นักวิจัยด้าน Ermetic บริษัทรักษาความปลอดภัยโครงสร้างพื้นฐานบนระบบคลาวด์ของอิสราเอล พบช่องโหว่ระดับ Critical บน Microsoft Azure ที่ทำให้ผู้โจมตีสามารถสั่งรันโค้ดที่เป็นอันตรายจากระยะไกล (Remote Code Execution (RCE)) เพื่อเข้าควบคุมแอปพลิเคชันเป้าหมายได้

โดย Ermetic อธิบายช่องโหว่นี้ว่าเกิดจาก CSRF (cross-site request forgery) บน Kudu ซึ่งเป็นบริการ SCM ที่ใช้อย่างแพร่หลาย แล้วทำการส่งไฟล์ ZIP ที่ฝังเพย์โหลดอันตรายไปยังแอปพลิเคชัน Azure ของเป้าหมาย โดยได้เรียกวิธีการโจมตีนี้ว่า EmojiDeploy

Kudu คือเครื่องมือที่อยู่เบื้องหลังการทำงานของ Azure App Service ที่เกี่ยวข้องกับ source control based deployment เช่นเดียวกับ Dropbox และ OneDrive sync

การโจมตี

นักวิจัยได้อธิบายขั้นตอนการโจมตี ดังนี้

Hacker โจมตีผ่านช่องโหว่ CSRF ใน Kudu SCM panel ทำให้สามารถหลีกเลี่ยงการป้องกันและส่ง request ที่สร้างขึ้นเป็นพิเศษไปที่ "/api/zipdeploy" เพื่อส่งไฟล์ ZIP ที่เป็นอันตราย เช่น web shell และทำให้สามารถเข้าควบคุมระบบจากระยะไกลได้
ไฟล์ ZIP ที่เป็นอันตรายจะถูก encoded ในส่วนของ body ของ HTTP request เมื่อถูกเปิดขึ้นมา มันจะเรียกไปยังโดเมนที่ถูกควบคุมโดย Hacker ผ่าน web shell เพื่อหลบเลี่ยงการตรวจสอบ

การค้นพบนี้เกิดขึ้นหลังจาก Orca Security ได้เปิดเผยการโจมตี 4 ครั้งของการโจมตี server-side request forgery (SSRF) ที่ส่งผลกระทบต่อ Azure API Management, Azure Functions, Azure Machine Learning และ Azure Digital Twins หลังจากนั้น Microsoft ได้แก้ไขช่องโหว่ในวันที่ 6 ธันวาคม 2022 หลังจากการเปิดเผยช่องโหว่เมื่อวันที่ 26 ตุลาคม 2022 นอกจากนี้ Microsoft ยังได้มอบรางวัลให้แก่การรายงานช่องโหว่นี้เป็นมูลค่า 30,000 ดอลลาร์

การป้องกัน

ตรวจสอบการอนุญาตของแอปพลิเคชั่น และการกำหนดสิทธิในส่วนของการจัดการข้อมูลประจำตัว
จำกัดสิทธิ์การเข้าถึงให้น้อยที่สุดเพื่อความปลอดภัย

ที่มา : thehackernews

Cisco แก้ช่องโหว่ความรุนแรงสูงใน Webex ที่ยอมให้รันคำสั่งจากระยะไกล

ระบบ Cisco ได้ปล่อยแพทช์แก้ไขด้านความปลอดภัยสำหรับสองช่องโหว่ที่ร้ายแรงในผลิตภัณฑ์นั้นๆ ที่สามารถโจมตีเพื่อรันคำสั่งอันตรายจากระยะไกลได้ในแพลตฟอร์มการประชุมทางวิดีโอของ Webex และซอฟต์แวร์ IOS XE

ข้อผิดพลาด Webex อยู่ในอินเตอร์เฟซการจัดการ web-based ของ Cisco Webex Video Mesh ที่ยอมให้ผู้โจมตีที่เข้าสู่ระบบแล้วด้วยสิทธิ์ผู้ดูแลระบบสามารถรันคำสั่งอันตรายได้

Cisco Webex Video Mesh Software ที่ได้รับผลกระทบเป็นเวอร์ชันที่ปล่อยออกมาก่อน 2019.09.19.1956m

อีกช่องโหว่เป็นช่องโหว่บนเว็บ UI ­ของ Cisco IOS และ Cisco IOS XE ทำให้ผู้โจมตีที่ไม่ต้องเข้าสู่ระบบสามารถโจมตี cross-site request forgery (CSRF) ได้ ผู้โจมตีอาจใช้ช่องโหว่จากการชักชวนผู้ใช้ผ่านหน้าอินเตอร์เฟสให้เข้าลิงค์ที่เป็นอันตรายเพื่อส่งการร้องขอปลอมต่อ webserver ในการสั่งการทำงานบนอุปกรณ์ หากสามารถทำได้จะทำให้ผู้โจมตีทำอะไรก็ตามด้วยระดับสิทธิ์เดียวกับผู้ใช้นั้น

ปัญหานี้มีผลต่ออุปกรณ์ Cisco บน Cisco IOS หรือ Cisco IOS XE Software เวอร์ชันก่อน 16.1.1 ที่เปิดใช้งาน HTTP Server

ที่มา : securityaffairs

NCSC ออกคำเตือนให้ระวังการโจมตี DNS Hijacking

เนื่องจากมีรายงานการโจมตีมีจุดประสงค์เพื่อแก้ไข DNS record หรือที่เรียกกันว่า DNS Hijacking ออกมาเป็นจำนวนมาก หน่วยงาน National Cyber Security Centre (NCSC) ของสหราชอาณาจักรมีประกาศคำเตือนพร้อมทั้งวิธีการแก้ไขเพื่อลดผลกระทบเหตุการณ์ประเภทนี้

DNS คือบริการที่ส่งต่อข้อมูลเมื่อผู้ใช้งานพิมพ์ domain ในเว็บเบราว์เซอร์ไปยัง IP ของเซิร์ฟเวอร์เว็บไซต์ ซึ่ง DNS hijacking จะหมายถึงการโจมตีเพื่อการเปลี่ยนการตั้งค่า DNS เพื่อให้ไปยัง IP ที่เป็นอันตรายแทน ทำให้ผู้ใช้งานไม่สามารถเข้าไปยังเว็บที่ถูกต้องได้

รายงานจาก Avast แสดงให้เห็นว่าในช่วงเดือนกุมภาพันธ์ - มิถุนายน มีผู้ใช้งานอย่างน้อย 180,000 คนในบราซิล ที่อุปกรณ์ router ถูกทำการแก้ไขการตั้งค่า DNS และในช่วงปลายมีนาคม Avast Web Shield ได้ช่วยบล็อกการโจมตีแบบ cross-site request forgery (CSRF) ที่โจมตีเพื่อเปลี่ยนการตั้งค่า DNS บน router มากกว่า 4.6 ล้านครั้ง

NCSC ประกาศคำเตือนเกี่ยวกับ DNS Hijacking เมื่อ 12 กรกฎาคม 2019 ที่สรุปความเสี่ยงที่มาพร้อมกับความพยายามใน DNS hijacking และให้คำแนะนำองค์กรเพื่อปกป้องตัวเองจากอันตรายประเภทนี้ ได้แก่
# บัญชีที่ใช้จดทะเบียนกับ domain registrar มักตกเป็นเป้าหมายการโจมตีด้วยวิธี phishing หรือวิธี social engineering อื่นๆ ป้องกันโดยใช้รหัสผ่านที่ไม่ซ้ำกับบริการอื่น และเปิดการใช้งานการยืนยันตัวตนหลายขั้นตอน
# ตรวจสอบรายละเอียดที่เชื่อมโยงกับบัญชีที่ใช้จดทะเบียนกับ domain registrar เป็นประจำและเพื่อแน่ใจว่าข้อมูลเหล่านั้นเป็นข้อมูลล่าสุดและชี้ไปที่องค์กรจริงๆ
# จำกัดการเข้าถึงบัญชีดังกล่าวเฉพาะกับบุคคลภายในองค์กร
# ถ้าองค์กรมีการทำ DNS ของตัวเอง NCSC ขอแนะนำให้ใช้งานระบบควบคุมการเข้าถึงฟังก์ชันสำรองและกู้คืน DNS records รวมถึงจำกัดการเข้าถึงเครื่องเซิร์ฟเวอร์ที่ดูแล DNS
# ใช้งาน SSL monitoring และ Domain Name System Security Extensions (DNSSEC)
โดยผู้ที่สนใจสามารถอ่านประกาศเตือนโดยละเอียดได้จาก https://www.

โครงการ phpMyAdmin ประกาศแพตช์สำหรับช่องโหว่ SQL Injection และ CSRF

โครงการ phpMyAdmin ประกาศแพตช์สำหรับช่องโหว่รหัส CVE-2019-11768 (PMSA-2019-3) และ CVE-2019-12616 (PMSA-2019-4) วันนี้ โดยเป็นช่องโหว่ SQL Injection และ CSRF ตามลำดับ

ช่องโหว่ CVE-2019-11768 เป็นช่องโหว่ SQL Injection ในส่วน Designer Feature โดยตรวจพบกับ phpMyAdmin เวอร์ชันก่อน 4.8.6 ซึ่งจะเกิดขึ้นเมื่อผู้โจมตีมีการสร้างฐานข้อมูลด้วยชื่อแบบพิเศษซึ่งจะทำให้เกิดเงื่อนไขของ SQL Injection

ในส่วนของช่องโหว่ CVE-2019-12616 นั้น เป็นช่องโหว่ประเภท CSRF ที่หน้าล็อกอินของ phpMyAdmin โดยผู้โจมตีสามารถทำการโจมตีผ่าน HTML tag ที่มีการพัฒนาอย่างไม่ปลอดภัยเพื่อใช้สิทธิ์ของผู้ใช้งานในการส่งคำสั่งที่เป็นอันตรายไปยังระบบได้ ช่องโหว่นี้กระทบ phpMyAdmin ก่อนรุ่น 4.9.0 โดยให้ทำการอัปเดตเป็นเวอร์ชันใหม่กว่าเพื่อรับการแก้ไขช่องโหว่

ที่มา: PMASA-2019-3 , PMASA-2019-4

Curesec Research Team บริษัทวิจัยด้านความปลอดภัย ได้มีการประกาศการค้นพบช่องโหว่จำนวน 3 ช่องโหว่บน pfsense เวอร์ชัน 2.3.2 โดยมีช่องโหว่ความร้ายแรงสูง
สำหรับช่องโหว่แรกเป็นช่องโหว่ CSRF ส่งผลให้ผู้โจมตีสามารถสร้างหรือลบการตั้งค่าของไฟร์วอลล์ได้ผ่านทางการส่งรีเควสต์ CSRF ไปที่หน้า easyrule.