บั๊ก 'Copy Fail' ของ Linux ปี 2017 ยังคงเป็นภัยต่อโครงสร้างพื้นฐานคริปโต

ช่องโหว่ในเคอร์เนลลินุกซ์ที่ถูกเปิดเผยครั้งแรกในปี 2017 — ที่รู้จักกันในชื่อบั๊ก 'Copy Fail' — ยังคงปรากฏในเซิร์ฟเวอร์ที่ขับเคลื่อนการแลกเปลี่ยนสกุลเงินดิจิทัลและบริการกระเป๋าเงินจำนวนมาก ทำให้เกิดสัญญาณเตือนด้านความปลอดภัยทางไซเบอร์ครั้งใหม่ในสัปดาห์นี้ ช่องโหว่ดังกล่าวซึ่งทำให้สามารถยกระดับสิทธิ์ผ่านสภาวะการแข่งขัน (race condition) ในการจัดการหน่วยความจำแบบ copy-on-write สามารถทำให้ผู้โจมตีควบคุมเครื่องเป้าหมายได้อย่างสมบูรณ์หากถูกใช้ร่วมกับช่องทางการเข้าถึงในระบบท้องถิ่น แม้ว่าบั๊กนี้จะถูกแก้ไขไปหลายปีแล้ว นักวิจัยด้านความปลอดภัยเตือนว่าระบบการผลิตจำนวนมากยังคงไม่ได้รับการอัปเดต ทำให้แพลตฟอร์มสินทรัพย์ดิจิทัลเสี่ยงต่อการถูกขโมยหรือข้อมูลถูกบุกรุก

ช่องโหว่ที่ไม่มีวันตาย

ติดตามภายใต้รหัส CVE-2017-1000112 บั๊กนี้ถูกค้นพบโดยนักวิจัยของ Google และได้รับการแก้ไขอย่างรวดเร็วในลินุกซ์ดิสทริบิวชันหลัก แต่ในทางปฏิบัติ การอัปเดตนั้นไม่สม่ำเสมอ บริษัทคริปโตหลายแห่งรันเคอร์เนลที่ปรับแต่งเองหรือพึ่งพาเวอร์ชันสนับสนุนระยะยาวที่ไม่ได้รับการอัปเดตอย่างทันท่วงทีเสมอไป ช่องโหว่ใช้ประโยชน์จากการจัดการหน่วยความจำของเคอร์เนลเพื่อหลบหนีข้อจำกัดของคอนเทนเนอร์หรือยกระดับจากผู้ใช้ที่มีสิทธิ์ต่ำไปเป็นรูท สำหรับการแลกเปลี่ยนสกุลเงินดิจิทัล นั่นหมายความว่าผู้โจมตีที่บุกรุกคีย์ API หรือเว็บแอปพลิเคชันสามารถเปลี่ยนเส้นทางไปยังเซิร์ฟเวอร์พื้นฐานและดูดเงินจากกระเป๋าเงินร้อนหรือดัดแปลงตรรกะการซื้อขาย

เหตุใดเซิร์ฟเวอร์คริปโตจึงเป็นเป้าหมาย

โครงสร้างพื้นฐานบล็อกเชนพึ่งพาลินุกซ์อย่างมาก — มันเป็นระบบปฏิบัติการที่ผู้ดำเนินการโหนด กลุ่มขุดเหมือง และแบ็กเอนด์การแลกเปลี่ยนเลือกใช้ บั๊ก 'Copy Fail' เป็นอันตรายอย่างยิ่งในสภาพแวดล้อมแบบหลายผู้เช่า เช่น บริการกระเป๋าเงินที่โฮสต์หรือแพลตฟอร์มการซื้อขายบนคลาวด์ ซึ่งเครื่องเสมือนที่ถูกบุกรุกหนึ่งเครื่องอาจแพร่กระจายไปยังอินสแตนซ์ข้างเคียง นักวิจัยจากบริษัทรักษาความปลอดภัยหลายแห่งได้แจ้งประเด็นนี้ในการบรรยายสรุปอุตสาหกรรมส่วนตัวในปีนี้ โดยสังเกตว่าการตั้งค่าคริปโตที่ผ่านการตรวจสอบจำนวนมากยังคงรันเคอร์เนลที่มีอายุมากกว่าการอัปเดตปี 2017

สิ่งที่ผู้ดำเนินการควรทำ

ไม่มีการแก้ไขใหม่ — วิธีการรักษามีให้ใช้มานานหลายปีแล้ว ปัญหาอยู่ที่การนำไปใช้ ผู้ดำเนินการแลกเปลี่ยนและกระเป๋าเงินถูกกระตุ้นให้ตรวจสอบกลุ่มเซิร์ฟเวอร์ของตนทันที โดยตรวจสอบเวอร์ชันเคอร์เนลกับฐานข้อมูล CVE หลายคนจะพบว่าปลอดภัย บางคนจะพบว่ากำลังรันระเบิดเวลา เคอร์เนลสนับสนุนระยะยาวของ Linux Foundation รวมถึงการอัปเดต แต่การสร้างที่ปรับแต่งเองหรือดิสทริบิวชันแบบเก่ามักจะขาดมัน Red Hat, Debian และ Ubuntu ทั้งหมดได้ย้อนกลับการแก้ไขเมื่อหลายปีก่อน แต่เฉพาะในกรณีที่ระบบได้รับการอัปเดตตั้งแต่ปลายปี 2017 การตรวจสอบด้วยตนเองโดยใช้คำสั่ง 'uname -r' และเปรียบเทียบกับเวอร์ชันที่ได้รับผลกระทบของ CVE เป็นขั้นตอนแรกที่แนะนำ

ไม่มีช่องโหว่ใหม่ ความเสี่ยงเดิม

เรื่องราวของ 'Copy Fail' ไม่ใช่ความตื่นตระหนกแบบ zero-day มันเป็นเครื่องเตือนใจว่าหนี้สินโครงสร้างพื้นฐานสะสมอย่างรวดเร็วในคริปโต ซึ่งความเร็วในการออกสู่ตลาดมักมีความสำคัญเหนือกว่าสุขอนามัยด้านความปลอดภัย ผู้ตรวจสอบความปลอดภัยบล็อกเชนหลายรายได้บอกลูกค้าเป็นการส่วนตัวว่าการอัปเดตบั๊กเก่านี้เป็นคำแนะนำอันดับต้นๆ ของพวกเขาในไตรมาสนี้ อุตสาหกรรมจะรับฟังหรือไม่นั้นขึ้นอยู่กับว่าการแลกเปลี่ยนจำนวนมากจะถือว่าบั๊กเคอร์เนลอายุเจ็ดปีเป็นภัยคุกคามที่แท้จริงหรือเป็นเพียงทฤษฎี ขั้นตอนที่เป็นรูปธรรมถัดไป: คาดว่าจะมีประกาศให้คำแนะนำสาธารณะมากขึ้นจากทีมรักษาความปลอดภัยในขณะที่พวกเขาสแกนหาระบบที่ไม่ได้รับการอัปเดตในสัปดาห์ข้างหน้า