ចំណុចខ្សោយរបស់ Firmware ដែលមិនទាន់បានជួសជុល ធ្វើឱ្យ TOTOLINK EX200 រងការគ្រប់គ្រងឧបករណ៍ពីចម្ងាយទាំងស្រុង

មជ្ឈមណ្ឌលសម្របសម្រួល CERT (CERT/CC) បានបង្ហាញព័ត៌មានលម្អិតអំពីកំហុសសុវត្ថិភាពដែលមិនទាន់បានជួសជុល ដែលប៉ះពាល់ដល់ឧបករណ៍ពង្រីកជួរឥតខ្សែ TOTOLINK EX200 ដែលអាចអនុញ្ញាតឱ្យអ្នកវាយប្រហារដែលមានការផ្ទៀងផ្ទាត់ពីចម្ងាយទទួលបានការគ្រប់គ្រងពេញលេញលើឧបករណ៍។

កំហុសនេះ CVE-2025-65606 (ពិន្ទុ CVSS: N/A) ត្រូវបានកំណត់ថាជាកំហុសនៅក្នុងតក្កវិជ្ជាដោះស្រាយកំហុសក្នុងការផ្ទុកកម្មវិធីបង្កប់ ដែលអាចបណ្តាលឱ្យឧបករណ៍ចាប់ផ្តើមសេវាកម្ម telnet កម្រិត root ដែលមិនបានផ្ទៀងផ្ទាត់ដោយអចេតនា។ CERT/CC បានសរសើរ Leandro Kogan ចំពោះការរកឃើញ និងរាយការណ៍ពីបញ្ហានេះ។

CERT/CC បាននិយាយថា "អ្នកវាយប្រហារដែលមានការផ្ទៀងផ្ទាត់អាចបង្កឱ្យមានស្ថានភាពកំហុសនៅក្នុងកម្មវិធីដោះស្រាយការផ្ទុកកម្មវិធីបង្កប់ ដែលបណ្តាលឱ្យឧបករណ៍ចាប់ផ្តើមសេវាកម្ម telnet root ដែលមិនបានផ្ទៀងផ្ទាត់ ដោយផ្តល់សិទ្ធិចូលប្រើប្រព័ន្ធពេញលេញ"។

ការកេងប្រវ័ញ្ចកំហុសដោយជោគជ័យទាមទារឱ្យអ្នកវាយប្រហារត្រូវបានផ្ទៀងផ្ទាត់រួចហើយទៅកាន់ចំណុចប្រទាក់គ្រប់គ្រងគេហទំព័រ ដើម្បីចូលប្រើមុខងារផ្ទុកកម្មវិធីបង្កប់។

CERT/CC បាននិយាយថា កម្មវិធីដោះស្រាយការផ្ទុកឡើងកម្មវិធីបង្កប់ចូលទៅក្នុង "ស្ថានភាពកំហុសមិនប្រក្រតី" នៅពេលដែលឯកសារកម្មវិធីបង្កប់ដែលមានទម្រង់មិនត្រឹមត្រូវមួយចំនួនត្រូវបានដំណើរការ ដែលបណ្តាលឱ្យឧបករណ៍ចាប់ផ្តើមសេវាកម្ម telnet ជាមួយសិទ្ធិជា root និងដោយមិនតម្រូវឱ្យមានការផ្ទៀងផ្ទាត់ណាមួយឡើយ។

ចំណុចប្រទាក់គ្រប់គ្រងពីចម្ងាយដែលមិនបានគ្រោងទុកនេះអាចត្រូវបានវាយប្រហារដោយអ្នកវាយប្រហារដើម្បីលួចឧបករណ៍ដែលងាយរងគ្រោះ ដែលនាំឱ្យមានការរៀបចំការកំណត់រចនាសម្ព័ន្ធ ការប្រតិបត្តិពាក្យបញ្ជាតាមអំពើចិត្ត ឬការបន្ត។

យោងតាម ​​​​CERT/CC TOTOLINK មិនទាន់បានចេញផ្សាយបំណះណាមួយដើម្បីដោះស្រាយកំហុសនោះទេ ហើយផលិតផលនេះត្រូវបានគេនិយាយថាលែងត្រូវបានថែទាំយ៉ាងសកម្មទៀតហើយ។ ទំព័របណ្ដាញរបស់ TOTOLINK សម្រាប់ EX200 បង្ហាញថាកម្មវិធីបង្កប់សម្រាប់ផលិតផលនេះត្រូវបានធ្វើបច្ចុប្បន្នភាពចុងក្រោយនៅក្នុងខែកុម្ភៈ ឆ្នាំ 2023។

ក្នុងករណីដែលគ្មានការជួសជុល អ្នកប្រើប្រាស់ឧបករណ៍ត្រូវបានណែនាំឱ្យរឹតបន្តឹងការចូលប្រើរដ្ឋបាលទៅកាន់បណ្តាញដែលទុកចិត្ត ការពារអ្នកប្រើប្រាស់ដែលគ្មានការអនុញ្ញាតពីការចូលប្រើចំណុចប្រទាក់គ្រប់គ្រង តាមដានសកម្មភាពមិនប្រក្រតី និងធ្វើឱ្យប្រសើរឡើងទៅជាម៉ូដែលដែលគាំទ្រ។