាងឆាប់រហ័សនៅក្នុង LDAPNightmare និងជះឥទ្ធិពលសម្រាប់ការវាយប្រហារ គឺជាអ្វីដែលហេគឃ័រមានបំណងចង់កេងចំណេញនោះ។
អ្នកប្រើប្រាស់ដែលកំពុងដោនឡូត PoC ពី Repository អាក្រក់នឹងទទួលបាន UPX-packed executable ‘poc.exe’ នៅពេលប្រតិបត្តិ ទម្លាក់ស្រ្គីប PowerShell នៅក្នុង %Temp% Folder របស់ជនរងគ្រោះ។ ស្រ្គីបបង្កើតតារាងការងារនៅលើប្រព័ន្ធដែលត្រូវបានគ្រប់គ្រងដោយហេគឃ័រ ហើយប្រតិបត្តិការ Encoded Script ដែលចាប់យក Script ទីបីពី Pastebin។ Payload ចុងក្រោយនេះប្រមូលយកព័ត៌មានពីកុំព្យូទ័រ ដំណើរការ Lists, Directory lists អាសយដ្ឋាន IP និងព័ត៌មាន Network Adapter ក៏ដូចជាដំឡើងបច្ចុប្បន្នភាព និងបង្ហោះ (Uploads) ពួកវានៅក្នុង ZIP Archive Form ទៅក្នុងម៉ាស៊ីនមេ FTP ខាងក្រៅដោយការប្រើប្រាស់ព័ត៌មានសម្ងាត់ដែលបានបង្កប់ (Hardcoded Credentials)។
អ្នកប្រើប្រាស់ GitHub ស្វែងរកប្រភពសាធារណៈកេងចំណេញលើការស្រាវជ្រាវ ឬការតេស្តសាកល្បងទាមទារការអនុវត្តយ៉ាងប្រុងប្រយ័ត្ន និងអាចទុកចិត្តបានតែលើក្រុមហ៊ុនសន្តិសុខសាយប័រ និងអ្នកស្រាវជ្រាវដែលមានកេរ្តិ៍ឈ្មោះល្អតែមួយគត់ ។ ហេគឃ័រមានបំណងបន្លំខ្លួនជាអ្នកស្រាវជ្រាវសន្តិសុខល្បីៗចាស់ៗ ដូច្នេះការផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវនៃ Repository គឺជាកត្តាដ៏សំខាន់ផងដែរ។ ប្រសិនបើអាច សូមពិនិត្យមើលកូដមុនពេលអនុវត្តវានៅលើប្រព័ន្ធរបស់អ្នកបង្ហោះ (Upload) Binaries នៅលើ VirusTotal និងរំលងចោលនូវអ្វីៗដែលមិនច្បាស់។
ប្រភពព័ត៌មាន៖ ថ្ងៃទី១១ ខែមករា ឆ្នាំ២០២៥
