Clear
Lead Graphic Papers

ระวังภัย โปรแกรม Atomymaxsite รุ่น 2.5 หรือต่ำกว่า มีช่องโหว่อัพโหลดไฟล์ใดๆ ได้โดยไม่มีการตรวจสอบ

วันที่ประกาศ: 17 ตุลาคม 2555
ปรับปรุงล่าสุด: 24 ตุลาคม 2555
เรื่อง: ระวังภัย โปรแกรม Atomymaxsite รุ่น 2.5 หรือต่ำกว่า มีช่องโหว่อัพโหลดไฟล์ใดๆ ได้โดยไม่มีการตรวจสอบ

ประเภทภัยคุกคาม: Intrusion

Share on Facebook Share on Twitter Share on Facebook

ข้อมูลทั่วไป

โปรแกรม Atomymaxsite เป็นโปรแกรมสร้างเว็บไซต์สำเร็จรูป ในรูปแบบ CMS ที่พัฒนาโดยนักพัฒนาชาวไทย ปัจจุบันมีผู้พัฒนาอยู่ 2 ค่าย คือ ในเว็บไซต์ Atomymaxsite [1] ระบุว่าพัฒนาโดยนายชัดสกร พิกุลทอง ผู้อำนวยการโรงเรียนบ้านผือ อำเภอชื่นชม จังหวัดมหาสารคาม และผู้ที่จะนำไปใช้งานจะต้องบริจาคเงินจำนวนหนึ่งผ่านบัญชีธนาคารที่ระบุในเว็บไซต์ดังกล่าวก่อน จึงจะได้สิทธิ์ในการดาวน์โหลด โดยมีรุ่นล่าสุดคือรุ่น 2.5 และในเว็บไซต์ Maxsite-board [2] ระบุว่าซอฟท์แวร์ Atomymaxsite เป็นซอฟต์แวร์ที่แจกจ่ายโดยไม่คิดมูลค่า (ตามข้อกำหนด GPL v3) ผ่าน Google Code [3] และมีรุ่นของซอฟต์แวร์ที่แตกต่างกันคือ 2.5.0, 2.5.1 และรุ่นล่าสุดคือ 2.5.2 ซึ่งคาดว่าทั้งหมด เป็นการปรับปรุงจากรุ่น 2.5 เดิมนั่นเอง


ในวันที่ 1 ตุลาคม 2555 ได้มีผู้โพสต์วิดีโอในเว็บไซต์ Youtube โดยใช้ภาษาต่างประเทศที่คาดว่าจะเป็นภาษาอาหรับ แสดงวิธีการโจมตีเว็บไซต์ที่ใช้ซอฟต์แวร์ Atomymaxsite รุ่น 2.5 โดยอาศัยช่องโหว่ Arbitrary file upload ของโมดูลที่ใช้เผยแพร่ผลงานวิชาการ ซึ่งช่องโหว่นี้ทำให้ผู้ไม่ประสงค์ดีสามารถอัพโหลดไฟล์ใดๆ เข้าสู่เครื่องแม่ข่ายได้โดยไม่มีการตรวจสอบชนิดของแฟ้มที่อัพโหลดแต่อย่างใด และไม่ต้องทำการยืนยันตัวตนก่อน

ผลกระทบ

ผู้ไม่ประสงค์ดีสามารถอัพโหลดแฟ้มข้อมูลประเภท PHP Shell หรือแฟ้ม PHP ที่มีคำสั่งไม่พึงประสงค์เข้าไปในเครื่องแม่ข่ายเป้าหมาย และสามารถเรียกใช้งานคำสั่งดังกล่าว ในสิทธิระดับเดียวกับสิทธิของ Web Server Process ได้

ระบบที่ได้รับผลกระทบ

เครื่องแม่ข่ายที่ติดตั้ง Atomymaxsite รุ่น 2.5 หรือต่ำกว่า

ข้อแนะนำในการป้องกันและแก้ไข

จากการตรวจสอบข้อมูลเบื้องต้นจาก Source Code ของซอฟต์แวร์ Atomymaxsite รุ่น 2.5.0 และ 2.5.2 ที่ดาวน์โหลดมาจาก Google code พบว่ามีการเพิ่มการตรวจสอบชนิดของแฟ้มข้อมูลที่ผู้ใช้งานอัพโหลดในโมดูลที่เป็นปัญหาดังกล่าวแล้ว โดยกำหนดให้แฟ้มข้อมูลที่สามารถอัพโหลดได้เป็นชนิด pdf, zip, doc, docx, ppt, pptx, xls, และ xlsx เท่านั้น ตั้งแต่รุ่น 2.5.0 และมีการเพิ่มการป้องกันการเรียกใช้แฟ้มที่ไม่ใช่รูปภาพจากโฟลเดอร์ /data ซึ่งใช้เก็บแฟ้มที่อัพโหลดเข้าเว็บไซต์ โดยใช้วิธีการเพิ่มแฟ้ม .htaccess ในโฟลเดอร์ดังกล่าว ทำให้ Atomymaxsite รุ่นที่มีการแจกจ่ายผ่าน Google code ไม่มีผลกระทบจากช่องโหว่ดังกล่าว ผู้ใช้งาน Atomymaxsite รุ่น 2.5 หรือต่ำกว่า จึงควรเปลี่ยนไปใช้งานรุ่นที่ไม่ได้รับผลกระทบตามที่ได้กล่าวข้างต้น

ในวันที่ 18 ตุลาคม 2555 ผู้พัฒนาโปรแกรม Atomymaxsite รุ่น 2.5 [4] ได้มีการแจ้งข้อมูลการอัพเดตซอฟต์แวร์เพื่อแก้ไขช่องโหว่ดังกล่าว [5][6] ซึ่งผู้ใช้งานควรรีบดำเนินการตรวจสอบการปรับปรุงซอฟต์แวร์ดังกล่าวเพื่อป้องกันการถูกโจมตี หรือหากยังไม่แน่ใจว่าเว็บไซต์ของท่านใช้งานซอฟต์แวร์รุ่นที่มีช่องโหว่ดังกล่าวหรือไม่ รวมถึงในกรณีที่่ท่านต้องการสอบถามข้อมูลเพิ่มเติม ทางไทยเซิร์ตแนะนำให้ท่านปรึกษากับเว็บไซต์ผู้พัฒนาซอฟต์แวร์ที่ท่านดาวโหลดมาติดตั้งโดยตรง เพื่อป้องกันความผิดพลาดจากการอัพเดตซอฟต์แวร์ที่ผิดวิธี ซึ่งอาจทำให้เว็บไซต์ของท่านไม่สามารถเรียกใช้งานได้

อ้างอิง

  1. http://maxtom.sytes.net
  2. http://board.maxsitepro.com/
  3. http://code.google.com/p/atommy-maxsite-2-5/
  4. http://maxtom.sytes.net
  5. http://maxtom.sytes.net/?name=webboard&file=read&id=798
  6. http://maxtom.sytes.net/?name=webboard&file=read&id=764
Clear

ลงทะเบียนรับข่าวสาร

ลงทะเบียนเพื่อรับข้อมูลข่าวสารด้านความมั่นคงปลอดภัย

อีเมล :

 กรอกรหัสที่พบจากรูป