ข้อผิดพลาดของ Cloudflare CDNJS อาจนำไปสู่การโจมตีในรูปแบบ Supply-Chain Attack

เมื่อเดือนที่แล้ว Cloudflare บริษัทผู้ให้บริการระบบเครือข่าย network และรักษาความปลอดภัยเว็บไซต์ ได้แก้ไขช่องโหว่ที่สำคัญในไลบรารี CDNJS ซึ่งมีการใช้งานอยู่ที่ 12.7% ของเว็บไซต์ทั้งหมดบนอินเทอร์เน็ต

CDNJS เป็นเครือข่ายการส่งเนื้อหา (Content Delivery Network) แบบโอเพ่นซอร์สที่ให้บริการฟรี ซึ่งให้บริการไลบรารี JavaScript และ CSS ประมาณ 4,041 รายการ ทำให้เป็น CDN ไลบรารี JavaScript ที่ได้รับความนิยมสูงสุดเป็นอันดับสองรองจาก Google Hosted Libraries

ข้อผิดพลาดเกี่ยวข้องกับปัญหาในเซิร์ฟเวอร์อัปเดตไลบรารี CDNJS ที่อาจอนุญาตให้ผู้โจมตีดำเนินการรันคำสั่งที่เป็นอันตรายได้ และนำไปสู่การเข้าถึงระบบโดยสมบูรณ์

ช่องโหว่ดังกล่าวถูกค้นพบและรายงานโดยนักวิจัยด้านความปลอดภัย RyotaK เมื่อวันที่ 6 เมษายน พ.ศ. 2564 ซึ่งยังไม่พบหลักฐานว่ามีการใช้ช่องโหว่นี้ในการโจมตีจริง

ช่องโหว่นี้ทำงานโดยการส่งแพ็คเกจไปยัง CDNJS ของ Cloudflare โดยใช้ GitHub และ npm ใช้เพื่อทริกเกอร์ช่องโหว่ path traversal และท้ายที่สุดคือทำให้เซิร์ฟเวอร์สามารถเรียกใช้โค้ดจากระยะไกลได้ น่าสังเกตว่าโครงสร้างพื้นฐานของ CDNJS มีการอัปเดตไลบรารีเป็นอัตโนมัติโดยเรียกใช้สคริปต์บนเซิร์ฟเวอร์เป็นระยะ เพื่อดาวน์โหลดไฟล์ที่เกี่ยวข้องจากที่เก็บ Git ซึ่งมีการจัดการโดยผู้ใช้หรือรีจิสตรีแพ็กเกจ npm

RyotaK พบว่า "สามารถเรียกใช้โค้ดได้ หลังจากดำเนินการ path traversal จากไฟล์ .tgz ไปยัง npm และเขียนทับสคริปต์ที่ทำงานเป็นประจำบนเซิร์ฟเวอร์" และ “ช่องโหว่นี้สามารถโจมตีได้โดยไม่ต้องใช้ทักษะพิเศษใดๆ แต่ก็สามารถส่งผลกระทบต่อเว็บไซต์จำนวนมากได้ ทำให้เป็นไปได้ว่าจะเกิดการโจมตีช่องโหว่นี้ในลักษณะ Supply-chain ได้"

เป้าหมายของการโจมตีคือการส่งแพ็คเกจที่สร้างขึ้นเป็นพิเศษไปยังที่เก็บ จากนั้นจะเลือกเซิร์ฟเวอร์อัปเดตไลบรารี CDNJS เพื่อเผยแพร่แพ็คเกจ กระบวนการคือการคัดลอกเนื้อหาของแพ็คเกจที่เป็นอันตรายไปยังโฮสต์ไฟล์สคริปต์ปกติที่เรียกใช้งานเป็นประจำบนเซิร์ฟเวอร์ ส่งผลให้มีการเรียกใช้โค้ดอันตรายได้

นี่ไม่ใช่ครั้งแรกที่นักวิจัยด้านความปลอดภัยค้นพบช่องโหว่ในลักษณะดังกล่าว โดยในเดือนเมษายน 2564 RyotaK ได้เปิดเผยช่องโหว่ที่สำคัญในที่เก็บ Homebrew Cask ซึ่งทำให้ผู้โจมตีสามารถรันโค้ดที่เป็นอันตรายได้บนเครื่องของผู้ใช้งาน

ที่มา : thehackernews

กลุ่มแฮกเกอร์ได้โชว์ถึงการเข้าถึงกล้องวงจรปิดแบบ Live ที่ถูกติดตั้งภายใน Tesla, Equinox และธนาคารแห่งหนึ่งในรัฐยูทาห์

กลุ่มแฮกเกอร์โชว์การเข้าถึงกล้องวงจรปิดแบบถ่าย Live ได้ ซึ่งกล้องวงจรปิดดังกล่าวถูกติดตั้งที่ Tesla, Equinox, คลินิกดูแลสุขภาพ, คุกและธนาคารแห่งหนึ่งในรัฐยูทาห์ โดยนอกจากภาพที่ถ่ายจากกล้องแล้วแฮกเกอร์ยังแชร์ภาพหน้าจอที่กลุ่มเเฮกเกอร์สามารถแฮกได้ ในการเข้าถึง root shell ของระบบเฝ้าระวังกล้องวงจรปิดที่ใช้ผ่านระบบ Cloudflare และที่ Telsa HQ ใช้

Tillie Kottmann ซึ่งเป็นทีม Reverse engineer ของกลุ่มเเฮกเกอร์ได้เปิดเผยว่าพวกเขาสามารถเข้าถึงระบบเฝ้าระวังกล้องวงจรปิดเหล่านี้ได้ โดยใช้บัญชีผู้ดูแลระบบของบริษัท Verkada ซึ่งเป็นบริษัทผู้ให้บริการเฝ้าระวังที่ทำงานร่วมกับองค์กรต่าง ๆ Kottmann ยังกล่าวอีกว่าเขาพบข้อมูล hardcoded credential สำหรับบัญชีผู้ดูแลระบบของ Verkada ใน DevOps infrastructure ที่ถูกเปิดเผยก่อนหน้านี้

ทั้งนี้สำนักข่าว Bloomberg ซึ่งรายงานการโจมตีและได้ติดต่อบริษัท Verkada ถึงเรื่องที่กลุ่มแฮกเกอร์เข้าถึงบัญชีผู้ดูแลระบบของบริษัท ซึ่ง Verkada ได้รับทราบและทำการปิดใช้งานบัญชีผู้ดูแลระบบภายในทั้งหมดแล้วเพื่อป้องกันการเข้าถึงโดยไม่ได้รับอนุญาต โดยทีมรักษาความปลอดภัยภายในและภายนอกบริษัทกำลังตรวจสอบเหตุการณ์ที่เกิดขึ้นจากนั้นจะแจ้งให้หน่วยงานบังคับใช้กฎหมายทราบแล้วอีกครั้งภายหลัง

ที่มา: bleepingcomputer

พบกลุ่ม APT ใช้วิธี OAuth Consent Phishing โจมตีบัญชีผู้ใช้ Microsoft Office 365

นักวิจัยด้านความปลอดภัยจาก Proofpoint ได้เผยการตรวจพบกลุ่ม APT ที่ชื่อ TA2552 ใช้วิธีฟิชชิงโดยการใช้ระบบ OAuth2 (มาตรฐานของระบบการยืนยันตัวตนและจัดการสิทธิ์การเข้าใช้งานในระบบต่างๆ ที่จะเปิดให้ third-party application เข้าถึงและจัดการสิทธิ์บัญชี) ในการเข้าถึงบัญชี Office 365 เพื่อขโมยรายชื่อติดต่อและอีเมลของผู้ใช้

กลุ่ม TA2552 ได้ทำการแอบอ้างเป็น Servicio de Administración Tributaria (SAT) ซึ่งเป็นหน่วยงานด้านภาษีของเม็กซิโก, Netflix Mexico และ Amazon Prime Mexico ทำการส่งอีเมลที่สร้างขึ้นมาเป็นพิเศษและมีเนื้อหาอีเมลที่เกี่ยวข้องภาษีและเนื้อหาที่เกี่ยวข้องกับการพบปัญหาในบัญชีผู้ใช้ Netflix Mexico และ Amazon Prime Mexic เมื่อเหยื่อทำการคลิกลิงก์ที่อยู่ภายใน เหยื่อจะถูกรีไดเร็คไปยังการลงชื่อเข้าใช้บัญชี O365 (Office 365) และเมื่อลงชื่อเข้าใช้ O365 เว็บไซต์ของผู้ประสงค์ร้าย ที่ถูกสร้างด้วยการลงทะเบียนผ่าน Namecheap และโฮสต์บน Cloudflare จะร้องขอสิทธิ์การเข้าถึงแอปพลิเคชันแบบ read-only เมื่อผู้ใช้กดยอมรับก็จะเปิดทางให้ผู้ประสงค์ร้ายสามารถเข้าถึงรายชื่อผู้ติดต่อ, โปรไฟล์และอีเมลของผู้ใช้

จาการอนุญาตสิทธิ์ในการเข้าถึงข้อมูลจะทำให้ผู้ประสงค์ร้ายสามารถสอดแนมในบัญชีเพื่อทำการขโมยข้อมูลหรือแม้แต่การขัดขวางข้อความการร้องขอรีเซ็ตรหัสผ่านจากบัญชีอื่น เช่น Online Banking

ทั้งนี้ผู้ใช้ควรมีความระมัดระวังในการใช้งานอีเมล เมื่อพบข้อความและเนื้อหาอีเมลมาจากหน่วยงานหรือระบบที่เราไม่รู้จักควรทำการตรวจสอบเเหล่งที่มาของอีเมลเพื่อเป็นการป้องกันการตกเป็นเหยื่อของผู้ประสงค์ร้าย

ที่มา : threatpost

 

 

Cloudflare เปิดตัว Web Analytics เก็บสถิติการเข้าชมเว็บโดยไม่เก็บข้อมูลส่วนบุคคล

Cloudflare ออกผลิตภัณฑ์ฟรีใหม่ภายใต้ชื่อ Web Analytics โดยเป็นผลิตภัณฑ์สำหรับเก็บสถิติการเข้าถึงเว็บไซต์โดยมีจุดเด่นหลักอยู่ความเป็นส่วน โดย Cloudflare Web Analytics สามารถทำงานโดยไม่มีการใช้วิธีการ tracking แบบ client-side เช่น การใช้ cookie หรือการเก็บข้อมูลใน local storage รวมไปถึงการเก็บข้อมูลหมายเลขไอพีแอดเดรสและ User-Agent

เทคโนโลยีเบื้่องหลังของ Cloudflare Web Analytics อยู่บนคอนเซ็ปต์ของคำว่า "visit" หรือการที่ผู้ใช้งานมีปฏิสัมพันธ์กับเว็บไซต์ Cloudflare ตรวจสอบการเข้าถึงของเว็บไซต์จาก HTTP Referer โดยตรวจสอบว่าค่าดังกล่าวจะต้องไม่เหมือนกับค่า Hostname ใน HTTP request เพื่อให้เห็นว่ามีการเข้าชมหน้าเว็บไซต์มากน้อยเพียงใด

เนื่องจากเทคโนโลยียังไม่ได้มีการเปิดให้ทดลองใช้ การตรวจสอบ Cloudflare Web Analytics สามารถเก็บข้อมูลให้สอดคล้องตาม GDPR และ/หรือ PDPA นั้นเป็นไปได้หรือไม่ แต่สำหรับผู้ที่อยากลองใช้งานเป็นคนแรก Cloudflare แนะนำให้เข้าไปที่ลงทะเบียนรอไว้ก่อนได้ที่ Cloudflare

ที่มา : Cloudflare

เหล่าโค้ชสอนเขียนโปรแกรมต้องชอบ! Cloudflare ออก API Shield ช่วยตรวจสอบและป้องกันการโจมตีผ่านทาง API ฟรี

Cloudflare ประกาศเปิดตัวผลิตภัณฑ์ใหม่ภายใต้ชื่อ API Shield โดยเป็นเซอร์วิสสำหรับช่วยตรวจสอบและควบคุมพฤติกรรมการเรียกใช้ API แบบ policy-based โดยรองรับ API ซึ่งใช้ JSON และมีแพลนที่จะขยายการซัพพอร์ตไปรองรับกลุ่ม API ที่รับส่งข้อมูลแบบไบนารี เช่น gRPC

เบื้องหลังการทำงานของ API Shield อยู่ที่การสร้าง policy หรือ rule ผู้ใช้งานสามารถสร้าง API Shield rule ตาม OpenAPI scheme ตามคอนเซ็ปต์แบบ whitelist ระบบของ API Shield แน่นอนว่าผู้พัฒนาแอปจะต้องมีการตั้งค่าการเชื่อมต่อ TLS ให้ Cloudflare "เห็น" การรับ-ส่งข้อมูลเพื่อทำการตรวจสอบด้วย การรับ-ส่งข้อมูลซึ่งไม่ได้สอดคล้องตาม rule ใดๆ จะตกไปอยู่ใน deny-all policy ในทันที

ในภาพรวม API Shield ไม่ได้เป็นระบบพร้อมใช้ที่จะช่วยเพิ่มความปลอดภัยของการใช้ API ได้แบบ plug-n-play แต่มันเป็นระบบที่นักพัฒนาจะต้องมาตั้งค่าให้เหมาะสมเช่นเดียวกัน ดังนั้นหากนักพัฒนามีการตั้งค่าได้ไม่ดีพอ การมี API Shield มาช่วยตรวจสอบก็ไม่อาจมีประสิทธิภาพได้มากเท่าที่ควร

ผู้ที่มีบัญชีกับ Cloudflare แล้วจะสามารถเปิดใช้งาน API Shield ได้ทันทีโดยไม่เสียค่าใช้จ่าย

ที่มา : cloudflare

RangeAmp attacks can take down websites and CDN servers

“RangeAmp” เทคนิคการโจมตี DoS รูปแบบใหม่ที่สามารถทำให้เว็บไซต์และเซิร์ฟเวอร์ CDN หยุดให้บริการ

กลุ่มนักวิจัยจากสถาบันการศึกษาของจีนได้เผยเเพร่การค้นพบเทคนิคการโจมตี Denial-of-Service (DoS) รูปแบบใหม่ที่ชื่อว่า “RangeAmp” โดยใช้ประโยชน์จากแอตทริบิวต์ HTTP "Range Requests" ทำการขยายแพ็คเก็ต HTTP Requests เพื่อเพิ่มปริมาณและใช้ในการโจมตีเว็บไซต์และเซิร์ฟเวอร์ CDN

HTTP Range Requests เป็นมาตรฐานของ HTTP ที่จะอนุญาตให้ไคลเอนต์สามารถร้องขอส่วนหนึ่งของไฟล์อย่างเฉพาะเจาะจง ซึ่งช่วยให้เกิดการหยุดการเชื่อมต่อหรือร้องขอให้การเชื่อมต่อกลับมาเมื่อต้องเผชิญกับความไม่เสถียรของการเชื่อมต่อเครือข่าย ด้วยเหตุนี้จึงมีการอิมพลีเมนต์และรองรับโดยเว็บเบราว์เซอร์และเซิร์ฟเวอร์ CDN

กลุ่มนักวิจัยกล่าว่า การเทคนิคการโจมตี “RangeAmp” นั้นมีรูปแบบอยู่ 2 รูปแบบที่ต่างกันคือ

เทคนิคโจมตี RangeAmp Small Byte Range (SBR) ผู้โจมตีจะส่งคำร้องขอช่วง HTTP รูปแบบพิเศษไปยังผู้ให้บริการ CDN ซึ่งจะเพิ่มปริมาณการรับส่งข้อมูลไปยังเซิร์ฟเวอร์ปลายทางเพื่อทำให้เว็บไซต์เป้าหมายเสียหายและหยุดให้บริการ การโจมตีด้วยเทคนิคนี้สามารถขยายทราฟฟิกจากแพ็คเก็ตการส่งปกติไปจนถึง 724 ถึง 43,330 เท่าของทราฟฟิกเดิม
เทคนิคโจมตี RangeAmp Overlapping Byte Ranges (OBR) ผู้โจมตีจะส่งคำขอ HTTP รูปแบบพิเศษไปยังผู้ให้บริการ CDN ทราฟฟิคจะเกิดการขยายขึ้นภายในเซิร์ฟเวอร์ CDN ซึงจะทำให้เกิดการโจมตี DoS ได้ทั้งเว็บไซต์ปลายทางและเซิร์ฟเวอร์ CDN การโจมตีด้วยเทคนิคนี้สามารถขยายทราฟฟิกจากการโจมตีได้ถึง 7,500 เท่าจากแพ็คเก็ตการส่งปกติ

นักวิจัยกล่าวว่าเทคนิคโจมตี “RangeAmp” นี้มีส่งผลต่อผู้ให้บริการเซิร์ฟเวอร์ CDN หลายเจ้าได้เเก่ Akamai, Alibaba Cloud, Azure, Cloudflare, CloudFront, CDNsun, CDN77, Fastly, Labs G-Core, Huawei Cloud, KeyCDN และ Tencent Cloud

ทั้งนี้ผู้ที่สนใจเทคนิคการโจมตี “RangeAmp” สามารถอ่านรายละเอียดเพิ่มเติมได้ที่: liubaojun

ที่มา: zdnet

Misconfigured Memcached Servers Abused to Amplify DDoS Attacks

อาชญากรไซเบอร์ที่อยู่เบื้องหลังการโจมตี DDoS ได้เพิ่มเทคนิคใหม่ช่วยให้สามารถโจมตีแบบ Amplify Attacks มากถึง 51,200x โดยใช้ Misconfigured Memcached Servers ที่สามารถเข้าถึงได้ผ่านทางอินเทอร์เน็ตสาธารณะ

เทคนิคนี้รายงานโดย Akamai, Arbor Networks และ Cloudflare เมื่อวันอังคารที่ผ่านมา มีการสังเกตเห็นการโจมตี DDoS โดยใช้แพคเก็ต User Datagram Protocol (UDP) เพื่อขยายทราฟฟิก Response ให้มีขนาดใหญ่กว่าทราฟฟิก Request โดยใช้ Memcached Servers

การโจมตีแบบ Reflection จะเกิดขึ้นเมื่อผู้โจมตีทำการปลอมหมายเลข IP ของเหยื่อแล้วส่ง Request ไปยังเครื่องจำนวนมาก ทำให้เกิด Response ขนาดใหญ่ถูกส่งกลับไปยังเป้าหมายตามหมายเลข IP ซึ่งจะทำให้เครือข่ายดังกล่าวล้มเหลว การโจมตี DDoS ประเภทนี้แตกต่างจากการโจมตี Amplification Attacks ในการโจมตีแบบ Amplification Attacks ผู้โจมตีจะส่งคำขอแพ็คเก็ต UDP ที่มีไบต์ขนาดเล็กไปยัง Memcached Server ที่เปิดใช้พอร์ต 11211

Majkowski กล่าวว่า “15 bytes ของ Request ที่ส่งมาทำให้เกิด Response ขนาด 134 KB นี่เป็นการโจมตี Amplification Factor ระดับ 10,000x! ในทางปฏิบัติ เราพบว่า Request ขนาด 15 bytes ทำให้เกิด Response ขนาด 750 KB (ขยายถึง 51,200x)”

Recommendation : การป้องการโจมตีควรกำหนดการตั้งค่า Firewall หรือปิดพอร์ต UDP 11211 ในกรณีที่ไม่มีการใช้งาน

ที่มา : Threatpost

Cloudflare Now Provides Unmetered DDoS Mitigation Without Extra Costs

Cloudflare ได้ออกมาประกาศว่าจะไม่คิดค่าบริการเพิ่มสำหรับ surge protection และยังสัญญาว่าจะไม่ทิ้งลูกค้า ไม่ว่าจะจ่ายค่าบริการอยู่ในระดับใดก็ตาม หรือมีการโจมตีหนักมากแค่ไหน ซึ่งมาตรการนี้เรียกว่า Unmetered Mitigation (คือกันได้แบบไม่คิดมิเตอร์ ไม่มีชาร์จเพิ่ม)
ทาง Matthew Prince ซึ่งเป็น CEO ของ Cloudflare ได้ออกมาบอกว่าปัจจุบันพวกเขาสามารถป้องกันการโจมตีของ DDoS โดยไม่กระทบต่อลูกค้ารายอื่นๆ และสามารถรองรับ request ของ DDoS ได้ถึง 15 Tbps
เหตุการณ์ที่เกิดขึ้นถูกเรียกในชื่อ surge protection โดยเริ่มต้นมาจากการถูกโจมตีด้วย DDoS ทำให้ทางบริษัทที่รับป้องกันมองว่าหากต้องการการป้องกันที่มากขึ้นก็จำเป็นต้องจ่ายมากขึ้น หรือหากมากเกินกว่าที่ตัวบริษัทจะทำได้ก็อาจจะต้องยกเลิกบริการที่ให้กับลูกค้ารายนั้น Cloudflare จึงอออกประกาศดังกล่าวมาเพื่อช่วยเหลือลูกค้า

ที่มา : BleepingComputer