เมื่อวันที่ 17 มิถุนายน 2019 ที่ผ่านมา ทีม Security Engineer จาก Netflix ได้มีการเปิดเผย 4 ช่องโหว่ใหญ่ในส่วนของโปรแกรมซึ่งอิมพลีเมนต์โปรโตคอล TCP ในระบบ FreeBSD และลินุกซ์ ซึ่งส่งผลให้ด้วยการส่งแพ็คเกตที่มีลักษณะเฉพาะบางประการ แฮกเกอร์สามารถล่มระบบใดก็ได้ได้จากระยะไกล

ทีม Intelligent Response จาก บริษัทไอ-ซีเคียว จำกัด จะมาติดตามรายละเอียดของช่องโหว่นี้ พร้อมทั้งอธิบายที่มา การตรวจจับและการป้องกันการโจมตีช่องโหว่นี้ในโพสต์นี้กันครับ

รายละเอียดช่องโหว่โดยย่อ
ที่มาของช่องโหว่
การโจมตีช่องโหว่
ระบบที่ได้รับผลกระทบ
การตรวจจับการโจมตี
การป้องกันการโจมตี

รายละเอียดของช่องโหว่โดยย่อ
ช่องโหว่ในตระกูล SACK Panic นี้มีทั้งหมด 4 ช่องโหว่ ได้แก่

ช่องโหว่ SACK Panic รหัส CVE-2019-11477 คะแนน CVSSv3 7.5
ช่องโหว่ SACK Slowness รหัส CVE-2019-11478 คะแนน CVSSv3 5.3
ช่องโหว่ SACK Slowness รหัส CVE-2019-5599 ยังไม่มีการระบุคะแนน CVSS
ช่องโหว่ไม่มีชื่อเฉพาะ รหัส CVE-2019-11479 คะแนน CVSSv3 5.3

ที่มาของช่องโหว่
อ้างอิงจาก Security Advisories ของ Netflix ช่องโหว่ทั้ง 4 ช่องโหว่นี้เป็นช่องโหว่ที่เกิดขึ้นในส่วนของโค้ดซึ่งอยู่ในแกนกลางของระบบปฏิบัติการ FreeBSD และเคอร์เนลของระบบปฏิบัติการลินุกซ์ซึ่งทำหน้าที่เกี่ยวข้องกับโปรโตคอล TCP โดยช่องโหว่เหล่านี้นั้นเกี่ยวข้องกับการกำหนดค่า minimum segment size (MSS) และค่า TCP Selective Acknowledgement (SACK) ซึ่งทั้งสองค่าเป็นการตั้งค่าของโปรโตคอล TCP

สำหรับช่องโหว่แรกคือ SACK PANIC (CVE-2019-11477) นั้นเป็นช่องโหว่ซึ่งเกิดขึ้นเมื่อผู้โจมตีมีการสร้างลำดับของแพ็คเกต TCP ซึ่งมีลำดับของค่า SACK เฉพาะ โดยเมื่อส่งไปยังเป้าหมายซึ่งมีช่องโหว่แล้ว จะทำให้เกิดการเงื่อนไข integer overflow ซึ่งนำไปสู่เงื่อนไขการทำงานที่ผิดพลาดของเคอร์เนล (Kernel panic) และทำให้เกิดเงื่อนไข DoS ได้

ในส่วนของช่องโหว่ที่สองคือ SACK Slowness (CVE-2019-11478) นั้นเป็นช่องโหว่ที่ทำให้เกิดการใช้งานทรัพยากรของระบบมากขึ้นโดยเป็นผลมาจากการได้รับลำดับของแพ็คเกต TCP ที่มีค่า SACK เฉพาะซึ่งจะทำให้เกิดการแบ่งส่วนในกระบวนการจัดลำดับเพื่อจัดส่งแพ็คเกตใหม่ในโปรโตคอล TCP ในลักษณะที่ไม่ถูกต้องได้

ช่องโหว่ที่สามหรือช่องโหว่ SACK Slowness (CVE-2019-5599) เป็นช่องโหว่ที่เกิดขึ้นในลักษณะที่คล้ายกับ SACK Slowness (CVE-2019-11478) จากความเหมือนกันในประเด็นเรื่องของผลกระทบและรูปแบบการโจมตี แต่แตกต่างในส่วนของคอมโพเนนต์และระบบปฏิบัติการที่ได้รับผลกระทบ

ช่องโหว่สุดท้ายในลำดับ 4 คือช่องโหว่รหัส CVE-2019-11479 เป็นช่องโหว่ที่ทำให้เกิดการใช้งานทรัพยากรของระบบที่มากขึ้นหรือมากเกินซึ่งเป็นผลมาจากการกำหนดค่า MSS ต่ำ โดยผู้โจมตีนั้นสามารถบังคับให้ลินุกซ์เคอร์เนลทำการแบ่งส่วนแพ็คเกตที่จะทำการตอบกลับออกเป็นหลาย TCP segment ที่มีขนาด 8 ไบต์ ซึ่งส่งผลให้ระบบจำเป็นต้องใช้แบนด์วิธและทรัพยากรอื่นๆ ที่มากขึ้นในการส่ง เงื่อนไขเดียวในการโจมตีข่องโหว่นี้คือการที่ผู้โจมตีจะต้องทำการโจมตีอยู่ตลอดเวลา เนื่องจากความเสียหายที่เกิดจากการโจมตีนั้นจะหยุดหากการโจมตีหยุดลงทันที
การโจมตีช่องโหว่
ยังไม่มีการปรากฎของโค้ดหรือ PoC ที่ใช้สำหรับโจมตีช่องโหว่ในขณะนี้
ระบบที่ได้รับผลกระทบ

ช่องโหว่ SACK Panic (CVE-2019-11477) ส่งผลกระทบกับลินุกซ์เคอร์เนลตั้งแต่เวอร์ชัน 2.6.29 เป็นต้นไป
ช่องโหว่ SACK Slowness (CVE-2019-11478) ส่งผลกระทบกับลินุกซ์เคอร์เนลรุ่น 4.15 หรือต่ำกว่า
ช่องโหว่ SACK Slowness (CVE-2019-5599) ส่งผลกระทบกับ FreeBSD รุ่น 12 ที่ใช้ RACK TCP Stack
ช่องโหว่ CVE-2019-11479 ส่งผลกระทบกับลินุกซ์ทุกเวอร์ชัน

การตรวจจับการโจมตี
ช่องโหว่ทั้งหมดนั้นมี Attack vector เป็นเน็ตเวิร์กซึ่งส่งผลให้อุปกรณ์เน็ตเวิร์กที่สามารถตรวจสอบคุณลักษณะของแพ็คเกตได้นั้นสามารถใช้เพื่อตรวจจับการโจมตีได้ อย่างไรก็ตามเรายังไม่พบการประกาศ Signature หรือแพทเทิร์นในการตรวจจับการโจมตีในขณะนี้ โดยจะทำการอัปเดตหากมีความคืบหน้า

และเนื่องจากผลลัพธ์ของช่องโหว่นั้นส่งผลให้เกิดการทำงานของผิดพลาดของเคอร์เนลและทรัพยากรของระบบที่ถูกใช้ไปอย่างมากขึ้น การตรวจสอบการโจมตีบน Endpoint ก็ยังมีความเป็นไปได้อยู่ในการดำเนินการเพื่อระบุหาความผิดปกติของระบบ ผ่านทางการตรวจสอบสถานะของระบบ (Health check) เป็นต้น
การป้องกันการโจมตี

ทำการอัปเดตแพตช์เฉพาะของช่องโหว่หากยังไม่มีการอัปเดตจากโครงการของเคอร์เนล โดยให้ดำเนินการดังนี้

สำหรับช่องโหว่ SACK Panic (CVE-2019-11477) ให้ทำการอัปเดตแพตช์ PATCH_net_1_4.patch ในกรณีที่ลินุกซ์เคอร์เนลเป็นเวอร์ชัน 4.14 หรือใหม่กว่า ให้ทำการอัปเดตแพตช์ PATCH_net_1a.patch ไปพร้อมกันด้วย
สำหรับช่องโหว่ SACK Slowness (CVE-2019-11478) ให้ทำการอัปเดตแพช์ PATCH_net_2_4.patch กับเคอร์เนล
สำหรับช่องโหว่ SACK Slowness (CVE-2019-5599) ให้ทำการอัปเดตแพตช์ split_limit.

สรุปย่อ
เมื่อวันที่ 19 ธันวาคม 2018 ตามเวลาประเทศไทย นักวิจัยด้านความปลอดภัยที่ใช้ชื่อบนทวิตเตอร์ว่า SandboxEscaper ได้เผยแพร่ Proof-of-Concept (PoC) ของช่องโหว่ Zero-day ในระบบปฏิบัติการวินโดวส์ เป็นช่องโหว่ที่ทำให้ผู้ใช้งานที่มีสิทธิ์ต่ำหรือโปรแกรมอันตรายสามารถอ่านไฟล์ใดๆ บนเครื่องได้แม้แต่ไฟล์ที่ให้สิทธิ์เฉพาะผู้ใช้งานระดับ Administrator ผลกระทบที่อาจเกิดจากช่องโหว่นี้คือ ผู้ใช้งานที่มีสิทธิ์ต่ำหรือโปรแกรมอันตรายสามารถอ่านและสามารถคัดลอกไฟล์ได้แม้ไม่มีสิทธิ์เข้าถึงไฟล์เหล่านั้น
รายละเอียดของช่องโหว่

นักวิจัยด้านความปลอดภัยที่ใช้ชื่อบนทวิตเตอร์ว่า SandboxEscaper ได้เผยแพร่ Proof-of-Concept (PoC) ของช่องโหว่ Zero-day ในระบบปฏิบัติการวินโดวส์ นับเป็นช่องโหว่ที่สามแล้วที่มีการเผยแพร่ในปีนี้ โดยช่องโหว่ทั้งสามมีลักษณะคล้ายกันที่เป็นช่องโหว่ที่ทำให้สามารถยกระดับสิทธิ์ได้ (Elevation of Privilege) ซึ่งสามารถอ่านรายละเอียดของช่องโหว่ที่ผ่านมาได้จาก ทำความรู้จักช่องโหว่ zero-day ใหม่ ใน Task Scheduler บน Windows และ Microsoft Windows zero-day disclosed on Twitter, again, impacts Windows 10, Server 2016, and Server 2019 only.

สรุปย่อ
ในวันที่ 22 สิงหาคม 2018 ที่ผ่านมา Apache ได้ออกแพตช์เพื่อแก้ไขช่องโหว่ร้ายแรงระดับวิกฤติ (critical) ใน Apache Struts เพื่อแก้ไขช่องโหว่ CVE-2018-11776 ซึ่งเป็นช่องโหว่ remote code execution กระทบ Apache Struts รุ่น 2.3 ถึง 2.3.34 และ 2.5 ถึง 2.5.16 และอาจส่งกระทบกับ Apache Struts รุ่นอื่นๆ ที่เลิกซัพพอร์ตแล้ว

ทั้งนี้ช่องโหว่ remote code execution ถือเป็นช่องโหว่ที่มีความร้ายแรงสูงสุด เนื่องจากมีความเสี่ยงที่ผู้โจมตีจะรันคำสั่งอันตรายจนกระทั่งยึดครองทั้งระบบได้ ผู้ดูแลระบบควรรีบอัปเดตโดยด่วน
เกี่ยวกับ Apache Struts
Apache Struts เป็น open source framework สำหรับทำเว็บแอปพลิเคชันด้วยภาษา Java ที่กำลังได้รับความนิยมอย่างมากในองค์กรทั่วโลก ในปี 2017เกิดการโจมตี Equifax โดยใช้ช่องโหว่ remote code execution บน Apache Struts (CVE-2017-5638) และเนื่องจาก Equifax ไม่ได้อัปเดตแพตช์เพื่อแก้ไขช่องโหว่ดังกล่าวทำให้ข้อมูลลูกค้าหลุดกว่า 147ล้านคน สร้างความสูญเสียมูลค่ากว่า 600 ล้านดอลลาห์สหรัฐ
รายละเอียดของ CVE-2018-11776
นักวิจัยชื่อ Man Yue Mo จาก Semmle เป็นผู้ค้นพบช่องโหว่ CVE-2018-11776 และทำการแจ้งเตือน Apache Struts ตั้งแต่วันที่ 10 เมษายน 2018 ที่ผ่านมา เขาระบุว่าช่องโหว่ CVE-2018-11776 มีโอกาสที่จะทำให้เกิดความเสียหายได้มากกว่าการโจมตี Equifax เพราะสามารถโจมตีได้ง่ายกว่า เนื่องจากช่องโหว่ CVE-2018-11776 นี้อยู่บน core code ของ Apache Struts และไม่ต้องใช้ปลั๊กอินเสริมใดๆ ในการโจมตี ซึ่งช่องโหว่ดังกล่าวได้รับ CVSS v3 Base Score 9.8

ช่องโหว่ CVE-2018-11776 เกิดจากการไม่ตรวจสอบ input จากผู้ใช้ ทำให้ผู้โจมตีสามารถแทนที่ namespace ด้วยคำสั่งอันตรายได้ ซึ่ง Semmle ได้บอกจุดสังเกตที่ทำให้ถูกโจมตีผ่านช่องโหว่ CVE-2018-11776 คือ

Apache Struts ถูกตั้งค่าให้ alwaysSelectFullNamespace มีค่าเป็น True
Configuration file ของ Apache Struts มี <action ...> tag ที่ไม่ได้ระบุ optional namespace หรือมี <action ...> tag ที่ระบุเป็น wildcard namespace

ถึงแม้ว่าในขณะนี้ Apache Struts ที่ไม่ได้ตั้งค่าดังกล่าวจะปลอดภัย แต่เป็นไปได้ที่จะมีการโจมตีแบบอื่นขึ้นได้ในอนาคต จึงควรแก้ด้วยการอัปเดตแพตช์เป็นรุ่นล่าสุดมากกว่าการแก้ไขการตั้งค่า

ทั้งนี้ Recorded Future ได้ตรวจพบการพูดถึงวิธีโจมตีช่องโหว่ดังกล่าวอย่างมากในเว็บบอร์ดใต้ดินของจีนและรัสเซีย รวมถึงมีการเผยแพร่ Proof of Concept (POC) ของช่องโหว่นี้อย่างเปิดเผยทั่วไปแล้ว เช่น Apache Struts2 CVE-2018-11776 POC และ St2-057 Poc Example ผู้ดูแลระบบจึงควรทำการอัปเดต Apache Struts โดยด่วน
ผู้ที่ได้รับผลกระทบ
นอกจากผู้ใช้ Apache Struts ทั่วไปที่ใช้ Apache Struts รุ่น 2.3 ถึง 2.3.34 และ 2.5 ถึง 2.5.16 จะได้รับผลกระทบแล้ว บริษัทต่างๆ ที่มีการใช้ Apache Struts ในผลิตภัณฑ์อย่าง Cisco ยังได้รับผลกระทบอีกด้วย โดย Cisco อยู่ระหว่างการตรวจสอบว่ามีผลิตภัณฑ์ใดบ้างที่ได้รับผลกระทบบ้าง
แนวทางแก้ไข

อัปเดต Apache Struts เป็นเวอร์ชั่น 2.3.35 หรือ 2.5.17
ตั้งค่า namespace อยู่เสมอ

ตรวจจับการโจมตี

เนื่องจากการโจมตีช่องโหว่ CVE-2018-11776 สามารถโจมตีได้ผ่านเน็ตเวิร์ค ทำให้ Web Application Firewall (WAF) ต่างๆ เช่น Imperva ได้ทำการเพิ่มการดักจับการโจมตีดังกล่าวเข้าไปในบริการแล้ว
สามารถตรวจจับได้ด้วย Snort rule

โดย Talos ออกคำแนะนำว่าสามารถตรวจจับได้ด้วย Snort rule SID 29639, 39190, 39191 และ 47634
และมีผู้เผยแพร่ Snort rule เพื่อใช้ในการตรวจจับ ดังนี้

แหล่งอ้างอิง

https://researchcenter.

ทีมงาน Drupal ประกาศออกแพตช์แก้ไขช่องโหว่ระดับความรุนแรงสูง SA-CORE-2018–002 (CVE-2018-7600) เป็นช่องโหว่ประเภท Remote Code Execution หรือช่องโหว่ที่สามารถรันคำสั่งใดๆ บนเครื่องเว็บเซิฟเวอร์ที่ติดต้ัง Drupal ได้โดยไม่ต้องพิสูจน์ตัวตน มีผลกระทบโดยตรงกับ Drupal เวอร์ชั่น 7.x, 8.3.x, 8.4.x และ 8.5.x

รายละเอียดช่องโหว่
ในแพตช์ซึ่งถูกเผยแพร่ออกมาพร้อมกับเวอร์ชั่นใหม่ของ Drupal แพตช์มีการเพิ่มไฟล์ขึ้นมาหนึ่งไฟล์คือ request-sanitizer.

สรุปย่อ
นักวิจัยด้านความปลอดภัย Jann Horn จาก Google Project Zero และคณะวิจัยร่วมจากมหาวิทยาลัยและบริษัทด้านความปลอดภัยได้ประกาศการค้นพบช่องโหว่ใหม่ที่มีความร้ายแรงสูง โดยมีที่มาจากกระบวนการทำงานที่อยู่ในหน่วยประมวลผลกลาง (CPU) ซึ่งส่งผลกระทบต่อคอมพิวเตอร์เกือบทุกเครื่องที่มีการใช้ซีพียูในรุ่นที่มีช่องโหว่ รวมไปถึง คอมพิวเตอร์ส่วนบุคคล, อุปกรณ์พกพาและระบบคลาวด์

ผลกระทบจากช่องโหว่ดังกล่าวทำให้ผู้โจมตีสามารถเข้าถึงข้อมูลที่กำลังประมวลผลอยู่ในระบบได้โดยไม่สนว่าโปรแกรมใดจะเป็นเจ้าของโปรแกรมนั้น หรือมีสิทธิ์/การป้องกันใดที่ปกป้องข้อมูลดังกล่าวอยู่
รายละเอียดของช่องโหว่

สำหรับช่องโหว่ Meltdown (CVE-2017-5754 หรือ Variant 3) นั้น มีที่มาในเบื้องต้นจากกระบวนการทำงานหนึ่งของซีพียูที่เรียกว่า speculative execution ซึ่งเป็น "การทำงานล่วงหน้า" ในชุดคำสั่งใดๆ ไปก่อนจนกว่าจะมีการพิสูจน์จากเงื่อนไขที่ควบคุมชุดคำสั่งนั้นๆ ว่าเงื่อนไขถูกต้องจริง โดยมีพฤติกรรมในการนำข้อมูลเข้าและออกจากจากหน่วยความจำอย่างไม่มีการควบคุมและข้ามผ่านกระบวนการใดๆ ที่คอยควบคุมการเข้าถึงข้อมูลอยู่

ด้วยพฤติกรรมดังกล่าว ผู้โจมตีสามารถบังคับให้เกิด "การทำงานล่วงหน้า" ซึ่งเข้าถึงข้อมูได้ไม่จำกัดไปซ้ำๆ ซึ่งถูกแม้ว่าข้อมูลที่ถูกโหลดมาจะถูกนำออกไปจากหน่วยความจำแล้วเนื่องจากเงื่อนไขในการทำงานไม่เป็นจริง แต่ก็มีพฤติกรรมบางอย่างของซีพียูที่ทำให้ผู้โจมตีสามารถค้นหาและเข้าถึงข้อมูลที่ยังหลงเหลืออยู่ได้

ในส่วนของช่องโหว่ Spectre นั้น ตัวช่องโหว่เองก็มีการใช้ประโยชน์จาก speculative execution แต่ด้วยลักษณะที่ต่างออกไป 2 ลักษณะ

ลักษณะที่ 1 (Variant 1): ฟีเจอร์ speculative execution จะถูกใช้ในลักษณะที่คล้ายกับ Meltdown แต่มีเป้าหมายอยู่เพียงในระดับโปรเซส ซึ่งทำให้เกิดการเข้าถึงข้อมูลเกินขอบเขตที่ได้รับอนุญาตให้เข้าถึงได้
ลักษณะที่ 2 (Variant 2): ด้วยการทำงานของฟีเจอร์ speculative execution ผู้โจมตีสามารถบังคับให้เกิด "การทำงานหน้าล่วงหน้า" ในโค้ดของโปรเซสใดๆ ที่มีการทำงานอยู่ในหน่วยซีพียูเดียวกัน แล้วใช้วิธีการใน Variant 1 เพื่อเข้าถึงข้อมูลของโปรเซสอื่นๆ ที่กำลังประมวลผลอยู่ได้

ผลกระทบ
ทั้งช่องโหว่ Meltdown และ Spectre ส่งผลให้โปรเซสซึ่งมีการทำงานที่ต่ำสามารถเข้าถึงข้อมูลของโปรเซสอื่นๆ รวมไปถึงข้อมูลที่กำลังถูกประมวลผลอยู่ซึ่งอาจมีข้อมูลที่มีความอ่อนไหวสูงได้ โดยทั้งสองช่องโหว่ต่างมีความจำเป็นที่จะต้องมีการรันโค้ดที่เป็นอันตรายในระบบเพื่อโจมตีช่องโหว่

อย่างไรก็ตามช่องโหว่ Meltdown และ Spectre ไม่ได้ส่งผลกระทบที่ทำให้เกิดการเปลี่ยนแปลงข้อมูลที่เข้าถึงได้ สามารถถูกใช้ได้เพียงแค่การเข้าถึงและอ่านได้เพียงอย่างเดียวเท่านั้น

ในขณะนี้ไม่มีการตรวจพบการใช้ช่องโหว่ดังกล่าวในการโจมตีจริง
อุปกรณ์/ระบบที่ได้รับผลกระทบ
อุปกรณ์และระบบที่ได้รับผลกระทบนั้นสามารถแย่งตามช่องโหว่ได้ดังนี้

ช่องโหว่ Meltdown จะมีอยู่ในอุปกรณ์ที่ใช้ซีพียู Intel ที่ถูกผลิตตั้งแต่ปี 1995 (ยกเว้น Intel Intanium และ Intel Atom ก่อนหน้าปี 2013) รวมไปถึงซีพียู ARM ในบางรุ่น อย่างไรก็ตามในเวลานี้ยังไม่มีความแน่ชัดว่าซีพียู AMD นั้นได้รับผลกระทบจากช่องโหว่นี้หรือไม่
ช่องโหว่ Spectre จะมีอยู่ในอุปกรณ์ทุกอุปกรณ์ที่ใช้ซีพียู Intel, AMD และ ARM

ขั้นตอนแนะนำและแผนในการตอบสนองการเกิดขึ้นของช่องโหว่

ตรวจสอบผลกระทบของช่องโหว่กับอุปกรณ์ที่มีอยู่ โดยสำหรับผู้ใช้งานระบบปฏิบัติการวินโดวส์สามารถใช้โปรแกรม SpecuCheck หรือโมดูลของ powershell ชื่อ SpeculationControl เพื่อตรวจสอบการมีอยู่ของช่องโหว่ได้ และสำหรับผู้ใช้งานระบบปฏิบัติการลินุกซ์ก็สามารถใช้โปรแกรม spectre-meltdown-checker ในการตรวจสอบการมีอยู่ของช่องโหว่ได้เช่นเดียวกัน  
หากไม่แน่ใจว่าได้รับผลกระทบจากช่องโหว่หรือไม่ หรือไม่สามารถใช้โปรแกรมในการตรวจสอบการมีอยู่ของช่องโหว่ได้ ให้ทำการตรวจสอบจากประกาศของผู้ผลิตฮาร์ดแวร์และบริการตามรายการดังต่อไปนี้  
ดำเนินการแพตช์ช่องโหว่โดยพิจารณาตามความจำเป็น เนื่องจากแพตช์ของช่องโหว่อาจส่งผลต่อประสิทธิภาพการทำงานของระบบที่น้อยลงและอาจไม่ได้ช่วยป้องกันการโจมตีช่องโหว่ในทุกกรณี
ติดตามข่าวสารด้านความปลอดภัยเพื่อตรวจสอบแพตช์ในรุ่นใหม่ๆ ซึ่งอาจมีการแก้ปัญหาในเรื่องของประสิทธิภาพการทำงานและการป้องกันช่องโหว่

แหล่งอ้างอิง

Google Online Security Blog.