แจ้งเตือน! ช่องโหว่ใน libssh2 องค์กรเสี่ยงถูกรันโค้ดอันตรายบนเครื่อง Client ผ่าน SSH Server

ยอดเข้าชม: 55 views

ศูนย์ประสานการรักษาความมั่นคงปลอดภัยระบบคอมพิวเตอร์แห่งชาติ (ThaiCERT) ได้ติดตามรายงานภัยคุกคามทางไซเบอร์ พบการเผยแพร่โค้ดสำหรับใช้โจมตี (PoC) ช่องโหว่ระดับความรุนแรงสูง (CVE-2026-55200) ในไลบรารี libssh2 เวอร์ชัน 1.11.1 และรุ่นก่อนหน้านี้ โดยช่องโหว่นี้เปิดโอกาสให้ SSH Server ที่เป็นอันตราย สามารถส่งแพ็กเก็ตข้อมูลผิดปกติกลับมายังเครื่อง Client ที่ทำการเชื่อมต่อออกไป ส่งผลให้หน่วยความจำของระบบเกิดความเสียหาย และอาจนำไปสู่การถูกควบคุมหรือรันโค้ดอันตรายบนเครื่อง Client ได้ในที่สุด[1]

1. รายละเอียดช่องโหว่
ช่องโหว่ CVE-2026-55200 (CVSS v.3.1:8.3 )[2] เป็นช่องโหว่ที่เกิดจากการตรวจสอบค่า packet_length ในฟังก์ชัน ssh2_transport_read() ของ libssh2 ไม่เพียงพอ ส่งผลให้ผู้โจมตีสามารถส่ง SSH Packet ที่มีขนาดผิดปกติ เพื่อก่อให้เกิดความผิดพลาดด้านหน่วยความจำประเภท Out-of-Bounds Write หรือ Integer Overflow to Buffer Overflow (CWE-680)[3] ช่องโหว่ส่งผลกระทบกับ libssh2 เวอร์ชัน 1.11.1 และก่อนหน้า โดย libssh2 ได้มีการรวมแพตช์แก้ไขใน mainline แล้ว ทั้งนี้ libssh2 ถูกใช้งานในซอฟต์แวร์หลายประเภท เช่น เครื่องมือโอนถ่ายไฟล์ เครื่องมือสำหรับนักพัฒนา ระบบสำรองข้อมูล โปรแกรมที่เกี่ยวข้องกับ Git, cURL และ PHP รวมถึงอุปกรณ์หรือระบบที่ฝังไลบรารีไว้ภายใน อาจมีความเสี่ยงแม้ผู้ดูแลระบบไม่ได้ติดตั้ง libssh2 โดยตรง

2. ผลิตภัณฑ์หรือระบบที่อาจได้รับผลกระทบ
2.1 ระบบหรือซอฟต์แวร์ที่ใช้งาน libssh2 เวอร์ชัน 1.11.1 และก่อนหน้า
2.2 โปรแกรมหรือเครื่องมือที่เชื่อมต่อออกไปยัง SSH Server โดยอาศัย libssh2 เป็นส่วนประกอบ
2.3 ระบบที่ฝัง libssh2 ไว้ภายใน เช่น โปรแกรมสำหรับนักพัฒนา ระบบสำรองข้อมูล เครื่องมืออัปเดตเฟิร์มแวร์ หรือซอฟต์แวร์ที่ถูก build แบบ static linking
2.4 องค์กรที่มีระบบ Client เชื่อมต่อไปยัง SSH Server ภายนอก ที่ไม่สามารถยืนยันความน่าเชื่อถือได้

3. ผลกระทบที่อาจเกิดขึ้น
3.1 โปรแกรม Client ที่ใช้ libssh2 ขัดข้องหรือทำงานผิดปกติ
3.2 ในบางเงื่อนไข ผู้โจมตีอาจรันโค้ดบนเครื่อง Client ที่เชื่อมต่อไปยัง SSH Server ที่เป็นอันตรายได้
3.3 ระบบที่ฝัง libssh2 ไว้ภายในอาจยังคงมีช่องโหว่ แม้ระบบปฏิบัติการหรือแพ็กเกจหลักได้รับการอัปเดตแล้ว
3.4 หากเครื่อง Client ที่ได้รับผลกระทบมีสิทธิ์เข้าถึงระบบสำคัญ อาจถูกใช้เป็นจุดเริ่มต้นในการโจมตีต่อเนื่องภายในองค์กร

4. แนวทางการป้องกันและลดความเสี่ยง
4.1 ตรวจสอบซอฟต์แวร์ ระบบ หรืออุปกรณ์ที่ใช้งาน libssh2 โดยเฉพาะเวอร์ชัน 1.11.1 และก่อนหน้า
4.2 ติดตั้งแพตช์หรือแพ็กเกจที่รวมการแก้ไข ตามประกาศจากผู้พัฒนา ระบบปฏิบัติการ หรือผู้จำหน่ายซอฟต์แวร์ที่เกี่ยวข้อง
4.3 ตรวจสอบซอฟต์แวร์ที่ฝัง libssh2 แบบ static linking หรือ bundled library เนื่องจากการอัปเดตแพ็กเกจของระบบปฏิบัติการอาจไม่ครอบคลุม
4.4 ระหว่างรอการอัปเดต ควรจำกัดการเชื่อมต่อ SSH ออกไปยัง Server ที่เชื่อถือได้เท่านั้น และตรวจสอบ SSH Host Key ของปลายทางก่อนเชื่อมต่อ
4.5 เฝ้าระวังเหตุการณ์ผิดปกติ เช่น โปรแกรม Client ขัดข้องหลังเชื่อมต่อ SSH การเชื่อมต่อ SSH ไปยังปลายทางที่ไม่คุ้นเคย หรือพฤติกรรมหน่วยความจำผิดปกติบนระบบที่ใช้ libssh2

5. คำแนะนำเพิ่มเติม
5.1 จัดลำดับความสำคัญในการตรวจสอบระบบที่มีการเชื่อมต่อ SSH ออกไปยังภายนอกองค์กร หรือระบบที่รับค่าปลายทาง SSH จากผู้ใช้หรือระบบอัตโนมัติ
5.2 ติดตามประกาศอัปเดตจากผู้พัฒนาซอฟต์แวร์และผู้ผลิตระบบที่อาจฝัง libssh2 ไว้ภายใน เนื่องจากบางผลิตภัณฑ์อาจต้องรอแพตช์จากผู้ผลิตโดยตรง
5.3 หากพบว่าระบบเคยเชื่อมต่อไปยัง SSH Server ที่ไม่น่าเชื่อถือ และเกิดอาการผิดปกติ ควรเก็บหลักฐาน Log แยกระบบออกจากเครือข่ายตามความเหมาะสม และตรวจสอบเชิงลึก

แหล่งอ้างอิง
[1] https://dg.th/1vyfdxih0u
[2] https://dg.th/qsa496u78p
[3] https://dg.th/6b75qrzs3m