มัลแวร์ภาษา Go-based multi-platform ตัวใหม่ "NKAbuse" ซึ่งเป็นมัลแวร์ตัวแรกที่ใช้เทคโนโลยี NKN (New Kind of Network) ในการรับส่งข้อมูล ทำให้เป็นภัยคุกคามที่ยากต่อการตรวจจับ
NKN เป็นโปรโตคอลเครือข่ายแบบ peer-to-peer แบบ decentralized ที่ค่อนข้างใหม่ ซึ่งมีการใช้เทคโนโลยี blockchain เพื่อจัดการทรัพยากร และรักษาความปลอดภัยของการทำงานบนเครือข่าย
(more…)
Cisco ออกอัปเดทแก้ไขช่องโหว่ 30 ช่องโหว่ กว่าครึ่งเป็นช่องโหว่ร้ายแรงมากและช่องโหว่ร้ายแรง
Cisco ออกอัปเดทแก้ไขช่องโหว่ 30 ช่องโหว่โดยมี 3 ช่องโหว่เป็นช่องโหว่ร้ายแรงมาก (Critical) หนึ่งในนั้นคือช่องโหว่ที่ได้รับผลกระทบจากช่องโหว่ใน Apache Struts (CVE-2018-11776) Cisco อธิบายเพิ่มเติมว่าแม้ผลิตภัณฑ์ของ Cisco หลายตัวจะมีการใช้งาน Apache Struts แต่ได้รับผลกระทบจากช่องโหว่ดังกล่าวเพียงบางผลิตภัณฑ์เท่านั้นเนื่องจากวิธีการใช้งาน library ของแต่ละผลิตภัณฑ์แตกต่างกัน
อีก 2 ช่องโหว่ร้ายแรงที่ได้รับการแก้ไขเป็นช่องโหว่ใน Cisco Umbrella API (CVE-2018-0435) และใน Routers รุ่น RV110W, RV130W และ RV215W (CVE-2018-0423) และยังมีช่องโหว่ร้ายแรง (high) อีก 15 รายการ
ผู้ดูแลระบบสามารถตรวจสอบรายละเอียดเพิ่มเติมเกี่ยวกับการอัปเดทครั้งนี้ได้ที่ https://tools.
สรุปย่อ
ในวันที่ 22 สิงหาคม 2018 ที่ผ่านมา Apache ได้ออกแพตช์เพื่อแก้ไขช่องโหว่ร้ายแรงระดับวิกฤติ (critical) ใน Apache Struts เพื่อแก้ไขช่องโหว่ CVE-2018-11776 ซึ่งเป็นช่องโหว่ remote code execution กระทบ Apache Struts รุ่น 2.3 ถึง 2.3.34 และ 2.5 ถึง 2.5.16 และอาจส่งกระทบกับ Apache Struts รุ่นอื่นๆ ที่เลิกซัพพอร์ตแล้ว
ทั้งนี้ช่องโหว่ remote code execution ถือเป็นช่องโหว่ที่มีความร้ายแรงสูงสุด เนื่องจากมีความเสี่ยงที่ผู้โจมตีจะรันคำสั่งอันตรายจนกระทั่งยึดครองทั้งระบบได้ ผู้ดูแลระบบควรรีบอัปเดตโดยด่วน
เกี่ยวกับ Apache Struts
Apache Struts เป็น open source framework สำหรับทำเว็บแอปพลิเคชันด้วยภาษา Java ที่กำลังได้รับความนิยมอย่างมากในองค์กรทั่วโลก ในปี 2017เกิดการโจมตี Equifax โดยใช้ช่องโหว่ remote code execution บน Apache Struts (CVE-2017-5638) และเนื่องจาก Equifax ไม่ได้อัปเดตแพตช์เพื่อแก้ไขช่องโหว่ดังกล่าวทำให้ข้อมูลลูกค้าหลุดกว่า 147ล้านคน สร้างความสูญเสียมูลค่ากว่า 600 ล้านดอลลาห์สหรัฐ
รายละเอียดของ CVE-2018-11776
นักวิจัยชื่อ Man Yue Mo จาก Semmle เป็นผู้ค้นพบช่องโหว่ CVE-2018-11776 และทำการแจ้งเตือน Apache Struts ตั้งแต่วันที่ 10 เมษายน 2018 ที่ผ่านมา เขาระบุว่าช่องโหว่ CVE-2018-11776 มีโอกาสที่จะทำให้เกิดความเสียหายได้มากกว่าการโจมตี Equifax เพราะสามารถโจมตีได้ง่ายกว่า เนื่องจากช่องโหว่ CVE-2018-11776 นี้อยู่บน core code ของ Apache Struts และไม่ต้องใช้ปลั๊กอินเสริมใดๆ ในการโจมตี ซึ่งช่องโหว่ดังกล่าวได้รับ CVSS v3 Base Score 9.8
ช่องโหว่ CVE-2018-11776 เกิดจากการไม่ตรวจสอบ input จากผู้ใช้ ทำให้ผู้โจมตีสามารถแทนที่ namespace ด้วยคำสั่งอันตรายได้ ซึ่ง Semmle ได้บอกจุดสังเกตที่ทำให้ถูกโจมตีผ่านช่องโหว่ CVE-2018-11776 คือ
Apache Struts ถูกตั้งค่าให้ alwaysSelectFullNamespace มีค่าเป็น True
Configuration file ของ Apache Struts มี <action ...> tag ที่ไม่ได้ระบุ optional namespace หรือมี <action ...> tag ที่ระบุเป็น wildcard namespace
ถึงแม้ว่าในขณะนี้ Apache Struts ที่ไม่ได้ตั้งค่าดังกล่าวจะปลอดภัย แต่เป็นไปได้ที่จะมีการโจมตีแบบอื่นขึ้นได้ในอนาคต จึงควรแก้ด้วยการอัปเดตแพตช์เป็นรุ่นล่าสุดมากกว่าการแก้ไขการตั้งค่า
ทั้งนี้ Recorded Future ได้ตรวจพบการพูดถึงวิธีโจมตีช่องโหว่ดังกล่าวอย่างมากในเว็บบอร์ดใต้ดินของจีนและรัสเซีย รวมถึงมีการเผยแพร่ Proof of Concept (POC) ของช่องโหว่นี้อย่างเปิดเผยทั่วไปแล้ว เช่น Apache Struts2 CVE-2018-11776 POC และ St2-057 Poc Example ผู้ดูแลระบบจึงควรทำการอัปเดต Apache Struts โดยด่วน
ผู้ที่ได้รับผลกระทบ
นอกจากผู้ใช้ Apache Struts ทั่วไปที่ใช้ Apache Struts รุ่น 2.3 ถึง 2.3.34 และ 2.5 ถึง 2.5.16 จะได้รับผลกระทบแล้ว บริษัทต่างๆ ที่มีการใช้ Apache Struts ในผลิตภัณฑ์อย่าง Cisco ยังได้รับผลกระทบอีกด้วย โดย Cisco อยู่ระหว่างการตรวจสอบว่ามีผลิตภัณฑ์ใดบ้างที่ได้รับผลกระทบบ้าง
แนวทางแก้ไข
อัปเดต Apache Struts เป็นเวอร์ชั่น 2.3.35 หรือ 2.5.17
ตั้งค่า namespace อยู่เสมอ
ตรวจจับการโจมตี
เนื่องจากการโจมตีช่องโหว่ CVE-2018-11776 สามารถโจมตีได้ผ่านเน็ตเวิร์ค ทำให้ Web Application Firewall (WAF) ต่างๆ เช่น Imperva ได้ทำการเพิ่มการดักจับการโจมตีดังกล่าวเข้าไปในบริการแล้ว
สามารถตรวจจับได้ด้วย Snort rule
โดย Talos ออกคำแนะนำว่าสามารถตรวจจับได้ด้วย Snort rule SID 29639, 39190, 39191 และ 47634
และมีผู้เผยแพร่ Snort rule เพื่อใช้ในการตรวจจับ ดังนี้
แหล่งอ้างอิง
https://researchcenter.
Cisco ได้มีการประกาศการตรวจสอบด้านและแจ้งเตือนความปลอดภัยของซอฟต์แวร์บางส่วนหลังจากมีความเป็นไปได้ว่าซอฟต์แวร์บางรายการนั้นอาจจะได้รับผลกระทบจากช่องโหว่ Apache Struts
ช่องโหว่ Apache Struts ดังกล่าวนั้น เป็นช่องโหว่ที่ทำให้ผู้โจมตีสามารถทำการโจมตีแบบ remote code execution เพื่อเข้าสั่งการเครื่องเป้าหมายได้จากระยะไกล อ้างอิงจากการประกาศของ Cisco ซอฟต์แวร์ที่ได้รับผลกระทบโดยส่วนมากเป็นซอฟต์แวร์ในกลุ่ม VoIP และซอฟต์แวร์จัดการเครือข่าย ผู้ใช้งานและผู้ดูแลระบบสามารถตรวจสอบรายการของซอฟต์แวร์ที่ได้รับผลกระทบได้จากลิงค์ด้านล่าง
https://tools.
นักวิจัยจากทีม lgtm นำโดย Man Yue Mo ค้นพบช่องโหว่ CVE-2017-9805 ที่มีผลกระทบต่อ Struts ตั้งแต่รุ่น 2.5 ขึ้นมาทั้งหมด
CVE-2017-9805 เป็นช่องโหว่มาจาก REST API plugin ที่เป็นช่องทางในการสื่อสารของ Struts servers และยังใช้งานบัคของโปรแกรมที่อนุญาตให้ส่งข้อมูลจากแหล่งที่ไม่น่าเชื่อถือได้ โดยเรียกกระบวนการนี้ว่า
unsafe deserialization ทั้งหมดนี้สามารถทำให้ผู้ไม่ประสงค์ดีรันโค้ดจากระยะไกลได้
โดยตอนนี้ทาง Apache ได้ปล่อย Struts 2.5.13 แก้ไขช่องโหว่นี้แล้ว
ที่มา : SECURITYWEEK