News

ข้อบกพร่องใหม่ใน PHP อาจทำให้แฮกเกอร์โจมตีเว็บไซต์ที่ทำงานบนเซิร์ฟเวอร์ Nginx
หากคุณใช้งานเว็บไซต์ที่ใช้ PHP บนเซิร์ฟเวอร์ NGINX และเปิดใช้งานฟีเจอร์ PHP-FPM เพื่อเพิ่มประสิทธิภาพที่ดีขึ้น ควรระวังช่องโหว่ใหม่ที่อาจทำให้ผู้โจมตีทำการแฮกเซิร์ฟเวอร์เว็บไซต์ของคุณจากระยะไกล
ช่องโหว่ CVE-2019-11043 มีผลกระทบต่อเว็บไซต์ที่มีการกำหนดค่าบางอย่างของ PHP-FPM
PHP-FPM เป็นอีกทางเลือกหนึ่งของการติดตั้ง PHP FastCGI ที่นำเสนอการประมวลผลขั้นสูงและมีประสิทธิภาพสูงสำหรับสคริปต์ที่เขียนด้วยภาษาการเขียนโปรแกรม PHP
ช่องโหว่หลักคือปัญหา "env_path_info" memory corruption (underflow) ในโมดูล PHP-FPM และการเชื่อมโยงกับปัญหาอื่น ๆ อาจทำให้ผู้โจมตีใช้ช่องโหว่รันโค้ดอันตรายจากระยะไกล (RCE) บนเว็บเซิร์ฟเวอร์ได้
ช่องโหว่ดังกล่าวถูกพบโดย Andrew Danau นักวิจัยด้านความปลอดภัยที่ Wallarm ในขณะที่ค้นหาข้อบกพร่องในการแข่งขัน Capture The Flag ซึ่งต่อมาได้รับความรู้จากนักวิจัยสองคนคือ Omar Ganiev และ Emil Lerner เพื่อพัฒนาการใช้ประโยชน์จากช่องโหว่ในการรันโค้ดอันตราย
แม้ว่า PoC exploit ที่ถูกปล่อยออกมาได้รับการออกแบบมาเพื่อเป้าหมายเฉพาะเซิร์ฟเวอร์ที่มีช่องโหว่ที่ใช้งาน PHP 7+ แต่ bug underflow ของ PHP-FPM ก็อาจส่งผลกระทบต่อ PHP เวอร์ชันก่อนหน้าด้วย ซึ่งจะมีความเสี่ยงต่อการโจมตีถ้าตรงกับเงื่อนไขดังต่อไปนี้
- NGINX ได้รับการกำหนดค่าให้ส่งต่อคำขอ PHP ไปยังตัวประมวลผล PHP-FPM
- คำสั่ง fastcgi_split_path_info มีอยู่ในการกำหนดค่าและรวมถึง regular expression ที่เริ่มต้นด้วยสัญลักษณ์ '^' และลงท้ายด้วยสัญลักษณ์ '$'
- ตัวแปร PATH_INFO ถูกกำหนดด้วยคำสั่ง fastcgi_param
-ไม่มีการตรวจสอบเช่น try_files $ uri = 404 หรือถ้า (-f $ uri) เพื่อตรวจสอบว่ามีไฟล์อยู่หรือไม่
หนึ่งในผู้ให้บริการเว็บโฮสติ้งที่ได้รับผลกระทบคือ Nextcloud ผู้ออกคำแนะนำเตือนผู้ใช้ว่า "การกำหนดค่าเริ่มต้น Nextcloud NGINX นั้นยังเสี่ยงต่อการถูกโจมตีครั้งนี้ และแนะนำผู้ดูแลระบบให้ดำเนินการทันที
ผู้ใช้ควรทำการอัพเดท PHP เป็น PHP 7.3.11 และ PHP 7.2.24 ล่าสุดเพื่อป้องกันการโจมตี

ที่มา thehackernews

บริษัทซอฟท์แวร์คอมพิวเตอร์ของสหรัฐอเมริกาชื่อ Adobe ประสบปัญหาด้านการรักษาความปลอดภัยอย่างรุนแรงเมื่อช่วงต้นเดือนที่ผ่านมา ซึ่งมีการเปิดเผยข้อมูลของผู้ใช้งาน จากบริการ Creative Cloud ที่เป็นนิยมในตอนนี้ ด้วยจำนวนสมาชิกที่ใช้บริการประมาณ 15 ล้านคน

Adobe Creative Cloud หรือ Adobe CC เป็นการบริการให้สมาชิกสามารถใช้งานซอฟต์แวร์ของ Adobe ได้โดยการเช่า เช่น Photoshop, Illustrator, Premiere Pro, InDesign, Lightroom และอีกมากมาย

เมื่อต้นเดือนนี้ Bob Diachenko นักวิจัยด้านความปลอดภัยได้ร่วมมือกับบริษัทด้านความปลอดภัยทางไซเบอร์ Comparitech ค้นพบฐานข้อมูล Elasticsearch ที่ไม่มีการตั้งรหัสผ่านของบริการ Adobe Creative Cloud ที่ทุกคนสามารถเข้าถึงได้โดยไม่ต้องใช้รหัสผ่านหรือผ่านการตรวจสอบ

ข้อมูลที่เปิดเผยจากฐานข้อมูลซึ่งขณะนี้มีข้อมูลส่วนตัวของบัญชีผู้ใช้งาน Adobe Creative Cloud อยู่เกือบ 7.5 ล้านบัญชี ข้อมูลที่ถูกเปิดเผยจากบริการ Creative Cloud ได้แก่ ที่อยู่อีเมล วันที่สมัครสมาชิก ผลิตภัณฑ์ Adobe ที่สมัครเป็นสมาชิก สถานะการสมัครสมาชิก สถานะการชำระเงิน รหัสสมาชิก ประเทศ เวลาการเข้าสู่ระบบล่าสุด และสมาชิกดังกล่าวเป็นพนักงานของ Adobe หรือไม่

ไม่มีข้อมูลทางการเงินรั่วไหล แต่จากข้อมูลที่รั่วไหลออกมา สามารถนำข้อมูลผู้ใช้งาน Adobe Creative Cloud ไปทำอีเมลฟิชชิงเพื่อหลอกลวงผู้ใช้งานได้ Comparitech กล่าวในบล็อกโพสต์" อาชญากรไซเบอร์อาจทำตัวเหมือน Adobe หรือ บริษัท ที่เกี่ยวข้องและหลอกให้ผู้ใช้เปิดเผยข้อมูลส่วนตัวเช่น รหัสผ่านส่วนตัว

Diachenko ที่ค้นพบฐานข้อมูลที่รั่วไหลแจ้งให้ Adobe ทราบทันทีในวันที่ 19 ตุลาคม

บริษัท Adobe ได้มีมาตรการการแก้ไขปัญหาด้านความปลอดภัยที่เกิดขึ้นอย่างรวดเร็วโดยปิดการเข้าถึงฐานข้อมูลที่เป็นสาธารณะในวันเดียวกัน ตามรายงานของบล็อกที่เผยแพร่โดย Adobe ในวันศุกร์

ปลายสัปดาห์ที่แล้ว Adobe ได้ตระหนักถึงความเสี่ยงที่เกี่ยวข้องกับการทำงานที่เกิดขึ้นจากข้อผิดพลาด ได้มีการปิดระบบที่ที่มีการทำงานที่ผิดพลาดโดยทันทีเพื่อแก้ไขปัญหาช่องโหว่ที่เกิดขึ้น

ปัญหานี้ไม่มีส่งผลกระทบต่อการทำงานของผลิตภัณฑ์หรือบริการหลักของ Adobe แต่อย่างใดแต่ทาง Adobe ได้มีการตรวจสอบกระบวนการพัฒนา เพื่อช่วยป้องกันปัญหาที่อาจจะเกิดขึ้นในอนาคต

สิ่งที่ผู้ใช้ควรทำ

ผู้ใช้ส่วนใหญ่ควรระวังอีเมลที่เป็นฟิชชิ่ง ซึ่งจะเป็นขั้นตอนต่อไปที่อาชญากรไซเบอร์ทำหลังจากได้ข้อมูลข้องผู้ใช้งาน เพื่อหลอกเอาข้อมูลส่วนตัวเช่นรหัสผ่านและข้อมูลทางการเงิน

แม้ว่าฐานข้อมูลจะไม่เปิดเผยข้อมูลทางการเงินใดๆ แต่ก็เป็นความคิดที่ดีที่ผู้ใช้งานควรจะระมัดระวังและคอยสังเกตการณ์ธนาคารของคุณและใบแจ้งยอดการชำระเงินการทำกิจกรรมทางการเงิน หากพบสิ่งที่ผิดปกติควรรีบแจ้งไปยังธนาคารทันที

Adobe ได้แนะนำให้ผู้ใช้งานเปิดการใช้งาน two-factor authentication เพื่อช่วยรักษาข้อมูลของผู้ใช้งานให้มีความปลอดภัยมากยิ่งขึ้น

ที่มา thehackernews

 

หน่วยงาน Federal Trade Commission (FTC) ของสหรัฐอเมริกาออกคำแนะนำเกี่ยวกับวิธีการป้องกันตัวคุณเองจากการโจมตีด้วยการขโมยเบอร์ (SIM swapping) ที่ใช้โดยนักหลอกลวงเพื่อควบคุมหมายเลขโทรศัพท์ของคุณเพื่อหลีกเลี่ยงการยืนยันตัวตนทาง SMS (MFA) บนบัญชีของคุณและขโมยข้อมูลประจำตัวของคุณ

การขโมยเบอร์ (SIM swapping) หรือที่เรียกกัน SIM hijacking, SIM splitting, SIM jacking เป็นการฉ้อโกงโดยการยึดหมายเลขโทรศัพท์ของเป้าหมายได้ ทำได้โดยการชักจูงผู้ให้บริการโทรศัพท์มือถือโอนเบอร์ของเป้าหมายมายังซิมการ์ดที่ควบคุมโดยผู้โจมตี อาจทำด้วยความช่วยเหลือของพนักงานที่โดยติดสินบน หรือใช้วิศวกรรมทางสังคม

FTC ระบุวิธีป้องกันตัวจากการขโมยเบอร์ ดังนี้

อย่าตอบกลับการโทร อีเมลหรือข้อความที่ขอข้อมูลส่วนบุคตล สิ่งเหล่านี้อาจเป็นการพยายามทำฟิชชิงโดยนักหลอกลวงที่ต้องการรับรู้ข้อมูลส่วนบุคคลเพื่อเข้าถึงโทรศัพท์มือถือธนาคารเครดิตหรือบัญชีอื่น ๆ หากคุณได้รับคำขอบัญชีหรือข้อมูลส่วนบุคคลของคุณ โปรดติดต่อ บริษัท โดยใช้หมายเลขโทรศัพท์หรือเว็บไซต์ที่คุณรู้ว่าเป็นของจริง
จำกัดข้อมูลส่วนบุคคลที่เผยแพร่ทางออนไลน์ ถ้าเป็นไปได้หลีกเลี่ยงการโพสต์ชื่อเต็มของคุณที่อยู่หรือหมายเลขโทรศัพท์ในเว็บไซต์สาธารณะ ซึ่งผู้โจมตีสามารถค้นหาข้อมูลข้อมูลประจำตัวและใช้เพื่อตอบคำถามเพื่อความปลอดภัยที่จำเป็นในการตรวจสอบตัวตนของคุณและเข้าสู่บัญชีของคุณ
ตั้งค่า PIN หรือรหัสผ่านในบัญชีมือถือของคุณ วิธีนี้จะช่วยปกป้องบัญชีของคุณจากการเปลี่ยนแปลงที่ไม่ได้รับอนุญาต เช่น โอนเบอร์ไปยังซิมใหม่ หรือ ออกซิมใหม่ ควรตรวจสอบกับผู้ให้บริการว่าสามารถตั้งค่าดังกล่าวได้หรือไม่
พิจารณาใช้วิธีอื่นนอกเหนือจากการยืนยันตัวตนทาง SMS

สำหรับผู้ที่โดนขโมยเบอร์ไปแล้ว ควรติดต่อผู้ให้บริการโทรศัพท์มือถือของคุณทันทีเพื่อควบคุมหมายเลขโทรศัพท์ของคุณ หลังจากที่คุณได้เบอร์คืนแล้วควรเปลี่ยนรหัสผ่านบัญชีของคุณ และตรวจสอบบัตรเครดิตธนาคารและบัญชีการเงินอื่น ๆ ของคุณสำหรับค่าใช้จ่ายหรือการเปลี่ยนแปลงที่ไม่ได้รับอนุญาต

ทั้งนี้ในประเทศไทยเคยมีเหตุการณ์ฉ้อโกงด้วยการขโมยเบอร์ด้วยการออกซิมใหม่ ในปี 2016 สามารถอ่านรายละเอียดได้จาก https://www.

 

นักวิจัยพบวิธีโจมตี cache poisoning แบบใหม่ ทำให้ระบบเว็บแคชส่งหน้า error ไปยังผู้ใช้บริการแทนที่จะเป็นหน้าเว็บ

ปัญหานี้จะกระทบกับเว็บไซต์ที่ใช้ reverse proxy cache เช่น Varnish หรือเว็บไซต์ที่ใช้บริการ CDN ซึ่งมีหลากหลาย ไม่ว่าจะเป็น Amazon CloudFront, Cloudflare, Fastly, Akamai, และ CDN77

Content Distribution Network (CDN) มีหน้าที่ช่วยเก็บไฟล์แคช รวมถึง HTML pages JavaScript files, stylesheets, รูปภาพ และวีดีโอ จากเซิร์ฟเวอร์ต้นทางและส่งมันให้ผู้เยี่ยมชมอย่างรวดเร็ว

วิธีโจมตี cache poisoning แบบใหม่นี้เรียกว่า CPDoS ย่อมาจาก Cache Poisoned Denial of Service เป็นการทำให้ผู้ใช้งานได้รับหน้า error จาก CDN แทนหน้าที่ต้องการ

การโจมตี CPDoS ทำได้ดังนี้ :

ผู้โจมตีจากระยะไกลขอเว็บเพจเป้าหมายโดยการส่งรีเควส HTTP ที่มี header ผิดๆ
ถ้าตัวกลาง CDN เซิร์ฟเวอร์ไม่ได้มีสำเนาของหน้าเพจนั้นๆ มันจะส่งรีเควสไปที่เว็บเซิร์ฟเวอร์ต้นทาง ซึ่งจะได้รับข้อผิดพลาดเนื่องจากheader ผิดๆ ที่ส่งมาจากผู้โจมตี
ผลพวงนี้ทำให้เซิร์ฟเวอร์ต้นทางได้ส่ง error page กลับมา ซึ่งในที่สุดจะถูกเก็บโดย CDN แทนหน้าที่ควรจะเป็น
ตอนนี้เมื่อไหร่ก็ตามที่ผู้เยี่ยมชมทั่วไปพยายามเข้าถึงเว็บเพจนั้นๆ พวกเขาจะได้แคช error page นี้แทนที่เนื้อหาต้นฉบับ
CDN เซิร์ฟเวอร์จะกระจาย error page เดียวกันนี้สู่ edge nodes อื่นๆ ใน CDN ของเน็ตเวิร์ค

เพียงหนึ่งรีเควสง่ายๆ ก็เพียงพอที่จะแทนที่แคชด้วย error page และรีเควสดังกล่าวนี้ทำให้การตรวจจับของ web application firewalls (WAFs) และการป้องกัน DDoS ไม่สามารถใช้ได้ มากไปกว่านั้น CPDoS ยังสามารถใช้ประโยชน์ในการบล็อกพวกแพตช์หรือการอัปเดตเฟิร์มแวร์ที่กระจายผ่านแคช หรือผู้โจมตีสามารถปิดการทำงานการแจ้งเตือนความปลอดภัยที่สำคัญหรือข้อความบนการทำงานหลักเว็บไซต์ เช่นในออนไลน์แบงค์กิ้งหรือเว็บไซต์ทางการของรัฐ

ทั้งนี้นักวิจัยได้แจ้งผู้ให้บริการ CDN ต่างๆ ให้ทำการแก้ไขแล้ว ผู้ที่สนใจสามารถอ่านรายละเอียดเกี่ยวกับ CPDoS ได้จาก cpdos.

 

สำนักงานสืบสวนกลางแห่งสหรัฐอเมริกาออกคำเตือนสำหรับภาคเอกชนของสหรัฐเกี่ยวกับการโจมตีแบบ e-skimming หรือที่รู้จักกันในชื่อ web skimming หรือ Magecart attacks.

นักล่าช่องโหว่ John Page (hyp3rlinx) ได้รับเครดิตในการเปิดเผย CVE-2019-9491 ช่องโหว่ Remote Code Execution ใน Trend Micro Anti-Threat Toolkit (ATTK)

Trend Micro Anti-Threat Toolkit (ATTK) จะโหลดและเรียกใช้ไฟล์. EXE เมื่อมันทำการแสกนมัลแวร์ได้ หากผู้เขียนมัลแวร์ตั้งชื่อไฟล์มัลแวร์ว่า 'cmd.

 

Emsisoft ผู้ผลิตโปรแกรม Antivirus ได้เปิดเผยโปรแกรมถอดรหัสไฟล์ให้กับผู้ที่ติดเชื้อมัลแวร์เรียกค่าไถ่ STOP ทำให้สามารถถอดรหัสและกู้คืนไฟล์ได้ฟรี ทั้งนี้เครื่องมือดังกล่าวสามารถถอดรหัสของมัลแวร์ตระกูล STOP ได้ 148 สายพันธุ์จากทั้งหมด 160 สายพันธุ์

มัลแวร์เรียกค่าไถ่ STOP เป็นมัลแวร์เรียกค่าไถ่ที่ถูกพบมากที่สุดจากสถิติที่ Emsisoft รวบรวมมาในช่วงไตรมาสที่ 2 ถึง ไตรมาสที่ 3 ของปี 2019 นับจากจำนวนผู้ติดเชื้อที่ยืนยันแล้ว 116,000 ราย และคาดการณ์ว่ามีผู้ติดเชื้อทั้งหมดจริงๆ ประมาณ 460,000 ราย

Emsisoft ระบุว่า STOP Ransomware ได้แพร่กระจายผ่านโปรแกรม Crack ที่อัปโหลดไว้บนเว็บไซต์เถื่อนให้ดาวน์โหลดฟรี

จากที่สามารถถอดรหัสได้ 148 สายพันธุ์จากทั้งหมด 160 สายพันธุ์ Emsisoft ระบุว่าเครื่องมือน่าจะช่วยเหลือเหยื่อให้กู้คืนไฟล์ได้ฟรีประมาณ 70% ของเหยื่อทั้งหมด โดยแนะนำให้ผู้ที่ติดเชื้อสายพันธุ์ที่ยังไม่มีตัวถอดรหัสสำรองข้อมูลไว้ เผื่อในอนาคตอาจมีระบบที่สามารถถอดรหัสไฟล์เหล่านั้นได้

สามารถดาวน์โหลดเครื่องมือถอดรหัสรวมถึงศึกษาวิธีใช้ได้จาก https://www.

 

ข้อผิดพลาด (CVE-2019-17666) ถูกจัดอยู่ในความรุนแรงระดับ critical เกิดขึ้นในไดร์เวอร์ “rtlwifi” ซึ่งเป็นซอฟต์แวร์ที่อนุญาตให้ Realtek Wi-Fi module เชื่อมต่อกับระบบปฏิบัติการณ์ Linux โดยไดร์เวอร์นีมีช่องโหว่ buffer overflow ซึ่งทำให้เมื่อเขียนข้อมูลเกินหน่วยความจำที่กำหนดจะทำให้ข้อมูลส่วนเกินนี้เปลี่ยนแปลงพื้นที่ใกล้เคียงในหน่วยความจำและอาจแก้ไขข้อมูลอื่นๆ เป็นการเปิดช่องทางของการโจมตีได้ ซึ่งการโจมตีนี้อาจเป็นได้ตั้งแต่การทำให้เครื่องหยุดทำงานไปจนถึงยึดเครื่อง

ส่วนที่มีช่องโหว่ของไดร์เวอร์ rtlwifi คือฟีเจอร์ที่เรียกว่าโปรโตคอล Notice of Absence โปรโตคอลนี้ช่วยอุปกรณ์ปิดสัญญาณวิทยุโดยอัตโนมัติเพื่อประหยัดพลังงาน ข้อบกพร่องนี้อยู่ในวิธีที่ไดร์เวอร์จัดการกับแพ็คเก็ต Notice of Absence มันไม่ได้ตรวจสอบแพ็คเก็ตที่ได้รับว่ามีความยาวที่ทำหนดหรือไม่ ทำให้ผู้โจมตีอาจเพิ่มองค์ประกอบข้อมูลเฉพาะเพิ่มไปในแพ็คเก็ตเพื่อโจมตีช่องโหว่

ความร้ายแรงคือผู้โจมตีสามารถโจมตีได้เมื่ออยู่ในระยะสัญญาณ Wi-Fi และโจมตีได้โดยไม่ต้องยืนยันตัวตนใดๆ
Linux kernel ที่ได้รับผลกระทบคือตั้งแต่รุ่น 5.3.6 และนักวิจัยกล่าวว่าอยู่มากว่า 4 ปีก่อนจะถูกพบ ซึ่งทีม Linux kernel กำลังพัฒนาแพตช์เพื่อแก้ช่องโหว่นี้

ที่มา : threatpost

 

Cisco แจ้งว่าพบช่องโหว่ Critical ในอุปกรณ์ Aironet access points (APs) บางรุ่น ทำให้โจมตีจากระยะไกลได้

ช่องโหว่ (CVE-2019-15260) มีสาเหตุมาจาก URL บางตัวที่กำหนดกำหนดการอนุญาตเข้าถึงไม่เพียงพอ ที่ยอมให้ผู้โจมตียกระดับสิทธิ์โดยการร้องขอไปยัง URL เหล่านั้นบนอุปกรณ์ Cisco Aironet AP ซึ่งการยกระดับสิทธิ์นี้ทำให้ผู้โจมตีสามารถดูข้อมูลสำคัญและแทนที่การตั้งค่าบางอย่างด้วยค่าที่พวกเขาเลือก โดยหมายรวมถึงการตั้งค่า wireless network ซึ่งทำให้ผู้โจมตีสามารถปิดการใช้งาน AP หรือ ทำให้เกิดการหยุดทำงาน (DoS) กับอุปกรณ์ที่เชื่อมต่อ AP ตัวนั้น

ช่องโหว่นี้มีผลกระทบต่อ Aironet AP ซีรี่ส์ 1540, 1560, 1800, 2800, 3800 และ 4800

นอกจากช่องโหว่ระดับ Critical แล้ว Aironet APs ยังได้รับผลกระทบจากสองช่องโหว่ระดับ high ที่สามารถใช้มันโดยไม่ต้องผ่านยืนยันตัว ทำให้เกิดการหยุดทำงาน (DoS) ได้ หนึ่งในข้อผิดพลาดมีผลกับฟังก์ชันการประมวลผลของ Point-to-Point Tunneling Protocol (PPTP) VPN แพ็คเกต ขณะที่อีกตัวอยู่ใน Control and Provisioning of Wireless Access Points (CAPWAP)

ผู้ดูแลระบบควรอัปเดตแพตช์ให้กับ Cisco Aironet APs

ที่มา : securityweek

 

Microsoft ประกาศการเพิ่มคุณสมบัติประวัติการลงชื่อเข้าใช้ด้วย Azure Active Directory (AD) ที่จะอนุญาตให้ผู้ใช้รับภาพรวมของการลงชื่อเข้าใช้ในอดีตและตรวจพบการเข้าสู่ระบบที่ผิดปกติได้อย่างรวดเร็ว

การมีภาพรวมของการพยายามในการเข้าสู่ระบบทั้งหมด ทำให้ผู้ใช้ Azure AD สามารถค้นพบการโจมตีด้วยรหัสผ่านได้ง่ายขึ้นและดำเนินการเพื่อจำกัดผลกระทบที่เป็นอันตราย

ประวัติการลงชื่อเข้าใช้บัญชี Azure AD สามารถเข้าถึงได้ผ่าน https://mysignins.