โลกไอทีต้องตกตะลึงเมื่อนักวิจัยจาก Qualys ค้นพบชุดช่องโหว่ร้ายแรง 9 รายการใน AppArmor ระบบรักษาความปลอดภัยหลักของ Linux ที่ถูกขนานนามว่า “CrackArmor” โดยช่องโหว่นี้เปรียบเสมือนระเบิดเวลาที่ซ่อนตัวมาตั้งแต่ปี 2017 ส่งผลกระทบต่อระบบปฏิบัติการยอดนิยมอย่าง Ubuntu, Debian และ SUSE รวมถึงคลาวด์แพลตฟอร์มยักษ์ใหญ่ คิดเป็นจำนวนเครื่องในระดับองค์กรมากกว่า 12.6 ล้านอินสแตนซ์ทั่วโลก ซึ่งถือเป็นภัยคุกคามที่สั่นคลอนความเชื่อมั่นในระบบรักษาความปลอดภัยพื้นฐานอย่างที่ไม่เคยปรากฏมาก่อน
ความน่ากลัวของ CrackArmor อยู่ที่การเปลี่ยน “ผู้ใช้งานทั่วไป” ให้กลายเป็น “จอมบงการระบบ” ผ่านช่องโหว่ประเภท Confused-deputy ซึ่งเปิดช่องให้ผู้ที่ไม่มีสิทธิ์บริหารจัดการ (Unprivileged local user) สามารถเจาะทะลุเกราะป้องกันของ Kernel เข้าไปแก้ไขโปรไฟล์ความปลอดภัยผ่าน pseudo-files ได้ ผลที่ตามมาคือการยกระดับสิทธิ์ตัวเองขึ้นเป็น Root ได้อย่างสมบูรณ์แบบ อีกทั้งยังสามารถทำลายกำแพงการแยกส่วนของ Container ซึ่งเป็นหัวใจหลักของเทคโนโลยีสมัยใหม่ ทำให้ความลับและข้อมูลภายในระบบตกอยู่ในอันตรายทันที
นักวิจัยระบุว่ากลไกการโจมตีนี้มีความซับซ้อนสูง โดยอาศัยการทำงานร่วมกับเครื่องมือพื้นฐานอย่าง Sudo และ Postfix เพื่อบุกรุกเข้าสู่หัวใจของระบบ นอกจากนี้ CrackArmor ยังสามารถสร้างความเสียหายในวงกว้างผ่านการโจมตีแบบ Denial-of-Service (DoS) โดยการทำให้หน่วยความจำ Stack ทำงานจนเกินขีดจำกัด (Stack exhaustion) ส่งผลให้เครื่องเซิร์ฟเวอร์เกิดอาการ Kernel Panic หรือหยุดการตอบสนองต่อทราฟฟิกทั้งหมด ซึ่งถือเป็นฝันร้ายสูงสุดของผู้ดูแลระบบคลาวด์และโครงสร้างพื้นฐานระดับประเทศ
Saeed Abbasi ผู้บริหารจาก Qualys Threat Research Unit ได้ออกมาเตือนอย่างรุนแรงว่า แม้ในขณะนี้จะยังไม่มีการประกาศหมายเลข CVE (Common Vulnerabilities and Exposures) อย่างเป็นทางการ เนื่องจากกระบวนการตรวจสอบของต้นทาง Kernel ต้องใช้เวลา แต่ทุกองค์กร “ห้ามประมาท” เป็นอันขาด เพราะการไม่มีชื่อเรียกอย่างเป็นทางการไม่ได้ลดทอนความอันตรายของมันลงเลย หากองค์กรใดที่ยังใช้งาน Linux เวอร์ชันที่ได้รับผลกระทบ ควรรีบตระหนักว่าระบบของคุณกำลังเปิดประตูรับอันตรายอยู่ทุกวินาที
กลุ่มอุตสาหกรรมที่ตกเป็นเป้าหมายหลักคือกลุ่มที่มีความสำคัญระดับวิกฤต เช่น การธนาคารและการเงิน, โทรคมนาคม, พลังงาน และการแพทย์ ซึ่งมักเป็นเป้าหมายของกลุ่มแฮกเกอร์ระดับรัฐ (State-sponsored actors) ที่เน้นการทำลายล้างโครงสร้างพื้นฐาน CrackArmor ช่วยลดกำแพงในการโจมตีลงอย่างมหาศาล เพราะผู้โจมตีไม่จำเป็นต้องขโมยรหัสผ่านระดับสูงหรือพยายามเจาะเครือข่ายให้ซับซ้อน เพียงแค่เข้าถึงบัญชีผู้ใช้ธรรมดาได้เพียงบัญชีเดียว ก็สามารถใช้เป็นฐานที่มั่นในการ “ติดอาวุธ” ให้กับเครื่องโฮสต์และทำลายระบบจากภายในได้ทันที
เพื่อรับมือกับวิกฤตครั้งนี้ Qualys ได้แนะนำให้หน่วยงานด้านความปลอดภัยไอทีประกาศให้เป็น “ภารกิจเร่งด่วนสูงสุด” (Priority Patching) โดยต้องรีบอัปเดต Kernel จากผู้ผลิตซอฟต์แวร์ทันที พร้อมทั้งใช้เครื่องมือสแกนหาจุดเป้าหมายที่เปิดรับความเสี่ยง และที่สำคัญที่สุดคือต้องเพิ่มการเฝ้าระวัง (Monitoring) ในไดเรกทอรี /sys/kernel/security/apparmor/ อย่างใกล้ชิด เพื่อตรวจจับการพยายามแก้ไขโปรไฟล์ความปลอดภัยโดยไม่ได้รับอนุญาต ก่อนที่ความเสียหายที่ประเมินค่าไม่ได้จะเกิดขึ้น
แม้ในปัจจุบันทาง Qualys จะยังไม่ได้เปิดเผยซอร์สโค้ดที่ใช้ในการเจาะระบบสู่สาธารณะเพื่อป้องกันการนำไปใช้ในทางที่ผิด แต่พวกเขามีหลักฐานการเจาะระบบ (Proof of Concept) ที่สมบูรณ์พร้อมส่งต่อให้ทีมพัฒนาเพื่อหาทางแก้ไขถาวรแล้ว การค้นพบครั้งนี้จึงเป็นเครื่องเตือนใจชั้นดีว่า แม้แต่ระบบที่เรา “ไว้ใจ” มากที่สุด ก็อาจมีช่องโหว่ซ่อนอยู่มานับทศวรรษ และการอัปเดตระบบอย่างสม่ำเสมอคือปราการด่านสุดท้ายที่ละเลยไม่ได้
ที่มา : ITPro
