Hacker ขโมยข้อมูลมากกว่า 2 ล้านรายการ ด้วยการโจมตี SQL injection และ Cross-site Scripting (XSS)

กลุ่ม Hacker ในชื่อ 'ResumeLooters' ได้ขโมยข้อมูลส่วนบุคคลของผู้สมัครงานมากกว่าสองล้านรายการ หลังการโจมตีเว็บไซต์หางาน และเว็บไซต์ค้าปลีก 65 แห่ง โดยใช้การโจมตีแบบ SQL injection และ Cross-site Scripting (XSS)

โดยกลุ่ม ResumeLooters มุ่งเน้นการโจมตีไปที่ภูมิภาค APAC เป็นหลัก โดยกำหนดเป้าหมายไปยัง ออสเตรเลีย ไต้หวัน จีน ไทย อินเดีย และเวียดนาม เพื่อขโมยชื่อผู้หางาน ที่อยู่อีเมล หมายเลขโทรศัพท์ ประวัติการทำงาน การศึกษา และข้อมูลอื่น ๆ ที่เกี่ยวข้อง

ตามข้อมูลของ Group-IB ซึ่งได้ติดตามกลุ่ม Hacker ดังกล่าวตั้งแต่เดือนพฤศจิกายน 2023 พบว่า ResumeLooters พยายามขายข้อมูลที่ถูกขโมยผ่านช่องทาง Telegram (more…)

แฮ็กเกอร์พุ่งเป้าโจมตีช่องโหว่ของปลั๊กอิน WordPress ภายหลังจากที่มีการเปิดเผย PoC ออกมา

แฮ็กเกอร์กำลังใช้ประโยชน์จากช่องโหว่ที่พึ่งจะได้รับการแก้ไขไปแล้วเมื่อเร็ว ๆ นี้ ในปลั๊กอิน Advanced Custom Fields ของ WordPress เพียงแค่ประมาณ 24 ชั่วโมงหลังจากที่มีการเผยแพร่ PoC ออกสู่สาธารณะ

ช่องโหว่ดังกล่าวมีหมายเลข CVE-2023-30777 ซึ่งเป็นช่องโหว่ cross-site scripting (XSS) ที่มีระดับความรุนแรงสูง ซึ่งทำให้ผู้โจมตีที่ไม่ผ่านการตรวจสอบสิทธิ์สามารถขโมยข้อมูลที่มีความสำคัญ และเพิ่มสิทธิ์ในเว็บไซต์ WordPress ที่มีช่องโหว่ได้

ช่องโหว่ดังกล่าวถูกพบโดย Patchstack บริษัทรักษาความปลอดภัยของเว็บไซต์เมื่อวันที่ 2 พฤษภาคม 2023 และมีการเผยแพร่ PoC ออกมาในวันที่ 5 พฤษภาคม 2023 หนึ่งวันหลังจากนั้น ผู้ให้บริการปลั๊กอินดังกล่าวได้มีการอัปเดตแพตซ์ด้านความปลอดภัยด้วยเวอร์ชัน 6.1.6

รายงานจาก Akamai Security Intelligence Group (SIG) พบว่า ตั้งแต่วันที่ 6 พฤษภาคม 2023 Akamai สังเกตเห็นพฤติกรรมการสแกน และการใช้ประโยชน์จากช่องโหว่โดยใช้โค้ดตัวอย่างที่ให้ไว้ในบทความของ Patchstack

Akamai SIG วิเคราะห์ข้อมูลการโจมตีแบบ XSS และระบุได้ว่าพบการโจมตีที่เริ่มต้นภายใน 24 ชั่วโมงหลังจากที่ PoC ถูกเผยแพร่ออกสู่สาธารณะ

สิ่งที่น่าสนใจคือ Query ที่ผู้โจมตีใช้ เป็นการคัดลอก และใช้ Code ตัวอย่างที่ Patchstack เป็นคนเขียน

มีการตรวจสอบพบว่ากว่า 1.4 ล้านเว็บไซต์ที่ใช้ปลั๊กอิน WordPress ที่ได้รับผลกระทบ ยังไม่ได้อัปเกรดเป็นเวอร์ชันล่าสุดตามสถิติของ wordpress.

Apple ออกแพตช์ฉุกเฉินเพื่อแก้ไขปัญหาความปลอดภัยบนอุปกรณ์ ควรติดตั้งแพตช์ดังกล่าวทันที

แพตช์ที่ออกมาเป็นการแก้ปัญหา zero-day ที่พบ โดยอุปกรณ์ที่ได้รับผลกระทบครอบคลุมทั้ง iPhones, iPads และ Apple Watches ที่ยังรองรับการใช้งานระบบปฏิบัติการ iOS 12 อยู่ มีรายการเวอร์ชันอัปเดต ดังต่อไปนี้

iOS 14 (iPhones ล่าสุด) ให้อัปเดตเป็น 14.4.2
iOS 12 (iPhones เก่า และ iPads) ให้อัปเดตเป็น 12.5.2
iPadOS 14 ให้อัปเดตเป็น 14.4.2
watchOS ให้อัปเดตเป็น 7.3.3

เป็นการแก้ปัญหาช่องโหว่ในส่วนของ WebKit ที่เป็น core web browser ของ Apple, cross-site scripting (XSS) และ Same Origin Policy (SOP) โดยช่องโหว่ดังกล่าว มีผลให้ผู้ไม่หวังดีสามารถเข้าถึงข้อมูลส่วนตัวที่ไม่ต้องการเปิดเผย, สั่งรันคำสั่งอันตรายบนเครื่อง (RCE) หรือ ยกระดับสิทธิ์ (EoP) ได้

ที่มา: nakedsecurity

Adobe เปิดตัวแพตช์แก้ไขช่องโหว่ระดับ “Critical” ใน Adobe Creative Cloud Desktop, Framemaker และ Connect

Adobe เปิดตัวแพตช์การอัปเดตด้านความปลอดภัยที่แก้ไขช่องโหว่ใน Adobe Creative Cloud Desktop, Adobe Framemaker และ Adobe Connect

โดยรวมแล้วแพตช์อัปเดตด้านความปลอดภัยที่ได้รับการเเก้ไขช่องโหว่มีจำนวน 8 รายการ ซึ่งส่วนใหญ่เป็นช่องโหว่ที่มีความรุนแรงระดับ Critical และเป็นช่องโหว่การเรียกใช้โค้ดโดยไม่ได้รับอนุญาต โดยรายละเอียดของช่องโหว่ที่สำคัญมีดังนี้

ช่องโหว่ใน Adobe Framemaker จำนวน 1 รายการ ติดตามด้วยรหัส CVE-2021-21056 โดยช่องโหว่จะทำให้ผู้โจมตีสามารถเรียกใช้โค้ดได้โดยไม่ได้รับอนุญาต ใน Adobe Framemaker เวอร์ชัน 2019.0.8 และต่ำกว่า สำหรับ Windows
ช่องโหว่ใน Adobe Creative Cloud Desktop จำนวน 3 รายการ ติดตามด้วยรหัส CVE-2021-21068, CVE-2021-21078 และ CVE-2021-21069 โดยช่องโหว่ 2 รายการแรกจะทำให้ผู้โจมตีสามารถเรียกใช้โค้ดได้โดยไม่ได้รับอนุญาต และช่องโหว่ที่สามเป็นช่องโหว่นำไปสู่การยกระดับสิทธิ์ของผู้ใช้ ซึ่งช่องโหว่ทั้ง 3 รายการจะส่งผลกระทบกับ Adobe Creative Cloud Desktop เวอร์ชัน 5.3 และเวอร์ชันก่อนหน้า สำหรับ Windows และ Mac OS
ช่องโหว่ใน Adobe Connect จำนวน 4 รายการ ติดตามด้วยรหัส CVE-2021-21085, CVE-2021-21079, CVE-2021-21079 และ CVE-2021-21081 โดยช่องโหว่แรกเป็นช่องโหว่การตรวจสอบอินพุตข้อมูลที่ไม่เหมาะสมและช่องโหว่อีก 3 รายการเป็นช่องโหว่ Cross-Site Scripting (XSS) ซึ่งช่องโหว่จะส่งผลกระทบกับ Adobe Connect เวอร์ชัน 11.0.5 และเวอร์ชันก่อนหน้า

ทั้งนี้ผู้ใช้ผลิตภัณฑ์ของ Adobe ควรทำการอัปเดตแพตช์ให้เป็นเวอร์ชันล่าสุดเพื่อป้องกันการตกเป็นเป้าหมายของผู้ประสงค์ร้าย

ที่มา: bleepingcomputer

Adobe ออกเเพตช์แก้ไขช่องโหว่ที่มีความรุนแรงระดับ Critical ในผลิตภัณฑ์ Adobe Lightroom, Adobe Prelude และ Adobe Experience Manager

Adobe เปิดตัวการอัปเดตแพตช์ด้านความปลอดภัย 4 รายการ เพื่อแก้ไขช่องโหว่ที่มีความรุนแรงระดับ Critical และส่งผลต่อผลิตภัณฑ์ Adobe Lightroom, Adobe Experience Manager (AEM) และ Adobe Prelude เวอร์ชัน Windows และ macOS โดยช่องโหว่มีรายละเอียดดังนี้

ช่องโหว่ CVE-2020-24440 เป็นช่องโหว่ประเภท Uncontrolled search path โดยช่องโหว่จะทำให้ผู้โจมตีสามารถรันโค้ดได้โดยไม่ต้องรับอนุญาตใน Adobe Prelude เวอร์ชันก่อนหน้า 9.0.1 สำหรับ Windows และ macOS
ช่องโหว่ CVE-2020-24447 เป็นช่องโหว่ประเภท Uncontrolled Search Path Element โดยช่องโหว่จะทำให้ผู้โจมตีสามารถรันโค้ดได้โดยไม่ต้องรับอนุญาตใน Adobe Lightroom Classic เวอร์ชันก่อนหน้า 10.0
ช่องโหว่ CVE-2020-24444 และ CVE-2020-24445 เป็นช่องโหว่ประเภท Blind server-side request forgery และ Cross-site scripting (XSS) ตามลำดับ โดยช่องโหว่จะทำให้ผู้โจมตีสามารถเข้าถึงข้อมูลที่ละเอียดอ่อนและเรียกใช้โค้ด JavaScript ในเบราว์เซอร์ได้โดยไม่ต้องรับอนุญาตและช่องโหว่จะมีผลกระทบกับ Adobe Experience Manager (AEM) เวอร์ชันก่อนหน้า 6.5.6.0, 6.4.8.2, 6.3.3.8 และ 6.2 SP1-CFP20
ทั้งนี้ผู้ใช้งานผลิตภัณฑ์ Adobe Lightroom, Adobe Experience Manager (AEM) และ Adobe Prelude เวอร์ชัน Windows และ macOS ควรทำการอัฟเดตแพตซ์ความปลอดภัยให้เป็นเวอร์ชันล่าสุดเพื่อเป้นการป้องกันการตกเป็นเหยื่อจากผู้ประสงค์ร้ายใช้ประโยชน์จากช่องโหว่ทำการโจมตี

ที่มา: bleepingcomputer

แจ้งเตือนช่องโหว่ใน Microsoft Teams ทำ RCE ได้โดยผู้ใช้ไม่ต้องจับเมาส์ แถมเอาทำมัลแวร์ได้อีก

นักวิจัยด้านความปลอดภัย Oskars Vegeris จาก Evolution Gaming ได้ออกมาประกาศถึงรายละเอียดของช่องโหว่ด้านความปลอดภัยใน Microsoft Teams ซึ่้งได้มีการแจ้งเข้าไปยังไมโครซอฟต์ตั้งแต่เดือนสิงหาคมที่ผ่านมา ก่อนจะถูกไมโครซอฟต์ปฏิเสธไม่กำหนด CVE ให้เนื่องจาก Policy ของไมโครซอฟต์นั้นกำหนดไว้ว่าทางไมโครซอฟต์จะไม่กำหนด CVE ให้กับกลุ่มผลิตภัณฑ์ที่มีกลไกการอัปเดตโดยอัตโนมัติ

จากรายละเอียดของช่องโหว่ที่เปิดเผยโดย Oskars เอง ช่องโหว่ดังกล่าวเป็นช่องโหว่ในลักษณะ Remote code execution (RCE) ซึ่งจะทำงานทันทีที่ผู้ใช้งานเห็นข้อความที่ถูกส่งมาจาก Microsoft Teams โดยมีที่มาจากปัญหา Cross-site scripting (XSS) ในฟังก์ชันเกี่ยวกับ mention ชื่อผู้ใช้งานอื่นซึ่งนำไปสู่การทำ RCE ช่องโหว่สามารถถูกพัฒนาให้แพร่กระจายมัลแวร์ได้ด้วยตัวเอง ทำให้ช่องโหว่ดังกล่าวถูกระบุว่าเป็นช่องโหว่ Wormable ด้วย

ช่องโหว่นี้ส่งผลกระทบกับ Microsoft Team ทุกแพลตฟอร์ม ได้แก่ Microsoft Teams for Windows (v1.3.00.21759), Linux (v1.3.00.16851), macOS (v1.3.00.23764) และแพลตฟอร์ม web (teams.

SAP ออกเเพตซ์เเก้ไขช่องโหว่จำนวน 19 รายการ ในเเพตซ์ประจำเดือนพฤศจิกายน 2020

SAP ออกเเพตซ์การอัปเดตความปลอดภัยประจำเดือนพฤศจิกายน 2020 โดยในเดือนพฤศจิกายนนี้ SAP ได้ออกเเพตซ์เเก้ไขช่องโหว่ที่สำคัญ 19 รายการ ซึ่งช่องโหว่ที่ได้รับการเเก้ไขนี้จะส่งผลกระทบต่อผลิตภัณฑ์ Solution Manager (SolMan), Data Services, ABAP, S4/HANA และ NetWeaver อย่างไรก็ดีช่องโหว่ที่ความสำคัญมีรายละเอียดดังนี้

ช่องโหว่ CVE-2020-26821, CVE-2020-26822, CVE-2020-26823, CVE-2020-26824 และ CVE-2020-6207 (CVSSv3: 10/10) เป็นช่องโหว่ที่เกิดจากปัญหาในการตรวจสอบการพิสูจน์ตัวตนใน SAP Solution Manager (Java stack) ช่องโหว่จะมีผลกระทบกับ SAP Solution Manager (JAVA stack) เวอร์ชัน 7.2
ช่องโหว่ CVE-2019-0230, CVE-2019-0233 (CVSSv3: 9.8/10) เป็นช่องโหว่ภายใน SAP Data Services โดยช่องโหว่จะมีผลกระทบกับ SAP Data Services เวอร์ชัน 4.2
ช่องโหว่ CVE-2020-26808 (CVSSv3: 9.1/10) เป็นช่องโหว่ Code injection ใน SAP AS ABAP และ S/4 HANA (DMIS) โดยช่องโหว่จะมีผลกระทบกับ SAP AS ABAP(DMIS) เวอร์ชัน 2011_1_620, 2011_1_640, 2011_1_700, 2011_1_710, 2011_1_730, 2011_1_731, 2011_1_752, 2020 และ SAP S4 HANA(DMIS) เวอร์ชัน 101, 102, 103, 104, 105
ช่องโหว่ CVE-2020-26820 เป็นช่องโหว่การยกระดับสิทธิ หรือ Privilege escalation ใน SAP NetWeaver Application Server for Java (UDDI Server) โดยช่องโหว่จะมีผลกระทบกับ SAP NetWeaver AS Java เวอร์ชัน 7.20, 7.30, 7.31, 7.40, 7.50
ช่องโหว่ CVE-2020-6284 เป็นช่องโหว่ Cross-site scripting (XSS) ใน SAP NetWeaver โดยช่องโหว่จะมีผลกระทบกับ SAP NetWeaver เวอร์ชัน 7.30, 7.31, 7.40, 7.50

ทั้งนี้ผู้ดูแลระบบและผู้ใช้งานควรรีบทำการอัปเดตเเพตซ์เป็นการด่วนเพื่อเป็นการป้องกันผู้ประสงค์ร้ายใช้ประโยชน์จากช่องโหว่ทำการโจมตีระบบ

ที่มา: wiki.

GitHub เปิดตัวฟีเจอร์ความปลอดภัยใหม่ “Code Scanning” ให้กับผู้ใช้ทุกคน

GitHub ได้เปิดตัวฟีเจอร์ด้านความปลอดภัยใหม่ที่ชื่อว่า Code Scanning สำหรับผู้ใช้ทุกคนทั้งในบัญชีแบบชำระเงินและบัญชีฟรี

ฟีเจอร์ด้านความปลอดภัยใหม่นี้จะช่วยสแกนหาโค้ดที่ช่องโหว่ให้ผู้ใช้งานเพื่อช่วยทำการวิเคราะห์เมื่อเกิดการส่งคำขอ Pull Requests, Commit และ Merge ซึ่งเมื่อตรวจพบช่องโหว่ Code Scanning จะทำงานโดยแจ้งเตือนให้นักพัฒนาแก้ไขโค้ดของตน

ฟีเจอร์ Code Scanning จะทำงานความสามารถของ CodeQL (Code query language) ซึ่งเป็นเทคโนโลยีของ GitHub ที่ได้นำมาใช้ในแพลตฟอร์มหลังจากทำการซื้อกิจการมาจาก Semmle ซึ่งด้วยความสามารถของ CodeQL นี้จะช่วยให้นักพัฒนาสามารถเขียน Rule เพื่อตรวจหาช่องโหว่ในโค้ดได้ในปริมาณมากๆ

หลังจากทีมงาน GitHub เปิดให้ผู้ทดสอบเบต้าทดสอบมาตั้งเเต่เดือนพฤษภาคมที่ผ่านมา โดยฟีเจอร์นี้ได้ทำการทดสอบการสแกนหาช่องโหว่ไปแล้วกว่า 1,400,000 ครั้งกับ repository จำนวน 12,000 แห่ง ซึ่งช่องโหว่ที่ถูกพบและสามารถระบุได้หลักๆ จำนวนกว่า 20,000 รายการคือ ช่องโหว่การเรียกใช้โค้ดจากระยะไกล (Remote Code Execution - RCE), SQL Injection และ Cross-Site Scripting (XSS)

ทั้งนี้ผู้ใช้งานจะถูกแจ้งเตือนให้เปิดใช้งานฟีเจอร์ดังกล่าวหรือผู้ใช้งานสามารถเปิดการใช้งานฟีเจอร์ได้ด้วยตนเอง โดยการเข้าไปที่แท็บ ‘Security’ และในช่อง Code Scanning ให้เลือก Set up code scanning เพื่อเปิดใช้งาน

ที่มา : zdnet

 

SAP Releases 5 Security Notes on December 2019 Patch Day

 

SAP ออกแพตช์ความปลอดภัยประจำเดือนธันวาคม 2019

SAP ได้ออกบันทึกด้านความปลอดภัยใหม่ห้าฉบับในสัปดาห์นี้ซึ่งเป็นส่วนหนึ่งของแพตช์ความปลอดภัยประจำเดือนธันวาคม 2019 ช่องโหว่ใหม่นี้มีความรุนแรงระดับกลางและคะแนน CVSS ตั้งแต่ระหว่าง 6.7 และ 4.3

ช่องโหว่แรก คือ CVE-2019-0402 ซึ่งเป็นการเปิดเผยข้อมูลใน SAP Adaptive Server Enterprise ซึ่งส่งผลกระทบต่อแอปพลิเคชันเวอร์ชัน 15.7 และ 16.0
ถัดไปคือ CVE-2019-0395 ช่องโหว่ Cross-Site Scripting (XSS) ใน SAP Business Intelligence Platform เวอร์ชัน 4.2

ต่อมาเป็นช่องโหว่ใหม่คือ CVE-2019-0405, CVE-2019-0403 และ CVE-2019-0404 ซึ่งแสดงถึงปัญหาด้านความปลอดภัยหลายรายการใน SAP Enable Now รุ่น 1911
SAP ยังมีช่องโหว่ CVE-2019-0399 ด้วยซึ่งเป็นช่องโหว่เปิดเผยข้อมูลใน SAP Portfolio และ Project Management versions S4CORE 102, 103, EPPM 100, CPRXRPM 500_702, 600_740, 610_740

สุดท้ายคือการแก้ไข CVE-2019-0398 ช่องโหว่ Cross-Site Request Forgery (CSRF) ใน SAP BusinessObjects Business Intelligence แพลตฟอร์ม (Monitoring application) รุ่น 4.1, 4.2 และ 4.3

นอกจากช่องโหว่ใหม่แล้ว ยังมีการออกแพตช์เพิ่มเติมให้กับช่องโหว่วิกฤตที่เคยระบุไปในเดือนเมษายน 2018 ซึ่งรวมถึงการแก้ไขด้านความปลอดภัยสำหรับ SAP Business Client เวอร์ชัน 6.5

ที่มา :  securityweek

 

Intent to Deprecate and Remove: XSSAuditor1

เตรียมอำลา ฟีเจอร์ XSSAuditor ใน Google Chrome เตรียมถูกถอดถอนหลังถูกพิสูจน์แล้วว่าไม่ช่วยอะไร

ฟีเจอร์ XSS Auditor ใน Google Chrome ซึ่งเป็นหนึ่งในฟีเจอร์สำคัญที่ช่วยปกป้องผู้ใช้งานจากการโจมตีประเภท Cross-site scripting เตรียมเข้าสู่กระบวนการถอดถอนหลังจากที่มีการตรวจสอบแล้วว่าฟีเจอร์นี้ในปัจจุบันอาจสร้างปัญหามากกว่าแก้ไข

เหตุผลหลายประการที่นักพัฒนา Chromium ได้ให้เป็นเหตุผลในการถอดถอนฟีเจอร์ XSS Auditor นั้นได้แก่ กระบวนการตรวจจับที่ออกแบบมาให้ตรวจจับเฉพาะ Reflective XSS เป็นส่วนใหญ่และสามารถถูกบายพาสได้ด้วยหลายวิธีการ, การตรวจจับบางครั้งก็ทำให้เว็บไซต์บางรายไม่สามารถเข้าถึงและใช้งานได้ตามปกติ, ไม่มีการจัดการกับสิ่งที่เจออย่างมีประสิทธิภาพและยังนำไปสู่ช่องโหว่ประเภทใหม่ซึ่งชื่อว่า cross-site infoleaks อีกด้วย

กระบวนการทำงานโดยส่วนใหญ่ของกลุ่มเอนจิน anti-XSS นี้โดยส่วนใหญ่ใช้ regular expression ในการสร้างฟิลเตอร์ ซึ่งส่งผลให้โอกาสที่จะเกิด false positive นั้นมีมากขึ้น

ที่มา: groups.