Cisco Firepower Management Center Lightweight Directory Access Protocol Authentication Bypass Vulnerability

Cisco ออกแพตช์ให้ช่องโหว่ร้ายแรงใน Firepower Management Center
มีช่องโหว่ร้ายแรงในหน้า web interface ของ Firepower Management Center (CVE-2019-16028) ถ้าเปิดให้ authentication ผ่าน external LDAP server ผู้โจมตีจะสามารถสร้าง HTTP request อันตรายเพื่อเข้าถึงหน้า web interface ด้วยสิทธิ์ผู้ดูแลระบบได้
สามารถตรวจสอบได้ว่ามีความเสี่ยงต่อช่องโหว่นี้หรือไม่ได้จากเมนู System > Users > External Authentication แล้วตรวจสอบว่ามีการเปิดใช้ LDAP หรือไม่
Cisco แนะนำว่าควรปิดการใช้งานการ authentication ด้วย LDAP จนกว่าจะทำการอัปเดตแพตช์

ที่มา : Cisco

Twitter Expands 2FA Options to Third-Party Authenticator Apps

Twitter ได้ปรับปรุงระบบความปลอดภัยโดยเพิ่มการตรวจสอบสิทธิ์แบบ Two-Factor Authentication(2FA) ทำให้ผู้ใช้ทวิตเตอร์สามารถใช้ตัวเลือกการรักษาความปลอดภัยนี้ซึ่งรองรับ third-party security อย่างเช่น Google Authenticator, Duo Mobile, Authy และ 1Password แทนแบบเดิมที่เป็น SMS

สำหรับการตั้งค่าการใช้งานนั้น สามารถไปที่ Settings and privacy และในส่วนของ Security จะมี Login verification หากยังไม่เคยเปิดใช้งานจะมี "Set up login verification" ให้เลือก จากนั้นทำการตั้งค่าให้เรียบร้อย แต่หากเปิดการ verify ผ่าน SMS ไว้แล้ว จะมี "Review your login verification methods" ขึ้นมาให้เลือกแทน จากนั้นให้เลือกไปที่ "Set up" ในส่วนของ "Mobile security app" ทำการ start แล้วจะมี "QR Code" ขึ้นมาให้ Scan ให้ใช้ third-party security แอพพลิเคชั่นของคุณ Scan QR Code ดังกล่าว แล้วนำเลขที่ได้มากรอกในขั้นตอนต่อไป

เมื่อตั้งค่าสำเร็จแล้ว นับจากนี้ไปเมื่อใดก็ตามที่พยายามเข้าสู่ระบบ จะได้รับแจ้งให้ป้อนรหัสการยืนยันการเข้าสู่ระบบที่เป็นเลขหกหลักจากแอพพลิเคชั่นระบุตัวตนที่ใช้งานหลังจากที่ป้อนชื่อผู้ใช้และรหัสผ่านแล้ว แม้ว่าชื่อผู้ใช้งานและรหัสผ่านจะหลุดออกไป การจะเข้าถึงบัญชี Twitter ก็จะเป็นไปได้ยากมากขึ้น

ที่มา : infosecurity-magazine

Joomla! 3.8.0 Release

Joomla! 3.8.0 มาแล้ว พร้อมแพตช์ด้านความปลอดภัย

Joomla! ประกาศการออกเวอร์ชันใหม่ที่ 3.8.0 โดยนอกจากจะมีการเปลี่ยนแปลงทางด้านฟังก์ชันการทำงานแล้ว ในเวอร์ชันนี้ยังมีรองรับการเข้ารหัสจากไลบรารี sodium พร้อมกับแพตช์ด้านความปลอดภัยอีก 2 แพตช์ด้วย ดังนี้

แพตช์แรกรหัส CVE-2017-14596 ความร้ายแรงระดับกลาง กระทบ Joomla 1.5.0 - 3.7.5 เป็นแพตช์ปิดช่องโหว่ที่ทำให้ข้อมูล username และ password รั่วไหลได้จาก LDAP authentication plugin

แพตช์ที่สองรหัส CVE-2017-14595 ความร้ายแรงระดับต่ำ กระทบ 3.7.0 - 3.7.5 เป็นแพตช์ปิดช่องโหว่ที่ทำให้ข้อมูลของบทความหรือโพสต์รั่วไหลออกมาได้แม้ว่าจะถูก archive แล้ว

Affected Platform Joomla 1.5.0 - 3.7.5 และ Joomla 3.7.0 - 3.7.5 (แยกตามช่องโหว่)

Recommendation แนะนำให้ทำการอัพเดตเป็นเวอร์ชันล่าสุดเพื่อลดความเสี่ยงที่จะถูกโจมตีโดยช่องโหว่ดังกล่าวโดยด่วน

ที่มา : joomla

Leaky PostgreSQL passwords plugged

PostgreSQL ได้ปล่อย patch เพื่ออัพเดทระบบรักษาความปลอดภัยสำหรับเวอร์ 9.6.4, 9.5.8, 9.4.13, 9.3.18, และ 9.2.22 ใน CVE-2017-7547
ซึ่งเป็นช่องโหว่ที่ผู้โจมตีระยะไกล (remote attacker) สามารถใช้ขโมยรหัสผ่านได้ จากการทำงานที่ผิดพลาด (Bug) ในส่วนของ user mapping
ในฟังก์ชัน pg_user_mappings ของฐานข้อมูล ซึ่งอาจรวมไปถึงการขโมยรหัสของที่ถูกตั้งโดยผู้ดูแลระบบ
CVE-2017-7546 เป็นช่องโหว่ที่อนุญาตให้ผู้โจมตีสามารถสวมสิทธิ์เข้ามาเป็น user ผ่านการ Authentication โดยไม่ต้องทำการกรอกรหัสผ่าน
CVE-2017-7548 เป็นช่องโหว่ที่เกิดขึ้นในฟังก์ชัน lo_put() ของดาต้าเบส ซึ่งมีข้อผิดพลาดในการตรวจสอบสิทธิ์ในการเข้ามาเปลี่ยนแปลงแก้ไขข้อมูล

ที่มา : theregister

Thought you were safe from the Fortinet SSH backdoor? Think again

จากข่าวพบรหัสผ่านฝังใน FortiGate และมีการแจกโค้ดภาษาไพธอน เพื่อให้สามารถใช้ Secure Shell (SSH) เข้าไปควบคุม firewall ได้นั้น ทาง Fortinet ชี้แจงว่าไม่ใช่ Backdoor แต่เป็นช่องโหว่ของการ Authentication เท่านั้น และพบปัญหานี้ใน FortiOS รุ่น 4.3.0 ถึง 4.3.16 และ 5.0.0 ถึง 5.0.7 เท่านั้น ล่าสุดพบว่าปัญหานี้ไม่ได้มีแค่อุปกรณ์ FortiGate เท่านั้น ปัญหานี้มีอยู่ในอุปกรณ์หลายตัว และได้เปิดเผยถึงผลิตภัณฑ์ที่ได้รับผลกระทบเพิ่มเติมดังต่อไปนี้

FortiAnalyzer รุ่น 5.0.5 ถึง 5.0.11 และ 5.2.0 ถึง 5.2.4
FortiSwitch รุ่น 3.3.0 ถึง 3.3.2
FortiCache รุ่น 3.0.0 ถึง 3.0.7 (รุ่น 3.1 ไม่ได้รับผลกระทบ)
อุปกรณ์ที่ใช้ FortiOS รุ่น 4.1.0 ถึง 4.1.10 และ 4.2.0 ถึง 4.2.15 และ 4.3.0 ถึง 4.3.16 และ 5.0.0 ถึง 5.0.7

ปัจจุบันนี้เริ่มมีผู้โจมตี Scan หาช่องโหว่นี้ของ Fortinet บน Public IP แล้ว โดยมี IP ต้องสงสัยหลักๆ ที่พยายามทำการ Scan หาช่องโหว่เหล่านี้อย่างต่อเนื่องคือ 124.160.116.194 และ 183.131.19.18 ซึ่งมาจากประเทศจีน ดังนั้นผู้ดูแลระบบควรจะรีบ Patch ระบบทั้งหมดที่ได้รับผลกระทบทันที ในขณะที่อย่างน้อยๆ ถ้าหาก Patch ไม่ได้ ก็ควรกำหนด Firewall Rule หรือ ACL ให้บล็อคการเข้าถึงจาก IP Address สองชุดนี้เสียก่อน

ที่มา : theregister