นักวิจัยด้านความปลอดภัยจาก TrustWave พบช่องโหว่ร้ายแรงแบบ Zero-day บนผลิตภัณฑ์วิดีโอคอนเฟอเรนซ์ของ Lifesize ที่สามารถสร้างความเสียหายอย่างมากได้ ประเด็นคือถึงแม้จะถูกนำไปใช้โดยบริษัทใหญ่ๆ ทั่วโลกจำนวนมาก แต่ผู้ผลิตดันบอกว่าผลิตภัณฑ์ดังกล่าวถูกประกาศหมดอายุการซัพพอร์ตแล้ว (เพราะฉะนั้นจะไม่มีแพทช์ออกมาแก้อีก)
Lifesize เป็นบริษัทผู้พัฒนาระบบสื่อสารทางไกลผ่านเสียงและวิดีโอที่มีสำนักงานใหญ่อยู่ที่อเมริกา และกระจายอยู่เกือบทั่วทุกภูมิภาค มีลูกค้าระดับองค์กรหลายแสนบริษัทโดยเฉพาะเจ้าใหญ่ๆ อย่าง LinkedIn, eBay, Netflix, และ PayPal เป็นต้น
ทาง TrustWaveอธิบายว่าช่องโหว่นี้เกิดจากความผิดพลาดของโค้ดที่ทำให้ผู้โจมตีสามารถใช้ประโยชน์จากไฟล์ PHP ในส่วนของหน้าซัพพอร์ตของ Lifesize รวมทั้งการใช้ประโยชน์จากรหัสผ่านดีฟอลต์ที่มาจากโรงงานเพื่อเจาะเข้าไปในระบบขององค์กรได้ หรือแม้แต่การได้สิทธิ์ระดับ Root บนระบบ Lifesize เพื่อใช้เจาะระบบเครือข่ายที่เชื่อมต่ออยู่ต่อไป
ผลิตภัณฑ์ที่พบว่ามีช่องโหว่นี้ได้แก่ Lifesize Team, Lifesize Room, Lifesize Passport, และ Lifesize Networker อย่างไรก็ดี ทาง Lifesize ก็ไม่ได้ใจไม้ไส้ระกำซะทีเดียว โดยบริษัทเปิดให้ลูกค้าที่ได้รับผลกระทบสามารถติดต่อเข้ามาเพื่อรับการซ่อมบำรุงเป็นรายกรณีได้
ที่มา : Hackread
