ทีมนักวิจัยด้านความปลอดภัยได้เปิดเผยช่องโหว่แบบ Zero-day ที่ยังไม่ได้รับการแพทช์ บนเฟิร์มแวร์ของอุปกรณ์ AT&T DirecTV WVB kit หลังจากพยายามประสานให้ผู้ผลิตออกแพทช์อุดบั๊กดังกล่าวมาหลายเดือนแล้ว ซึ่งเป็นช่องโหว่ของชิ้นส่วนหลักอย่างระบบ Genie DVR ที่เปิดให้แฮ็กเกอร์ได้สิทธิ์ระดับรูทจนควบคุมอุปกรณ์ได้อย่างสมบูรณ์
ช่องโหว่นี้ปรากฏบนเฟิร์มแวร์ตระกูลลีนุกส์รุ่น WVBR0-25 ซึ่งผลิตโดย Linksys และจัดจำหน่ายให้แก่ลูกค้าของ AT&T ซึ่งตัวบริดจ์วิดีโอแบบไร้สาย DirecTV รุ่น WVBR0-25 นี้ มีฟีเจอร์ที่เปิดให้ Genie DVR สื่อสารแบบไร้สายไปยังกล่องไคลเอนต์ Genie รับสัญญาณของลูกค้า (ได้มากสุดถึง 8 กล่อง) ที่เสียบเข้ากับทีวีแต่ละเครื่องภายในบ้าน
นักวิจัยจาก Trend Micro ชื่อ Ricky Lawshaeซึ่งเป็นลูกค้า DirecTV เช่นกัน นึกครึ้มตัดสินใจตรวจสอบอุปกรณ์ดังกล่าว แล้วพบว่ามีการเปิดเผยข้อมูลตรวจสถานะอุปกรณ์ภายในอย่างละเอียดยิบบนเว็บเซิฟเวอร์ของอุปกรณ์ โดยไม่ต้องอาศัยการยืนยันตนใดๆ เลย ซึ่งเวลาเข้าถึงหน้าเว็บตั้งค่าอุปกรณ์ ก็สามารถรันคำสั่งในฐานะรูททั้งหลาย ไม่ว่าจะรันซอฟต์แวร์, ดูดข้อมูล, เข้ารหัสไฟล์ หรือปู้ยี้ปู้ยำใดๆ บนอุปกรณ์ของ Linksys นี้ได้หมด
ข้อมูลช่องโหว่นี้ได้ถูกรายงานโดย ZDI Initiative ไปยัง Linksys มาก่อนหน้านี้ถึง 6 เดือนแล้ว แต่ก็ไม่ได้รับการติดต่อกลับหรือมีการออกแพ็ตช์มาแก้ไขแต่อย่างใด จึงแนะนำให้ผู้ใช้อุปกรณ์ควรจำกัดการเข้าถึงเฉพาะที่ต้องใช้งานเท่านั้น
ที่มา : thehackernews
