TH
TH
เกี่ยวกับเรา
Commerce Media Ventures Sdn Bhd (202401040819 / 1586666-W). All Rights Reserved
Powered by BigGo
ข่าว
ซอฟต์แวร์
ช่องโหว่ศูนย์วัน
เทคโนโลยีสารสนเทศ
ความปลอดภัยทางไซเบอร์
เทคโนโลยี

เครื่องมือรักษาความปลอดภัย TheProtector เผชิญช่องโหว่วิกฤตและปัญหาความน่าเชื่อถือ แม้จะมีฟีเจอร์ที่น่าประทับใจ

ทีมชุมชน BigGo
เครื่องมือรักษาความปลอดภัย TheProtector เผชิญช่องโหว่วิกฤตและปัญหาความน่าเชื่อถือ แม้จะมีฟีเจอร์ที่น่าประทับใจ

เครื่องมือโอเพ่นซอร์สใหม่สำหรับตรวจสอบความปลอดภัยบน Linux ที่เรียกว่า TheProtector ได้จุดประกายการถกเถียงอย่างเข้มข้นในชุมชน โดยผู้ใช้ชื่นชมฟีเจอร์ที่ครอบคลุมในขณะเดียวกันก็เป็นห่วงเรื่องช่องโหว่ด้านความปลอดภัยและความน่าเชื่อถือ เครื่องมือที่ใช้ bash เป็นฐานนี้ได้รับการปล่อยออกมาเป็นของขวัญคริสต์มาสให้กับชุมชน Linux โดยสัญญาว่าจะมีการตรวจสอบภัยคุกคามแบบเรียลไทม์และความสามารถในการตอบสนองเชิงรุกที่มักพบในโซลูชันองค์กรราคาแพง

คุณสมบัติหลัก:

  • การตรวจสอบกระบวนการและเครือข่ายแบบเรียลไทม์
  • การสแกนลายเซ็นมัลแวร์ด้วย YARA
  • การตรวจสอบระดับเคอร์เนลด้วย eBPF
  • บริการ Honeypot สำหรับตรวจจับการโจมตี
  • การตอบสนองและกักกันภุยคุกคามอัตโนมัติ
  • อินเทอร์เฟซแดชบอร์ดเว็บ
  • เอาต์พุต JSON สำหรับการผสานรวมกับ SIEM

การค้นพบช่องโหว่ด้านความปลอดภัยที่วิกฤต

การวิเคราะห์ความปลอดภัยจากชุมชนได้เปิดเผยช่องโหว่การยกระดับสิทธิ์ที่สำคัญในโค้ดของ TheProtector ข้อบกพร่องนี้เกี่ยวข้องกับการที่เครื่องมือเขียนสคริปต์ Python ลงในไดเรกทอรี /tmp ที่สามารถเขียนได้ทั่วโลก แล้วจึงดำเนินการด้วยสิทธิ์ root สิ่งนี้สร้างช่วงเวลาที่ผู้ใช้ท้องถิ่นคนใดก็ตามสามารถเขียนทับไฟล์ระหว่างการเขียนและการดำเนินการ ซึ่งอาจได้รับการเข้าถึง root ของระบบ

ผู้ใช้ท้องถิ่นคนใดก็ตามสามารถเขียนทับไฟล์ระหว่างการเขียนและการดำเนินการเพื่อได้รับ root การใช้ประโยชน์ง่ายมากด้วย inotify หรือ loop เชื่อถือได้ 100% เปลี่ยนบัญชีบริการที่ถูกโจมตีใดๆ ให้กลายเป็นการเข้าถึง root

ช่องโหว่นี้ทำลายวัตถุประสงค์ด้านความปลอดภัยของเครื่องมือ เนื่องจากอาจให้เส้นทางที่ง่ายแก่ผู้โจมตีในการบุกรุกระบบ การแก้ไขเกี่ยวข้องกับการใช้ไดเรกทอรีที่เป็นเจ้าของโดย root แทนที่จะเป็นตำแหน่ง /tmp ที่สามารถเขียนได้สาธารณะ

ปัญหาความปลอดภัยที่วิกฤต:

  • ช่องโหว่การยกระดับสิทธิ์ในการใช้งานไดเรกทอรี /tmp
  • อนุญาตให้ผู้ใช้ในเครื่องคนใดก็ได้เข้าถึงสิทธิ์ root
  • สามารถถูกโจมตีได้ผ่านการเขียนทับไฟล์ระหว่างการดำเนินการเขียนและการประมวลผล
  • การแก้ไขต้องใช้ไดเรกทอรีที่เป็นเจ้าของโดย root แทนที่จะใช้ /tmp ที่เขียนได้โดยทุกคน

ปัญหาความน่าเชื่อถือและความโปร่งใส

การเป็นผู้เขียนที่ไม่เปิดเผยตัวตนของเครื่องมือนี้ได้ทำให้เกิดสัญญาณเตือนภัยในชุมชนความปลอดภัย TheProtector ได้รับการปล่อยออกมาโดยผู้ใช้ที่มีบัญชี GitHub ใหม่และตัวตนนามแฝง ขาดการระบุผู้เขียนและการตรวจสอบความปลอดภัยอิสระที่มักคาดหวังจากเครื่องมือความปลอดภัย สมาชิกชุมชนได้แสดงความกังวลเกี่ยวกับการปรับใช้ซอฟต์แวร์ความปลอดภัยที่ไม่เปิดเผยตัวตน โดยเฉพาะอย่างยิ่งที่ต้องการสิทธิ์ root

เพิ่มเติมจากความกังวลเรื่องความน่าเชื่อถือ หลักฐานชี้ให้เห็นว่าส่วนหนึ่งของเอกสารได้รับการสร้างขึ้นโดยใช้โมเดลภาษา AI โดยสมาชิกชุมชนระบุรูปแบบและการจัดรูปแบบที่เป็นเครื่องหมายของเนื้อหาที่สร้างโดย AI แม้ว่าสคริปต์ bash หลักจะดูเหมือนเขียนโดยมนุษย์ แต่เอกสารที่ได้รับความช่วยเหลือจาก AI ทำให้บางคนตั้งคำถามเกี่ยวกับความแท้จริงโดยรวมของโครงการ

ชุดฟีเจอร์ที่น่าประทับใจแม้จะมีความกังวล

แม้จะมีปัญหาด้านความปลอดภัยและความน่าเชื่อถือ ผู้ตรวจสอบทางเทคนิคได้ยอมรับความสามารถที่น่าประทับใจของ TheProtector เครื่องมือนี้รวมการสแกนมัลแวร์ YARA การตรวจสอบเคอร์เนล eBPF บริการ honeypot และการวิเคราะห์พฤติกรรมเข้าไว้ในสคริปต์ bash เดียว สามารถตรวจจับนักขุดสกุลเงินดิจิทัล rootkit การโจมตีเครือข่าย และการเปลี่ยนแปลงระบบที่ไม่ได้รับอนุญาต ในขณะที่ตอบสนองต่อภัยคุกคามโดยอัตโนมัติ

การเลือกใช้ bash เป็นภาษาการใช้งานได้รับปฏิกิริยาที่หลากหลาย ในขณะที่บางคนตั้งคำถามเกี่ยวกับการใช้ภาษาสคริปต์สำหรับเครื่องมือความปลอดภัย คนอื่นๆ ชื่นชมความโปร่งใสและความพร้อมใช้งานสากลของ bash บนระบบ Linux เครื่องมือทั้งหมดอยู่ในสคริปต์เดียวที่สามารถตรวจสอบได้ในเวลาไม่กี่ชั่วโมง ทำให้โปร่งใสกว่าทางเลือกที่คอมไพล์แล้ว

ข้อกำหนดของระบบ:

  • Linux (ทุกรุ่น)
  • ต้องมีสิทธิ์ Root access
  • RAM ขั้นต่ำ 512MB
  • พื้นที่ดิสก์ 100MB สำหรับ logs และ quarantine
  • การเชื่อมต่อเครือข่ายสำหรับการอัปเดต threat intelligence

การตอบสนองของชุมชนและการพัฒนาในอนาคต

โครงการได้สร้างความสนใจอย่างมากในชุมชน โดยผู้ใช้ให้ทั้งคำวิจารณ์และข้อเสนอแนะเชิงสร้างสรรค์ ผู้มีส่วนร่วมหลายคนได้ระบุปัญหาความปลอดภัยเพิ่มเติมและให้การแก้ไข ในขณะที่คนอื่นๆ ได้แบ่งปันประสบการณ์การปรับใช้และเคล็ดลับการกำหนดค่าสำหรับสภาพแวดล้อมการผลิต

ผู้สร้างที่ไม่เปิดเผยตัวตน โพสต์ภายใต้ชื่อ lotussmellsbad ได้รับทราบข้อเสนอแนะและแสดงความเต็มใจที่จะรวมการปรับปรุงจากชุมชน อย่างไรก็ตาม การขาดตัวตนที่ชัดเจนและช่องโหว่ด้านความปลอดภัยทำให้ผู้ใช้ที่อาจเป็นไปได้หลายคนระมัดระวังเกี่ยวกับการปรับใช้

โครงการนี้เป็นตัวอย่างกรณีศึกษาที่น่าสนใจในการพัฒนาเครื่องมือความปลอดภัยโอเพ่นซอร์ส โดยเน้นทั้งศักยภาพของโซลูชันความปลอดภัยที่ขับเคลื่อนโดยชุมชนและความท้าทายในการสร้างความน่าเชื่อถือในโครงการที่ไม่เปิดเผยตัวตน แม้ว่า TheProtector จะเสนอฟังก์ชันการทำงานที่น่าประทับใจสำหรับผู้ดูแลระบบที่มีงบประมาณจำกัด แต่ช่องโหว่ที่ค้นพบและความกังวลเรื่องความน่าเชื่อถือเน้นย้ำถึงความสำคัญของการตรวจสอบความปลอดภัยอย่างละเอียดก่อนปรับใช้เครื่องมือความปลอดภัยใดๆ ในสภาพแวดล้อมการผลิต

อ้างอิง: theProtector

ข่าวที่เกี่ยวข้อง