สืบเนื่องมาจากความล่าช้าในการแก้ไขข้อพร่องพกนานถึง 6 เดือน กับช่องโหว่ที่นักวิจัยเรียกว่า “mega 0-day” ช่องโหว่นี้สามารถถูกใช้ได้จากทางไกลโดยไม่ต้องผ่านการพิสูจน์ตัวตน ถูกค้นพบโดย Jang และ Peterjson นักวิจัยด้านความปลอดภัย พวกเขาตั้งชื่อมันว่า The Miracle Exploit โดย Oracle ได้ทำการแก้ไขปัญหานี้ในชุดอัปเดตความปลอดภัย 520 แพตซ์ ที่ถูกเผยแพร่เมื่อเดือนเมษายน 2022
วิดีโอสาธิตการแฮ็กเว็บของ Oracle
เหตุที่นักวิจัยจึงลงมือสาธิตแฮ็กในบางไซต์ของ Oracle เพื่อแสดงให้เห็นถึงผลกระทบต่อ Oracle เอง และให้รู้ว่าช่องโหว่นี้ร้ายแรงมากเพียงใด นั่นเป็นเหตุผลที่นักวิจัยต้องการให้ Oracle เร่งดำเนินการโดยเร็วที่สุด เพราะถ้าปล่อยไว้อาจจะส่งผลต่อระบบและลูกค้าของ Oracle เอง
นักวิจัยตั้งคำถามถึงระยะเวลา 6 เดือน กับการแก้ไข และมองว่าตัวแก้ไขที่ออกมานั้น ค่อนข้างง่ายดายเกินไป โดย Oracle ใช้การเปลี่ยนแกลงโค้ดเพียงเล็กน้อย และนั้นก็เป็นเหตุผลว่าทำไม นักวิจัยถึงสาธิตการแฮ็กคุณสมบัติเว็บของ Oracle อาทิเช่น login.oracle.com ซึ่งให้การเข้าถึงบริการออนไลน์ของ Oracle
Miracle Exploit ส่งผลกระทบต่อผลิตภัณฑ์จำนวนมากที่ใช้ Oracle Fusion Middleware การทำ deserialization ใน ADF Faces ของซอฟต์แวร์
หลังจาก Oracle ได้ปล่อยแพตซ์ 520 รายการออกมา นักวิจัยได้รายงานช่องโหว่ไปยังบริษัทหลายแห่ง เช่น NAB Group, BestBuy, Starbucks, Dell, Regions Bank และ United States Automobile Association ผ่านช่องทางโปรแกรมหาข้บกพร่องของบริษัทต่างๆ
———————————————————————————————————————————
ที่มา : TechTalkThai / วันที่เผยแพร่ 24 มิ.ย.65
Link : https://www.techtalkthai.com/researchers-hacked-oracle-to-demo-serious-vulnerability/
