Cloudflare สร้างสถิติการป้องกันการโจมตีจาก DDoS ที่สูงถึง 71 ล้าน RPS

Cloudflare ได้ออกมาเปิดเผยรายงานการป้องกันการโจมตีแบบ Distributed Denial-of-Service (DDoS) ที่สูงจนกลายเป็นสถิติที่สูงที่สุดในปัจจุบัน

โดยพบการโจมตีไปยังลูกค้าในช่วงสัปดาห์ที่ผ่านมา ซึ่งมี requests มากกว่า 50-70 ล้าน requests per second (rps) ในช่วงที่เกิดการโจมตี และมี requests มากที่สุด อยู่ที่ 71 ล้าน rps

Cloudflare ระบุว่า เหตุการณ์นี้ถือเป็นการโจมตีแบบ HTTP DDoS ที่ใหญ่ที่สุดเป็นประวัติการณ์ โดยมากกว่า 35% จากสถิติที่รายงานก่อนหน้านี้ที่พบการโจมตีในลักษณะ DDoS อยู่ที่ 46 ล้าน rps ในเดือนมิถุนายน 2022 ซึ่งถูกป้องกันไว้ได้โดย Google Cloud Armor ของ Google

โดยการโจมตีเกิดที่ขึ้นในครั้งนี้ พบว่ามาจาก IP มากกว่า 30,000 รายการ จากผู้ให้บริการคลาวด์หลายราย รวมถึงผู้ให้บริการเกม ผู้ให้บริการคลาวด์แพลตฟอร์ม บริษัทสกุลเงินดิจิทัล และผู้ให้บริการโฮสติ้ง

ซึ่งสอดคล้องกับรายงานของ DDoS threat report ของ Cloudflare ที่ได้คาดการณ์สถานการณ์การโจมตีไว้ว่า

จำนวนการโจมตี HTTP DDoS จะเพิ่มสูงขึ้น 79% เมื่อเทียบเป็นรายปี
จำนวนการโจมตีเชิงปริมาณที่มากกว่า 100 Gbps จะเพิ่มสูงขึ้น 67% ไตรมาสต่อไตรมาส (QoQ)
จำนวนการโจมตี DDoS ที่ใช้เวลามากกว่าสามชั่วโมงจะเพิ่มสูงขึ้น 87% (QoQ)

 

ที่มา : bleepingcomputer

Chrome 86 มาแล้ว พร้อมฟีเจอร์ด้านความปลอดภัยใหม่เพียบ

Google ประกาศการออก Chrome เวอร์ชัน 86 เมื่อวันที่ 6 ตุลาคมที่ผ่านมา โดยจุดน่าสนใจในรุ่นใหม่นี้นั้นอยู่ที่ฟีเจอร์ที่เกี่ยวข้องกับความปลอดภัยซึ่งถูกเพิ่มเข้ามาเป็นจำนวนมาก ตามรายการดังนี้

หากมีการบันทึก Credential ไว้ใน Chrome และมีการตรวจพบว่าได้รับผลกระทบจากข้อมูลรั่วไหล Chrome จะทำลิงค์เพื่อชี้ไปยัง <URL>/.well-known/change-password เพื่อให้ผู้ใช้งานทราบขั้นตอนในการปฏิบัติเพื่อเปลี่ยนรหัสผ่านโดยอัตโนมัติ (หากไม่มีพาธดังกล่าว Chrome จะสั่งลิงค์ไปยังโฮมเพจแทน)
เพิ่ม Safety Check เอาไว้ตรวจสอบการตั้งค่าเบราว์เซอร์และข้อมูลว่ามีความปลอดภัยหรือไม่ในคลิกเดียว
บล็อคการดาวโหลด mixed content หรือการดาวโหลดไฟล์ผ่านโปรโตคอล HTTP จากเว็บไซต์ HTTPS จากไฟล์ประเภท .exe, .apk, .zip, .iso และไฟล์ไบนารีอื่นๆ
นอกเหนือจากฟีเจอร์ที่ระบุมาแล้ว Chrome 86 ยังมีการแก้ไขและแพตช์ช่องโหว่ซึ่งยังไม่มีการเปิดเผยในขณะนี้ถึงยอดของช่องโหว่ที่ถูกแพตช์ รวมไปถึงเพิ่มฟีเจอร์ทดสอบ (experimental feature) มาอีกเป็นจำนวนมาก ผู้ที่สนใจอยากลองทดสอบฟีเจอร์ใหม่ๆ สามารถดูรายละเอียดเพิ่มเติมได้จากแหล่งที่มา

ที่มา : bleepingcomputer

RangeAmp attacks can take down websites and CDN servers

“RangeAmp” เทคนิคการโจมตี DoS รูปแบบใหม่ที่สามารถทำให้เว็บไซต์และเซิร์ฟเวอร์ CDN หยุดให้บริการ

กลุ่มนักวิจัยจากสถาบันการศึกษาของจีนได้เผยเเพร่การค้นพบเทคนิคการโจมตี Denial-of-Service (DoS) รูปแบบใหม่ที่ชื่อว่า “RangeAmp” โดยใช้ประโยชน์จากแอตทริบิวต์ HTTP "Range Requests" ทำการขยายแพ็คเก็ต HTTP Requests เพื่อเพิ่มปริมาณและใช้ในการโจมตีเว็บไซต์และเซิร์ฟเวอร์ CDN

HTTP Range Requests เป็นมาตรฐานของ HTTP ที่จะอนุญาตให้ไคลเอนต์สามารถร้องขอส่วนหนึ่งของไฟล์อย่างเฉพาะเจาะจง ซึ่งช่วยให้เกิดการหยุดการเชื่อมต่อหรือร้องขอให้การเชื่อมต่อกลับมาเมื่อต้องเผชิญกับความไม่เสถียรของการเชื่อมต่อเครือข่าย ด้วยเหตุนี้จึงมีการอิมพลีเมนต์และรองรับโดยเว็บเบราว์เซอร์และเซิร์ฟเวอร์ CDN

กลุ่มนักวิจัยกล่าว่า การเทคนิคการโจมตี “RangeAmp” นั้นมีรูปแบบอยู่ 2 รูปแบบที่ต่างกันคือ

เทคนิคโจมตี RangeAmp Small Byte Range (SBR) ผู้โจมตีจะส่งคำร้องขอช่วง HTTP รูปแบบพิเศษไปยังผู้ให้บริการ CDN ซึ่งจะเพิ่มปริมาณการรับส่งข้อมูลไปยังเซิร์ฟเวอร์ปลายทางเพื่อทำให้เว็บไซต์เป้าหมายเสียหายและหยุดให้บริการ การโจมตีด้วยเทคนิคนี้สามารถขยายทราฟฟิกจากแพ็คเก็ตการส่งปกติไปจนถึง 724 ถึง 43,330 เท่าของทราฟฟิกเดิม
เทคนิคโจมตี RangeAmp Overlapping Byte Ranges (OBR) ผู้โจมตีจะส่งคำขอ HTTP รูปแบบพิเศษไปยังผู้ให้บริการ CDN ทราฟฟิคจะเกิดการขยายขึ้นภายในเซิร์ฟเวอร์ CDN ซึงจะทำให้เกิดการโจมตี DoS ได้ทั้งเว็บไซต์ปลายทางและเซิร์ฟเวอร์ CDN การโจมตีด้วยเทคนิคนี้สามารถขยายทราฟฟิกจากการโจมตีได้ถึง 7,500 เท่าจากแพ็คเก็ตการส่งปกติ

นักวิจัยกล่าวว่าเทคนิคโจมตี “RangeAmp” นี้มีส่งผลต่อผู้ให้บริการเซิร์ฟเวอร์ CDN หลายเจ้าได้เเก่ Akamai, Alibaba Cloud, Azure, Cloudflare, CloudFront, CDNsun, CDN77, Fastly, Labs G-Core, Huawei Cloud, KeyCDN และ Tencent Cloud

ทั้งนี้ผู้ที่สนใจเทคนิคการโจมตี “RangeAmp” สามารถอ่านรายละเอียดเพิ่มเติมได้ที่: liubaojun

ที่มา: zdnet

Apache Bug Lets Normal Users Gain Root Access Via Scripts

Apache HTTP ได้ปล่อย httpd 2.4.39 เพื่อแก้ปัญหาช่องโหว่ที่พบในเวอร์ชั่นก่อนหน้า

พบช่องโหว่การยกระดับสิทธิ์บน Apache HTTP อนุญาตให้ผู้ใช้ที่มีสิทธิ์ในการเขียนและเรียกสคริปต์บนเครื่อง สามารถสั่งรัน script ที่เป็นอันตรายโดยใช้สิทธิ์ root บนระบบ Unix ได้ (CVE-2019-0211) ส่งผลกระทบต่อ Apache HTTP Server ทุกรุ่นตั้งแต่ 2.4.17 ถึง 2.4.38

นอกจากนี้ยังมีการแก้ไขช่องโหว่ที่สำคัญ อีก 2 ช่องโหว่ซึ่งเป็นปัญหาการ bypass สิทธิ์ในการใช้งานเครื่อง โดยช่องโหว่แรก (CVE-2019-0217) ส่งผลให้ผู้ใช้งานสามารถใช้ชื่อผู้ใช้ และรหัสผ่านที่มีอยู่เพื่อเข้าถึงเครื่องโดยใช้สิทธิ์ของผู้ใช้งานคนอื่นได้ ช่องโหว่ที่ 2 (CVE-2019-0215) มีผลกระทบกับ Apache 2.4.37 และ Apache 2.4.38 เท่านั้น โดยเป็นปัญหาในส่วนของ mod_ssl บน TLSv1.3 ส่งผลให้ client สามารถข้ามข้อจำกัดเกี่ยวกับการควบคุมสิทธิ์ความปลอดภัยบนเครื่องได้ นอกจากนี้ยังมีการแก้ปัญหาความรุนแรงระดับต่ำ (low) อีก 3 รายการ CVE-2019-0197, CVE-2019-0196 และ CVE-2019-0220

ที่มา: bleepingcomputer.

GOOGLE REMINDING ADMINS HTTP PAGES WILL BE MARKED ‘NOT SECURE’ IN OCTOBER

Google เริ่มมีการส่งการแจ้งเตือนไปยัง Web Admin ของ Website ต่างๆ เพื่อให้ทำการเปลี่ยนการใช้งานจาก HTTP ไปเป็น HTTPS เพื่อความปลอดภัยที่มากขึ้น จดหมายเตือนถูกส่งไปยังเจ้าของเว็บไซต์โดยเฉพาะเว็บไซต์ที่มีการใช้ฟอร์ม or บนเว็บ ข้อความในการแจ้งเตือนบอกว่า Google มีแผนที่จะทำให้เวอร์ชันต่อไปของ Chrome ที่ถูกปล่อยออกมามีความเสถียรมากขึ้น เพราะฉะนั้น Google จึงระบุว่าเว็บไซต์ต่างๆ จำเป็นจะต้องมี SSL certificate หากไม่ต้องการให้มีข้อความแจ้งเตือน “NOT SECURE” เด้งขึ้นมา

การแจ้งเตือนครั้งนี้ไม่เป็นที่ประหลาดใจมากเท่าไร เพราะก่อนหน้านี้ได้มีการพูดถึงเรื่องนี้อยู่เป็นระยะๆ การเข้า Incognito mode หรือโหมดไม่ระบุตัวตน ก็จะมีข้อความแจ้งเตือนเด้งขึ้นมาเช่นเดียวกันกับโหมดปกติ ในอีเมลยังมีข้อแนะนำต่างๆ สำหรับ Web Admin ในการย้ายจาก HTTP ไปยัง HTTPS การเปลี่ยนแปลงครั้งนี้ถูกกำหนดไว้ในช่วงเดือนตุลาคม 2017

ที่มา: threatpost

A Bug in Bug Tracker "Bugzilla" exposes Private Bugs

พบช่องโหว่ที่สำคัญในโปรแกรม Bugzilla ซึ่งเป็น plugin ของ Mozilla ถูกพัฒนาขึ้นโดยบริษัท Mozilla ที่เอาไว้ค้นหาบั๊ก ส่วนใหญ่นิยมใช้งานในบริษัทใหญ่ๆ เช่น RedHat, Linux Kernel, Gnome, Apache

Instagram Mobile App Issue Leads to Account Hijacking Vulnerability

นักวิจัยด้านความปลอดภัย Mazin Ahmed ได้ค้นพบช่องโหว่ของ Instagram ในระบบปฏิบัติการ Android ซึ่งแฮกเกอร์สามารถทำการ hijack เข้าไปขโมย session ของเหยื่อได้ เพราะ Instagram ยังมีการใช้ HTTP อยู่ ซึ่งเป็นส่งผลให้แฮกเกอร์สามารถเข้ามาดูข้อมูลส่วนตัวได้ เช่น รูปภาพ เและยังสามารถทำการแก้ไขโพสต่างๆ ได้อีกด้วย

ปัจจุบันทาง Facebook ที่เป็นเจ้าของ Instagram ได้รับทราบถึงช่องโหว่ดังกล่าวแล้ว และได้แจ้งว่าจะมีการอัพเดทให้เป็นเวอร์ชั่นใหม่ต่อไป

ที่มา : thehackernews

Severe RCE vulnerability affects several Cisco products

Cisco ประกาศเมื่อวันที่ 16 กรกฎาคม 2557 ว่า พบช่องโหว่รีโมทโค้ดจากระยะไกลบนเว็บเซิร์ฟเวอร์ที่อยู่ในผลิตภัณฑ์ Wireless Residential Gateway

ช่องโหว่ CVE-2014-3306 สามารถใช้ประโยชน์ โดยการส่งคำขอ HTTP ไปยังอุปกรณ์ที่ได้รับผลกระทบ ทำให้ web server ที่ติดตั้งอยู่บนเครื่องไม่สามารถใช้บริการได้, สามารถ inject command ได้ และ รันโค้ดในการยกระดับสิทธิ์ได้

อุปกรณ์ต่อไปนี้ได้รับผลกระทบ ได้แก่ DPC3212 และ EPC3212 (VoIP Cable Modem), DPC3825 และ EPC3825 8x4 DOCSIS 3.0 (Wireless Residential Gateway), DPC3010 และ EPC3010 DOCSIS 3.0 8x4 (Cable Modem), DPC3925 และ EPC3925 DOCSIS 3.0 8x4 with Wireless Residential Gateway with Edva และ DPQ3925 8x4 DOCSIS 3.0 (Wireless Residential Gateway with Edva)

Cisco ได้แนะนำวีธีแก้ไขช่องโหว่ดังกล่าวว่า ให้ดาวน์โหลดโปรแกรมอัพเดท (ฟรี) แล้วให้รีบไปอัพเดทอุปกรณ์ทันที

ที่มา : scmagazine

Severe RCE vulnerability affects several Cisco products

Cisco ประกาศเมื่อวันที่ 16 กรกฎาคม 2557 ว่า พบช่องโหว่รีโมทโค้ดจากระยะไกลบนเว็บเซิร์ฟเวอร์ที่อยู่ในผลิตภัณฑ์ Wireless Residential Gateway

ช่องโหว่ CVE-2014-3306 สามารถใช้ประโยชน์ โดยการส่งคำขอ HTTP ไปยังอุปกรณ์ที่ได้รับผลกระทบ ทำให้ web server ที่ติดตั้งอยู่บนเครื่องไม่สามารถใช้บริการได้, สามารถ inject command ได้ และ รันโค้ดในการยกระดับสิทธิ์ได้

อุปกรณ์ต่อไปนี้ได้รับผลกระทบ ได้แก่ DPC3212 และ EPC3212 (VoIP Cable Modem), DPC3825 และ EPC3825 8x4 DOCSIS 3.0 (Wireless Residential Gateway), DPC3010 และ EPC3010 DOCSIS 3.0 8x4 (Cable Modem), DPC3925 และ EPC3925 DOCSIS 3.0 8x4 with Wireless Residential Gateway with Edva และ DPQ3925 8x4 DOCSIS 3.0 (Wireless Residential Gateway with Edva)

Cisco ได้แนะนำวีธีแก้ไขช่องโหว่ดังกล่าวว่า ให้ดาวน์โหลดโปรแกรมอัพเดท (ฟรี) แล้วให้รีบไปอัพเดทอุปกรณ์ทันที

ที่มา : scmagazine