ສືບ​ເນື່ອງ​ມາ​ຈາກ ການແກ້ໄຂບັນຫາກ່ຽວກັບ ຊ່ອງໂຫວ່ ມີຄວາມຊັກຊ້າ ແລະ ໄຊ້ເວລາເຖິງ 6 ເດືອນ, ​​ນັກ​ວິໄ​ຈ​ຮຽກວ່າ “mega 0-day” ຊ່ອງ​ໂຫວ່​ ນີ້ ​ສາມາດ​ນຳໃຊ້​ໄດ້​ຈາກ​ທາງ​ໄກ​ ໂດຍ​ບໍ່​ຕ້ອງ​ຜ່ານ​ການ​ພິສູດ​ຕົວ​ຕົນ ໄດ້ຖືກ​ຄົ້ນ​ພົບ​ໂດຍ Jang ແລະ Peterjson ນັກ​ວິໄ​ຈ​ດ້ານ​ຄວາມ​ປອດໄ​ພ ທີ່ມີຊື່​​ວ່າ The Miracle Exploit ໂດຍ Oracle ໄດ້​ກະທຳການແກ້​ໄຂ​ບັນຫາ​ນີ້​ໃນ​ຊຸດ​ອັບ​ເດດ​ຄວາມ​ປອດໄ​ພ 520 ແພັດ (Patch) ທີ່​ຖືກ​ເຜີຍແຜ່​ ເມື່ອ​ເດືອນ​ ເມ​ສາ 2022

ວິ​ດີ​ໂອ​ສາ​ທິດ​ການ​ແຮັກ​ເວັບ​ຂອງ Oracle

https://youtu.be/crXKjOyc1Lk

ສາຍເຫດ​ທີ່​ນັກ​ວິ​ໄຈ​ລົງ​ມື​ສາ​ທິດ​ການແຮັກ​ໃນ​ບາງ​​ລະບົບຂອງ Oracle ເພື່ອ​ສະແດງ​ໃຫ້​ເຫັນ​ເຖິງ​ຜົນ​ກະທົບ​ຕໍ່ Oracle ເອງ ແລະ ​ໃຫ້​ຮູ້​ວ່າ​ຊ່ອງ​ໂຫວ່​ນີ້​ຮ້າຍແຮງ​ຫຼາຍ​ພຽງ​ໃດ ນັ້ນ​ເປັນ​ເຫດຜົນ ​ທີ່​ນັກ​ວິໄ​ຈ​ຕ້ອງ​ການ​ໃຫ້ Oracle ເລັ່ງ​ດຳ​ເນີນ​ການ​ໂດຍ​ໄວ​ທີ່ສຸດ ເພາະ​ຖ້າ​ປ່ອຍ​ໄວ້​ອາດຈະ​ສົ່ງ​ຜົນ​ຕໍ່​ລະບົບ​ ແລະ ​ລູກ​ຄ້າ​ຂອງ Oracle ເອງ.

ໃນໄລຍະ 6 ເດືອນຜ່ານມາ ນັກ​ວິ​ໄຈ​ໄດ້ຕັ້ງ​ຄຳ​ຖາມ​​ໃນການ​ແກ້​ໄຂ ແລະ ​ກວດສອບ ເຫັນ​ວ່າ​ ຕົວ​ແກ້​ໄຂ​ທີ່​ອອກ​ມາ​ນັ້ນ ຄ້ອນ​ຂ້າງ​ງ່າຍ​​ເກີນ​ໄປ ສຳລັບ Oracle ​ມີການ​ປ່ຽນ​ແປງ​ໂຄ້​ດ​ (Code) ພຽງເລັກ​ນ້ອຍ ແລະ ​ນັ້ນ​​ຈຶ່ງເປັນ​ເຫດ​ຜົນໃຫ້ ນັກ​ວິ​ໄຈ​​ສາ​ທິດ​ການ​ແຮັກ​ຄຸນສົມບັດ​ເວັບ​ຂອງ Oracle ເຊັ່ນ: login.oracle.com ​ເພື່ອ​ເຂົ້າ​ເຖິງ​ບໍລິການ​ອອນ​ລາຍຂອງ Oracle.

Miracle Exploit ສົ່ງ​ຜົນ​ກະທົບ​ຕໍ່​ຜະລິດຕະພັນ​ຈຳນວນ​ຫຼາຍ​ທີ່​ໃຊ້ Oracle Fusion Middleware ການເຮັດ deserialization ໃນ ADF Faces ຂອງ​ຊອບແວ.

ຫຼັງ​ຈາກ Oracle ໄດ້​ອອກ Patch 520 ລາຍ​ການ​ອອກ​ມາ ນັກ​ວິ​ໄຈ​ໄດ້​ລາຍ​ງານ​ຊ່ອງ​ໂຫວ່​ໄປ​ທີ່ ບໍລິສັດ​ຫຼາຍ​ແຫ່ງ ເຊັ່ນ: NAB Group, BestBuy, Starbucks, Dell, Regions Bank ແລະ United States Automobile Association ຜ່ານ​ຊ່ອງ​ທາງ​ໂປຣ​ແກຣມ​ ຫາ​ຂໍ້ບົກຜ່ອງຂອງ​ບໍລິສັດ​ຕ່າງ​ໆ.

ເອກະສານອ້າງອີງ:

1. https://www.itnews.com.au/news/researchers-hacked-oracle-servers-to-demo-serious-vulnerability-581792
2. https://www.techtalkthai.com/researchers-hacked-oracle-to-demo-serious-vulnerability/