สรุปย่อ
หลังจากโครงการ Drupal ประกาศพบช่องโหว่ร้ายแรงรหัส CVE-2018-7600 หรือ SA-CORE-2018-002 ซึ่งเป็นช่องโหว่ประเภท Remote Code Execution (RCE) ที่มีผลกระทบโดยตรงกับ Drupal เวอร์ชั่น 7.x, 8.3.x, 8.4.x และ 8.5.x เมื่อวันที่ 28 มีนาคมที่ผ่านมานั้น ในตอนนี้โค้ดสำหรับโจมตีช่องโหว่ดังกล่าวก็ได้มีการถูกเผยแพร่ออกสู่สาธารณะและถูกนำมาใช้ในการโจมตีจริงแล้ว ทีมผู้เชี่ยวชาญด้านความปลอดภัยบนเว็บแอปพลิเคชันจาก บริษัท ไอ-ซีเคียว จำกัด จึงจะขอนำช่องโหว่และโค้ดสำหรับโจมตีช่องโหว่มาอธิบายเพื่อสร้างความตระหนักรู้ซึ่งจะนำไปสู่การควบคุมและจัดการความเสี่ยงที่จะถูกโจมตีโดยช่องโหว่นี้ครับ

Drupal เป็นโครงการซอฟต์แวร์แบบโอเพนซอร์สในรูปแบบของตัวจัดการเนื้อหาบนเว็บไซต์ (Content Management System - CMS) ซึ่งได้รับความนิยมและถูกใช้งานมากมายทั่วโลก สำหรับช่องโหว่ล่าสุดคือ Drupalgeddon2 นั้น ที่มาที่แท้จริงยังคงเกิดจากปัญหายอดนิยมคือประเด็นของการตรวจสอบข้อมูลนำเข้า (input) ที่ถูกส่งมายัง Form API ซึ่งไม่สมบูรณ์มากพอ ทำให้เกิดช่องโหว่ด้านความปลอดภัยที่ผู้ประสงค์ร้ายสามารถรันโค้ดที่เป็นอันตรายได้
ทำความรู้จัก Form API
Form API เป็น API รูปแบบหนึ่งใน Drupal ซึ่งมีการใช้งานรูปแบบการเก็บข้อมูลที่เรียกว่า Renderable Arrays โดยรูปแบบการเก็บข้อมูลชนิดนี้นั้นเป็นส่วนเสริมที่สร้างขึ้นมาเพื่อใช้ในการแสดงโครงสร้างรวมไปถึงส่วนประกอบต่าง ๆ ของ Drupal

ข้อมูลใน Renderable Arrays นั้นจะถูกเก็บอยู่ในรูปแบบของอาเรย์ที่มี key และ value ซึ่งจะถูกเรียกใช้ในแต่ละครั้งที่มีการพยายามแสดงผล (render) จาก API ข้อมูลในส่วนของ key ภายในอาเรย์นั้นจะถูกระบุโดยมีการใช้เครื่องหมาย # (hash) นำหน้าค่าของ key เสมอ

Form API นั้นมีการใช้งานโดยทั่วไปใน Drupal ในรูปแบบของฟอร์มสำหรับกรอกข้อมูล แต่สำหรับ Drupal ซึ่งพึ่งมีการติดตั้งใหม่นั้น ฟอร์มสำหรับกรอกข้อมูลจุดหนึ่งที่มีการใช้งาน Form API และมักจะถูกใช้งานโดยผู้ใช้เว็บไซต์เสมอนั้นคือฟอร์มสำหรับกรอกข้อมูลเพื่อสมัครสมาชิกในการเข้าสู่ระบบของเว็บไซต์

ด้วยลักษณะของฟอร์มกรอกข้อมูลที่สามารถเข้าถึงสาธารณะ ช่องโหว่ Drupalgeddon2 จึงอาศัยฟอร์มกรอกข้อมูลและปัญหาของการไม่ตรวจสอบข้อมูลนำเข้าที่ผู้ใช้งานส่งเข้าไปในรูปแบบ Renderable Arrays เพื่อควบคุมและสั่งการให้เกิดการประมวลผลที่ส่งผลกระทบต่อความปลอดภัยได้
การโจมตีช่องโหว่
อ้างอิงจากบทวิเคราะห์ช่องโหว่จาก CheckPoint และ Dofinity พร้อมโค้ดสำหรับโจมตีช่องโหว่ Drupalgeddon2 ซึ่งถูกเผยแพร่ออกมานั้น หนึ่งในตัวอย่างของการโจมตีช่องโหว่สามารถทำได้โดยผ่าน curl อ้างอิงจาก @IamSecurity ในรูปแบบดังนี้
$ curl -s -X 'POST' --data 'mail[%23post_render][]=exec&mail[%23children]=pwd&form_id=user_register_form' 'http://drupal.

ทีมงาน Drupal ประกาศออกแพตช์แก้ไขช่องโหว่ระดับความรุนแรงสูง SA-CORE-2018–002 (CVE-2018-7600) เป็นช่องโหว่ประเภท Remote Code Execution หรือช่องโหว่ที่สามารถรันคำสั่งใดๆ บนเครื่องเว็บเซิฟเวอร์ที่ติดต้ัง Drupal ได้โดยไม่ต้องพิสูจน์ตัวตน มีผลกระทบโดยตรงกับ Drupal เวอร์ชั่น 7.x, 8.3.x, 8.4.x และ 8.5.x

รายละเอียดช่องโหว่
ในแพตช์ซึ่งถูกเผยแพร่ออกมาพร้อมกับเวอร์ชั่นใหม่ของ Drupal แพตช์มีการเพิ่มไฟล์ขึ้นมาหนึ่งไฟล์คือ request-sanitizer.

หลังจากที่ GitHub ถูกโจมตีด้วย DRDoS โดยใช้หลักการความแตกต่างระหว่าง request/response ที่ถูกส่งไปยังเซิร์ฟเวอร์ Memcached พร้อมกับการทำ IP spoofing ด้วยปริมาณข้อมูลถึง 1.3 Tbps ซึ่งเป็นสถิติของการโจมตี DDoS ที่ใหญ่ที่สุดของโลก เมื่อวันจันทร์ที่ผ่านมาสถิติกลับถูกทุบด้วยการโจมตีที่มีปริมาณใหญ่กว่าถึง 1.7 Tbps

สำหรับการโจมตีในครั้งนี้นั้นยังคงมีการใช้เซิร์ฟเวอร์ Memcached เพื่อทำการโจมตีแบบ DRDoS เช่นเดิม โดยเป้าหมายในครั้งเป็นผู้ให้บริการรายหนึ่ง อย่างไรก็ตามผลลัพธ์การโจมตีกลับไม่ได้ทำให้ระบบไม่สามารถให้บริการได้อันเนื่องมาจากการป้องกันและตอบสนองที่ดีพอ อ้างอิงจากรายงานของ Arbor Networks

เมื่อวันพุธที่ผ่านมา HackerNews มีการรายงานหลังจากที่ตรวจพบการเผยแพร่โปรแกรมสำหรับโจมตี DRDoS ใส่ระบบอื่นโดยการใช้เซิร์ฟเวอร์ Memcached อีกทั้งตัวโปรแกรมสำหรับโจมตีนั้นยังมีการแนบรายการของเซิร์ฟเวอร์ Memcached ที่สามารถใช้ในการโจมตีได้มาด้วยกว่า 17,000 รายการ

สคริปต์ที่มีการค้นพบนั้นมีอยู่ 2 เวอร์ชันคือเวอร์ชันที่ถูกพัฒนาด้วยภาษา C และอีกเวอร์ชันที่ถูกพัฒนามาจากภาษา Python โดยสำหรับสคริปต์โจมตีที่ถูกพัฒนาในภาษา Python มีการใช้บริการของ Shodan ในการหาเซิร์ฟเวอร์ Memcached ที่สามารถใช้โจมตีได้มาใช้งานด้วย

กลุ่มนักวิจัยจาก Corero Network Security ประกาศการค้นพบเทคนิคใหม่ที่ทำให้เหยื่อที่ถูกโจมตี DRDoS จากเซิร์ฟเวอร์ Memcached นั้นสามารถหยุดการโจมตีได้ทันที

Kill Switch ในรอบนี้นั้นคือการส่งคำสั่งเพื่อ flush ข้อมูลออกจากแคชของ Memcached เซิร์ฟเวอร์ด้วยการส่งคำสั่ง "shutdown\r\n" หรือ "flush_all\r\n" กลับไปที่เซิร์ฟเวอร์โดยตรงซึ่งอาจทำได้ผ่านโปรแกรม nc/netcat โดยใช้คำสั่ง nc x.x.x.x 11211 < "flush_all"

ที่มา : Theregister

แพตช์ประจำเดือนของแอนดรอยด์หรือ Android Security Bulletin ประจำเดือนมีนาคม 2018 ถูกประกาศออกมาแล้ว โดยภายในเดือนนี้นั้นมีช่องโหว่ระดับร้ายแรงสูงสุด (critical) จำนวน 11 จากทั้งหมด 37 ช่องโหว่ที่ถูกแพตช์ ซึ่งส่วนมากเป็นช่องโหว่ที่ทำให้ผู้โจมตีสามารถรันโค้ดที่เป็นอันตรายได้จากระยะไกล

สำหรับช่องโหว่ที่ร้ายแรงที่สุดในรอบนี้ก็ยังหนีไม่พ้นที่จะมาจากตำแหน่งโดยกับที่ช่องโหว่ Stagefright เคยอยู่คือส่วนของ Media Framework การโจมตีช่องโหว่ดังกล่าวสามารถทำได้โดยการส่งไฟล์มีเดียที่ถูกสร้างแบบพิเศษไปให้ผู้ใช้งานเปิด เมื่อการโจมตีช่องโหว่สำเร็จ ผู้โจมตีจะสามารถรันโค้ดอันตรายได้ด้วยสิทธิ์เดียวกับโปรเซสที่ถูกโจมตี

ที่มา : Threatpost

กลุ่มนักวิจัยด้านความปลอดภัยจากบริษัท Devcore ได้มีการเปิดเผยการค้นพบช่องโหว่บนซอฟต์แวร์ Exim หลังจากมีการปล่อยแพตช์ช่องโหว่ดังกล่าวออกมา โดยแพตช์ดังกล่าวนั้นถูกยืนยันว่า *กระทบ Exim ทุกเวอร์ชัน* ซึ่งทำให้ผู้โจมตีสามารถรันโค้ดที่เป็นอันตรายได้จากระยะไกลก่อนจะมีการพิสูจน์ตัวตน (Pre-auth Remote Code Execution)

ช่องโหว่ดังกล่าวนั้นเกิดขึ้นจากการคำนวณขนาดของ buffer เมื่อมีการถอดรหัสข้อมูลจากอัลกอริธึม Base64 ที่ผิดพลาด ส่งผลให้เกิดช่องโหว่แบบ one-byte heap overflow หรือ off-by-one ซึ่งอาจส่งผลให้เกิดการนำไปใช้งานเพื่อทำให้เกิดเงื่อนไขที่ผู้โจมตีสามารถทำการรันโค้ดได้จากระยะไกลจากปกติที่เกิดเพียงแค่การเขียนข้อมูลทับข้อมูลอื่นในหน่วยความจำ

Recommendation : ช่องโหว่ดังกล่าวส่งผลกระทบ Exim ในทุกๆ เวอร์ชัน แนะนำให้อัปเดตเป็นเวอร์ชันที่มีการแพตช์แล้วคือ 4.90.1 หรือใหม่กว่าโดยด่วน

Affected Platform : Exim ทุกเวอร์ชัน

ที่มา : Andreafortuna

นักวิจัยด้านความปลอดภัย Alexy Firsh จาก Kaspersky Lab ออกมาเปิดเผยถึงรายละเอียดช่องโหว่บนแอปแช็ต Telegram ในเวอร์ชันเดสทอปก์เฉพาะของวินโดวส์ซึ่งค้นพบตั้งแต่เดือนตุลาคม 2017 หลังจากตรวจพบการนำมาใช้ในการโจมตีเพื่อแพร่กระจายมัลแวร์สำหรับขุดในสกุลเงิน Monero และ Zcash
ช่องโหว่ดังกล่าวนั้นเกิดขึ้นจากวิธีการที่ Telegram แสดงผลตัวอักษรยูนิโค้ด U+202E โดยเป็นตัวอักษรที่ส่งผลให้เกิดการกลับของข้อความต่อจากนั้นแบบสลับขวาซ้ายซึ่งใช้กันมากในภาษาอารบิกและฮีบรู แฮกเกอร์ใช้ประโยชน์ของช่องโหว่นี้ในการ "ซ่อนนามสกุลของไฟล์อันตราย" เพื่อทำให้ไฟล์อันตรายนั้นเมื่อถูกแสดงผ่าน Telegram ในรุ่นที่มีช่องโหว่จะแสดงเป็นนามสกุลไฟล์ที่แฮกเกอร์ต้องการได้
ตัวอย่างการโจมตี เช่น หากตั้งชื่อไฟล์เป็น photo_high_re*U+202E*gnp.

ธนาคารสัญชาติอินเดีย City Union Bank ได้มีการประกาศแจ้งเตือนลูกค้าเมื่อวันอาทิตย์ที่ผ่านมาหลังจากตรวจพบการทำธุรกรรมที่ผิดปกติจากระบบ SWIFT ของทางธนาคารและยืนยันผ่านทางประกาศว่าระบบของธนาคารถูกโจมตี โดยผู้โจมตีประสบความสำเร็จในการถอนเงินออกจากธนาคารไปได้เกือบ 2 ล้านดอลลาร์สหรัฐฯ
อ้างอิงจากแถลงการณ์ของธนาคาร ทางธนาคารได้มีการยืนยันว่าการโจมตีดังกล่าวนั้นเกิดขึ้นจากองค์กรอาชญากรข้ามชาติที่มุ่งโจมตีระบบของธนาคารโดยตรง และยืนยันว่าไม่มีการร่วมมือของบุคคลภายในในการโจมตีแต่อย่างใด
สำหรับธุรกรรมที่ถูกดำเนินการผิดปกตินั้นประกอบด้วย 3 ธุรกรรมย่อยซึ่งทั้งหมดนั้นถูกบล็อคอันเนื่องมาจากพฤติกรรมที่ผิดปกติ โดยหนึ่งในสามของธุรกรรมที่เป็นการโอนเงินมูลค่า 500,000 ดอลลาร์สหรัฐฯ ได้รับการยืนยันว่ามีการส่งคืนเงินจำนวนดังกล่าวแล้ว ทาง City Union Bank จะดำเนินการประสานงานกับธนาคารปลายทางเพื่อเจรจาขอยกเลิกการทำธุรกรรมและกู้คืนเงินในแต่ละธุรกรรมต่อไป
ในขณะนี้ยังไม่มีข้อมูลที่แน่ชัดถึงวิธีการที่ผู้โจมตีดำเนินการเพื่อโจมตีระบบ

ที่มา : theregister

นักวิจัยด้านความปลอดภัยชาวอิตาเลียนจาก Mobile World แจ้งเตือนหลังจากมีการค้นพบช่องโหว่ใหม่ซึ่งกระทบเกือบทุกอุปกรณ์ของแอปเปิล โดยเป็นผลมาจากตัวอักษรเพียงตัวอักษรเดียวซึ่งเมื่อถูกเปิดด้วยแอปพลิเคชันบางประเภทที่อยู่บนอุปกรณ์แล้ว อาจทำให้อุปกรณ์ค้างจนหรือปิดตัวเองได้

ตัวอักษรดังกล่าวนั้นเป็นตัวอักษรในภาษาอินเดียซึ่งเรียกว่า Telugu ในการโจมตีช่องโหว่นี้นั้น ผู้โจมตีเพียงแค่ทำการส่งตัวอักษรไปยังช่องทางต่างๆ โดยหากทำการส่งตัวอักษรไปซ้ำๆ กันหลายครั้ง ระบบปลายทางที่รับตัวอักษรดังกล่าวจะค้างและทำการรีบูตตัวเองทันที

ในขณะนี้แอปพลิเคชันที่คาดว่าได้รับผลกระทบได้แก่ WhatsApp, Facebook Messenger, Outlook for iOS, และ Gmail ทางแอปเปิลได้รับทราบถึงการมีอยู่ของช่องโหว่ดังกล่าวแล้ว โดยจะมีการแก้ไขใน iOS 11.3 ซึ่งจะถูกปล่อยในช่วงฤดูใบไม้ผลิ

Recommendation
ในส่วนของการป้องกันสำหรับผู้ใช้งานทั่วไปนั้น หากผู้ใช้งานค้นพบพฤติกรรมที่ผิดปกติ เช่น ระบบมีการรีบูตตัวเองหรือแอปที่ใช้งานอยู่นั้นปิดตัวเองโดยอัตโนมัติ ให้พยายามระบุหาข้อความซึ่งอาจมีตัวอักษร Telegu นี้ผสมอยู่แล้วดำเนินการลบการสนทนาหรือข้อความนั้นออกโดยทันที

ที่มา : thehackernews

ไมโครซอฟต์ออกประกาศเตรียมเพิ่มระบบปฏิบัติการที่สามารถใช้งาน Windows Defender Advanced Threat Protection (ATP) ได้โดยการเพิ่ม Windows 7 SP1 และ Windows 8.1 เข้าไปหลังจากแต่เดิมนั้นใช้ได้เพียง Windows 10 โดยจะเริ่มดำเนินการเร็วนี้ๆ

Windows Defender Advacned Threat Protection (ATP) เป็นบริการแบบเสียตังค์จากไมโครซอฟต์โดยมีแกนหลักเป็นระบบตรวจจับภัยคุกคามที่อาศัยเอนจินบนคลาวด์ โดยอาศัยการตรวจสอบทั้งจากพฤติกรรมของไฟล์ การใช้งานเครือข่ายหรือลักษณะของไฟล์ต่างๆ ในระบบ ATP ยังมีการเพิ่มประสิทธิภาพการตรวจจับโดยใช้เทคโนโลยี machine learning ร่วมด้วย

ที่มา : bleepingcomputer

ไมโครซอฟต์ประกาศ Patch Tuesday ประจำเดือนกุมภาพันธ์ 2018 แล้วเมื่อวานนี้ โดยในรอบนี้นั้นมีแพตช์ช่องโหว่ด้านความปลอดภัยทั้งหมด 50 รายการ ซึ่งมี 14 รายการเป็นแพตช์ระดับร้ายแรง (critical) รวมไปถึงแพตช์ปรับปรุงสำเร็จช่องโหว่ Spectre และ Meltdown ด้วย

หนึ่งในแพตช์ที่น่าสนใจในรอบนี้มาจากช่องโหว่รหัส CVE-2018-0852 สำหรับผลิตภัณฑ์ Microsoft Outlook มีการค้นพบว่าผู้โจมตีสามารถรันโค้ดที่อันตรายบนระบบของเหยื่อ ติดตั้งมัลแวร์หรือขโมยข้อมูลที่สำคัญออกไปได้เพียงแค่ส่งอีเมลที่มีโค้ดสำหรับโจมตีช่องโหว่อยู่และถูกเปิดโดย Microsoft Outlook นั้นรุ่นที่มีช่องโหว่

Recommendation
แนะนำให้ตรวจสอบและอัปเดตแพตช์ผ่านทางช่องทางต่างๆ เพื่อลดผลกระทบหากมีการโจมตีช่องโหว่ดังกล่าวโดยด่วน

Affected Platform
- IE 9, 10, 11
- Microsoft Edge
- Windows 7, 8.1, RT 8.1, 10, Server 2008/2008 R2, Sever 2012, 2012 R2, Server 2016
- SharePoint Server 2016
- Project Server 2013
- Outlook/Word/Office 2007, 2010, 2013, 2016
- ChakraCore
- Adobe Flash

ที่มา : bleepingcomputer