แบรนด์เครื่องแต่งกายชื่อดังอย่าง 'The North Face' ตกเป็นเป้าหมายในการโจมตีด้วยวิธีการ Credential stuffing attack ส่งผลให้บัญชีผู้ใช้งานกว่า 194,905 บัญชีบนเว็บไซต์ thenorthface.

Adobe ออกแพตช์ประจำเดือนสิงหาคม 2019

Adobe ออกแพตช์ประจำเดือนสิงหาคม 2019 (Patch Tuesday) แก้ไข 119 ช่องโหว่ในหลายๆ ผลิตภัณฑ์ ส่งผลกระทบไม่ว่าจะเป็น Effects, Character Animator, Premiere Pro, Prelude, Creative Cloud, Acrobat and Reader, Experience Manager และ Photoshop ช่องโหว่ส่วนใหญ่ที่แก้ไขในเดือนนี้มีผลกระทบกับ Acrobat และ Reader สำหรับระบบปฏิบัติการ Windows และ macOS โดยสามารถอ่านรายละเอียดเกี่ยวกับช่องโหว่ทั้งหมดได้จากประกาศของ Adobe https://blogs.

สรุปย่อ
หลังจากโครงการ Drupal ประกาศพบช่องโหว่ร้ายแรงรหัส CVE-2018-7600 หรือ SA-CORE-2018-002 ซึ่งเป็นช่องโหว่ประเภท Remote Code Execution (RCE) ที่มีผลกระทบโดยตรงกับ Drupal เวอร์ชั่น 7.x, 8.3.x, 8.4.x และ 8.5.x เมื่อวันที่ 28 มีนาคมที่ผ่านมานั้น ในตอนนี้โค้ดสำหรับโจมตีช่องโหว่ดังกล่าวก็ได้มีการถูกเผยแพร่ออกสู่สาธารณะและถูกนำมาใช้ในการโจมตีจริงแล้ว ทีมผู้เชี่ยวชาญด้านความปลอดภัยบนเว็บแอปพลิเคชันจาก บริษัท ไอ-ซีเคียว จำกัด จึงจะขอนำช่องโหว่และโค้ดสำหรับโจมตีช่องโหว่มาอธิบายเพื่อสร้างความตระหนักรู้ซึ่งจะนำไปสู่การควบคุมและจัดการความเสี่ยงที่จะถูกโจมตีโดยช่องโหว่นี้ครับ

Drupal เป็นโครงการซอฟต์แวร์แบบโอเพนซอร์สในรูปแบบของตัวจัดการเนื้อหาบนเว็บไซต์ (Content Management System - CMS) ซึ่งได้รับความนิยมและถูกใช้งานมากมายทั่วโลก สำหรับช่องโหว่ล่าสุดคือ Drupalgeddon2 นั้น ที่มาที่แท้จริงยังคงเกิดจากปัญหายอดนิยมคือประเด็นของการตรวจสอบข้อมูลนำเข้า (input) ที่ถูกส่งมายัง Form API ซึ่งไม่สมบูรณ์มากพอ ทำให้เกิดช่องโหว่ด้านความปลอดภัยที่ผู้ประสงค์ร้ายสามารถรันโค้ดที่เป็นอันตรายได้
ทำความรู้จัก Form API
Form API เป็น API รูปแบบหนึ่งใน Drupal ซึ่งมีการใช้งานรูปแบบการเก็บข้อมูลที่เรียกว่า Renderable Arrays โดยรูปแบบการเก็บข้อมูลชนิดนี้นั้นเป็นส่วนเสริมที่สร้างขึ้นมาเพื่อใช้ในการแสดงโครงสร้างรวมไปถึงส่วนประกอบต่าง ๆ ของ Drupal

ข้อมูลใน Renderable Arrays นั้นจะถูกเก็บอยู่ในรูปแบบของอาเรย์ที่มี key และ value ซึ่งจะถูกเรียกใช้ในแต่ละครั้งที่มีการพยายามแสดงผล (render) จาก API ข้อมูลในส่วนของ key ภายในอาเรย์นั้นจะถูกระบุโดยมีการใช้เครื่องหมาย # (hash) นำหน้าค่าของ key เสมอ

Form API นั้นมีการใช้งานโดยทั่วไปใน Drupal ในรูปแบบของฟอร์มสำหรับกรอกข้อมูล แต่สำหรับ Drupal ซึ่งพึ่งมีการติดตั้งใหม่นั้น ฟอร์มสำหรับกรอกข้อมูลจุดหนึ่งที่มีการใช้งาน Form API และมักจะถูกใช้งานโดยผู้ใช้เว็บไซต์เสมอนั้นคือฟอร์มสำหรับกรอกข้อมูลเพื่อสมัครสมาชิกในการเข้าสู่ระบบของเว็บไซต์

ด้วยลักษณะของฟอร์มกรอกข้อมูลที่สามารถเข้าถึงสาธารณะ ช่องโหว่ Drupalgeddon2 จึงอาศัยฟอร์มกรอกข้อมูลและปัญหาของการไม่ตรวจสอบข้อมูลนำเข้าที่ผู้ใช้งานส่งเข้าไปในรูปแบบ Renderable Arrays เพื่อควบคุมและสั่งการให้เกิดการประมวลผลที่ส่งผลกระทบต่อความปลอดภัยได้
การโจมตีช่องโหว่
อ้างอิงจากบทวิเคราะห์ช่องโหว่จาก CheckPoint และ Dofinity พร้อมโค้ดสำหรับโจมตีช่องโหว่ Drupalgeddon2 ซึ่งถูกเผยแพร่ออกมานั้น หนึ่งในตัวอย่างของการโจมตีช่องโหว่สามารถทำได้โดยผ่าน curl อ้างอิงจาก @IamSecurity ในรูปแบบดังนี้
$ curl -s -X 'POST' --data 'mail[%23post_render][]=exec&mail[%23children]=pwd&form_id=user_register_form' 'http://drupal.

DogeVault มีรายงานว่าถูกเข้าถึงระบบโดยแฮกเกอร์ ทำให้กว่าล้าน Dogecoins หายไปจากบัญชีของผู้ใช้งาน โดยมีข้อความปรากฎอยู่บนหน้าแรกของเว็บไซต์ (www .dogevault.

2 นักศึกษาชื่อว่า Chen และ Zhang จากสาธารณรัฐประชาชนจีน เมืองเซี่ยงไฮ้ ได้เข้าไปแฮกระบบของมหาวิทยาลัยเพื่อแก้ไขข้อมูลเกรดของตนเอง ในช่วงเดือนธันวาคม 2013

ต่อมาหลังจากที่นักศึกษา 2 คน ทำการแฮกข้อมูลของระบบมหาวิทยาลัยสำเร็จ จนทำให้นักศึกษาคนอื่นๆ ไปขอความช่วยเหลือจากนักศึกษา 2 คนดังกล่าว แต่ต้องเสียค่าบริการ จำนวน 15 หยวน ถึง 20 หยวนในการแฮกแต่ละครั้ง รวมเป็นเงินที่ได้รับมาทั้งหมด มากกว่า 80,000 หยวน คิดเป็นเงินไทย 423,052.85 บาท จากการช่วยเหลือนักศึกษากว่า 200 คน

ปัจจุบัน 2 นักศึกษา ที่ชื่อ Chen และ Zhang ถูกจับแล้ว ส่วนทางมหาวิทยาลัยก็ได้แก้ไขช่องโหว่ดังกล่าวเรียบร้อย

ที่มา : ehackingnews

บริษัท Orange เป็นผู้ให้บริการทางด้านโทรศัพท์มือถือของประเทศฝรั่งเศส ถูกแฮกข้อมูลไป เมื่อช่วงกลางเดือนเมษายน 2557 ถือว่าเป็นครั้งที่ 2 ในรอบปี 2557 มีลูกค้าที่ได้รับผลกระทบมากว่า 1.3 ล้านคน

จากข่าวรายงานว่า แฮกเกอร์ทำการเข้าถึง platform ของผู้ใช้งาน Orange จนทำให้ข้อมูลผู้ใช้ต่างๆ เช่น ชื่อ อีเมล เบอร์โทรศัพท์ วันเดือนปีเกิด ฯลฯ ส่วนข้อมูลทางด้านการเงินไม่ได้รับผลกระทบใดๆ ความเสี่ยงจากการแฮกครั้งนี้อาจทำให้แฮกเกอร์ โจมตีในรูปแบบ ฟิชชิ่ง ได้

ปัจจุบันทาง Orange ก็ได้ส่งอีเมลไปยังลูกค้าที่ได้รับผลกระทบทั้งหมดเพื่อให้ลูกค้าตอบกลับหากต้องการขอความช่วยเหลือจากทาง Orange

ที่มา : ehackingnews

นักเรียนอายุ 18 ปี ของโรงเรียนมัธยมไมอามี่ถูกจับกุม หลังจากที่เขาถูกกล่าวหาว่าลักลอบเข้าฐานข้อมูลของโรงเรียนไมอามี่เดด เพื่อแก้ไขเกรดของเขาและผลการเรียนของนักเรียนคนอื่นๆ อีก 4 คน

Jose Bautista ถูกตั้งข้อหาหลายข้อหารวมถึงการกระทำผิดกฎหมายทรัพย์สินทางปัญญาและความผิดของผู้ใช้คอมพิวเตอร์ แต่หลังจากนั้นเขาได้รับการปล่อยตัวและถูกตัดสินให้กักบริเวณและสวมอุปกรณ์ติดตาม

ที่มา : ehackingnews

นักเรียนอายุ 18 ปี ของโรงเรียนมัธยมไมอามี่ถูกจับกุม หลังจากที่เขาถูกกล่าวหาว่าลักลอบเข้าฐานข้อมูลของโรงเรียนไมอามี่เดด เพื่อแก้ไขเกรดของเขาและผลการเรียนของนักเรียนคนอื่นๆ อีก 4 คน

Jose Bautista ถูกตั้งข้อหาหลายข้อหารวมถึงการกระทำผิดกฎหมายทรัพย์สินทางปัญญาและความผิดของผู้ใช้คอมพิวเตอร์ แต่หลังจากนั้นเขาได้รับการปล่อยตัวและถูกตัดสินให้กักบริเวณและสวมอุปกรณ์ติดตาม

ที่มา : ehackingnews