นักวิจัยด้าน Ermetic บริษัทรักษาความปลอดภัยโครงสร้างพื้นฐานบนระบบคลาวด์ของอิสราเอล พบช่องโหว่ระดับ Critical บน Microsoft Azure ที่ทำให้ผู้โจมตีสามารถสั่งรันโค้ดที่เป็นอันตรายจากระยะไกล (Remote Code Execution (RCE)) เพื่อเข้าควบคุมแอปพลิเคชันเป้าหมายได้

โดย Ermetic อธิบายช่องโหว่นี้ว่าเกิดจาก CSRF (cross-site request forgery) บน Kudu ซึ่งเป็นบริการ SCM ที่ใช้อย่างแพร่หลาย แล้วทำการส่งไฟล์ ZIP ที่ฝังเพย์โหลดอันตรายไปยังแอปพลิเคชัน Azure ของเป้าหมาย โดยได้เรียกวิธีการโจมตีนี้ว่า EmojiDeploy

Kudu คือเครื่องมือที่อยู่เบื้องหลังการทำงานของ Azure App Service ที่เกี่ยวข้องกับ source control based deployment เช่นเดียวกับ Dropbox และ OneDrive sync

การโจมตี

นักวิจัยได้อธิบายขั้นตอนการโจมตี ดังนี้

Hacker โจมตีผ่านช่องโหว่ CSRF ใน Kudu SCM panel ทำให้สามารถหลีกเลี่ยงการป้องกันและส่ง request ที่สร้างขึ้นเป็นพิเศษไปที่ "/api/zipdeploy" เพื่อส่งไฟล์ ZIP ที่เป็นอันตราย เช่น web shell และทำให้สามารถเข้าควบคุมระบบจากระยะไกลได้
ไฟล์ ZIP ที่เป็นอันตรายจะถูก encoded ในส่วนของ body ของ HTTP request เมื่อถูกเปิดขึ้นมา มันจะเรียกไปยังโดเมนที่ถูกควบคุมโดย Hacker ผ่าน web shell เพื่อหลบเลี่ยงการตรวจสอบ

การค้นพบนี้เกิดขึ้นหลังจาก Orca Security ได้เปิดเผยการโจมตี 4 ครั้งของการโจมตี server-side request forgery (SSRF) ที่ส่งผลกระทบต่อ Azure API Management, Azure Functions, Azure Machine Learning และ Azure Digital Twins หลังจากนั้น Microsoft ได้แก้ไขช่องโหว่ในวันที่ 6 ธันวาคม 2022 หลังจากการเปิดเผยช่องโหว่เมื่อวันที่ 26 ตุลาคม 2022 นอกจากนี้ Microsoft ยังได้มอบรางวัลให้แก่การรายงานช่องโหว่นี้เป็นมูลค่า 30,000 ดอลลาร์

การป้องกัน

ตรวจสอบการอนุญาตของแอปพลิเคชั่น และการกำหนดสิทธิในส่วนของการจัดการข้อมูลประจำตัว
จำกัดสิทธิ์การเข้าถึงให้น้อยที่สุดเพื่อความปลอดภัย

ที่มา : thehackernews

มีการเปิดเผยช่องโหว่ด้านความปลอดภัยหลายรายการในอุปกรณ์ F5 BIG-IP และ BIG-IQ ซึ่งหากโจมตีได้สำเร็จ จะสามารถเข้าถึงระบบของอุปกรณ์ F5 ได้

บริษัทด้านความปลอดภัยทางไซเบอร์ Rapid7 ระบุว่าช่องโหว่เหล่านี้อาจถูกนำไปใช้เพื่อเข้าถึงอุปกรณ์จากภายนอก โดยช่องโหว่นี้มีผลกระทบกับ BIG-IP เวอร์ชัน 13.x, 14.x, 15.x, 16.x และ 17.x และ BIG-IQ Centralized Management เวอร์ชัน 7.x และ 8.x

ช่องโหว่ที่มีระดับความรุนแรงสูง 2 รายการที่ถูกรายงานไปยัง F5 เมื่อวันที่ 18 สิงหาคม 2022 มีดังนี้

CVE-2022-41622 (คะแนน CVSS: 8.8) - ช่องโหว่ cross-site request forgery (CSRF) ผ่าน iControl SOAP นำไปสู่การเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกลได้โดยไม่ต้องผ่านการตรวจสอบสิทธิ์

CVE-2022-41800 (คะแนน CVSS: 8.7) - ช่องโหว่ iControl REST ที่ทำให้ผู้ใช้งานที่ได้สิทธิ์ user เป็น administrator สามารถ bypass ข้อจำกัดบน Appliance mode ได้

Ron Bowes นักวิจัยของ Rapid7 ระบุว่า "ผลกระทบที่ร้ายแรงที่สุดของช่องโหว่ (CVE-2022-41622) คือ ผู้โจมตีจะสามารถเข้าถึง management interface ของอุปกรณ์ได้ แม้ว่าจะไม่ได้เชื่อมต่ออินเทอร์เน็ตก็ตาม"

"ถึงแม้จะต้องมีเงื่อนไขบางอย่างจึงจะสามารถใช้ประโยชน์จากช่องโหว่ได้ เช่น ผู้ดูแลระบบที่มีเซสชันที่กำลังใช้งานอยู่ เชื่อมต่อไปยังเว็บไซต์ที่เป็นอันตรายที่ผู้โจมตีสร้างขึ้น รวมไปถึงผู้โจมตีจะต้องมีความเข้าใจบางอย่างเกี่ยวกับเครือข่ายเป้าหมายด้วย" Ron Bowes นักวิจัยของ Rapid7 ระบุในรายงาน

นอกจากนี้ยังมีการระบุถึงช่องโหว่การ security bypass 3 รายการ ซึ่ง F5 ระบุว่าจะไม่สามารถถูกโจมตีได้หากไม่สามารถเจาะผ่านอีกช่องโหว่หนึ่งก่อน (ซึ่งช่องโหว่ดังกล่าวยังไม่เคยถูกรายงานไว้)

โดยหากสามารถโจมตีได้สำเร็จ ผู้โจมตีจะสามารถใช้ Advanced Shell (bash) ในการเข้าถึงอุปกรณ์ และอาจใช้ช่องทางเหล่านี้ในการดำเนินการคำสั่งต่าง ๆ บนระบบ เช่น สร้าง, ลบไฟล์ หรือปิดการใช้งาน

แม้ว่า F5 จะยังไม่พบรายงานถึงการโจมตีด้วยช่องโหว่เหล่านี้ แต่ขอแนะนำให้ผู้ใช้งานติดตั้ง "engineering hotfix" ที่ F5 พึ่งเผยแพร่ออกมาเพื่อลดความเสี่ยงที่อาจจะเกิดขึ้น

ที่มา: thehackernews

 

นักวิจัยปล่อยข้อมูลช่องโหว่ zero-day ใน phpMyAdmin กระทบทุกรุ่น

นักวิจัยด้านความปลอดภัยได้ทำการเปิดเผยรายละเอียดเกี่ยวกับช่องโหว่ zero-day และเผยแพร่โค้ด proof-of-concept สำหรับช่องโหว่ในตัว phpMyAdmin ซึ่งเป็นหนึ่งในแอปที่โด่งดังในการจัดการฐานข้อมูล MySQL และ MariaDB บนเว็บไซต์ เป็น opensource

นักวิจัยและนักเจาะระบบ Manuel Garcia Cardenas พบช่องโหว่ที่ทำให้โจมตีด้วยวิธีการ cross-site request forgery (CSRF) หรือที่เรารู้จักในชื่อ XSRF ซึ่งเป็นการโจมตีที่หลอกให้ผู้ใช้งานทำสิ่งที่แฮกเกอร์ต้องการโดยไม่ตั้งใจ

ช่องโหว่ดังกล่าวได้รับ CVE-2019-12922 จัดอยู่ในระดับปานกลาง เนื่องจากมีข้อจำกัดที่อนุญาตให้ผู้โจมตีลบการตั้งค่าของเซิร์ฟเวอร์ในหน้าการตั้งค่า phpMyAdmin บนเซิร์ฟเวอร์ของเหยื่อเท่านั้น ไม่สามารถใช้เพื่อลบข้อมูลบนฐานข้อมูลได้

ผู้โจมตีจะต้องส่ง URL ที่สร้างขึ้นให้ผู้ดูแลเว็บไซต์เป้าหมายที่กำลังข้าถึง phpMyAdmin อยู่บนเบราว์เซอร์เดียวกันแล้วหลอกให้พวกเขาลบการตั้งค่าของเซิร์ฟเวอร์โดยไม่รู้ตัวเพียงแค่คลิก URL

ข้อบกพร่องมีผลต่อ phpMyAdmin เวอร์ชันสูงสุดและรวมถึง 4.9.0.1 ซึ่งเป็นซอฟต์แวร์รุ่นล่าสุดในขณะนี้ และยังกระทบ phpMyAdmin 5.0.0-alpha1 ซึ่งยังอยู่ในขั้นทดสอบ

Cardenas ค้นพบช่องโหว่นี้ในเดือนมิถุนายน 2562 และรายงานความรับผิดชอบไปยังผู้ดูแลโครงการ แต่ผู้ดูแลระบบ phpMyAdmin ไม่สามารถแก้ไขช่องโหว่ภายใน 90 วันหลังจากได้รับแจ้ง นักวิจัยจึงตัดสินใจที่จะเปิดเผยรายละเอียดช่องโหว่และ PoC ต่อสาธารณะในวันที่ 13 กันยายน ผู้ดูแลเว็บไซต์และผู้ให้บริการโฮสต์ขอแนะนำให้หลีกเลี่ยงการคลิกลิงก์ที่น่าสงสัยจนกว่าผู้ดูแลโครงการ phpMyAdmin จะแก้ไขช่องโหว่

ที่มา:thehackernews