พบมัลแวร์แบบ multi-platform เวอร์ชันใหม่ที่มีชื่อว่า ‘SysJoker’ ที่ได้เปลี่ยนมาใช้ภาษา Rust ในการเขียนโค้ดเพื่อโจมตีเป้าหมาย

SysJoker เป็นมัลแวร์ที่มุ่งเป้าหมายการโจมตีไปยัง Windows, Linux และ macOS โดยถูกพบครั้งแรกโดย Intezer เมื่อต้นปี 2022 ซึ่งใช้ภาษา C++ ในการเขียนโค้ดเพื่อโจมตีเป้าหมาย ก่อนที่จะเปลี่ยนมาใช้ภาษา Rust แทนในปัจจุบัน

โดย backdoor มีความสามารถในการโหลดเพย์โหลดใน memory, การแฝงตัวในระบบ (Persistence), การเรียกใช้คำสั่งแบบ “living off the land” และความสามารถในการหลีกเลี่ยงการตรวจสอบได้จาก VirusTotal สำหรับ backdoor ในทุกระบบปฏิบัติการ

นักวิจัยของ Unit 42 หน่วยงานวิจัยด้านความปลอดภัยของ Palo Alto Networks ได้ออกเผยแพร่รายงานการพบช่องโหว่บน jsonwebtoken (JWT) ที่มีหมายเลข CVE-2022-23529 ซึ่งส่งผลให้ Hackers ที่สามารถโจมตีได้สำเร็จสามารถสั่งรันโค้ดที่เป็นอันตรายจากระยะไกลได้

CVE-2022-23529 (คะแนน CVSS: 7.6 ระดับความรุนแรงสูง) เป็นช่องโหว่ของ JSON web token (JWT) ที่สามารถสั่งรันโค้ดที่เป็นอันตรายจากระยะไกล (Remote Code Execution RCE) บนเซิร์ฟเวอร์เป้าหมายได้

jsonwebtoken ถูกพัฒนาและดูแลโดย Auth0 ของ Okta โดยเป็นโมดูล JavaScript ที่ช่วยให้ผู้ใช้สามารถถอดรหัส ตรวจสอบ และสร้างโทเค็นเว็ป JSON เพื่อเป็นวิธีการส่งข้อมูลอย่างปลอดภัยระหว่างสองฝ่าย เพื่อการตรวจสอบสิทธิ์การใช้งาน และการตรวจสอบความถูกต้อง โดยมีการดาวน์โหลดไปแล้วมากกว่า 10 ล้านครั้งต่อสัปดาห์ใน npm software และมีการใช้งานมากกว่า 22,000 โครงการ

การโจมตี

Hackers จะทำการโจมตีบนเซิร์ฟเวอร์เป้าหมายผ่านทาง jsonwebtoken ที่มีช่องโหว่ เพื่อสั่งรันโค้ดที่เป็นอันตรายจากระยะไกล รวมไปถึงการเขียนข้อมูลทับ หรือเข้ารหัสไฟล์บนเครื่องที่ถูกโจมตีผ่านทาง secret management process โดยใช้ secretOrPublicKey value ที่มีช่องโหว่

jsonwebtoken เวอร์ชันที่ได้รับผลกระทบ

jsonwebtoken ตั้งแต่เวอร์ชัน 8.5.1 ลงไป

วิธีการป้องกัน

ดำเนินการอัปเดตเป็น jsonwebtoken เวอร์ชัน 9.0.0 เพื่อป้องกันความเสี่ยงจากการถูกโจมตี

ที่มา : thehackernews

Cloudflare ประกาศเปิดตัวผลิตภัณฑ์ใหม่ภายใต้ชื่อ API Shield โดยเป็นเซอร์วิสสำหรับช่วยตรวจสอบและควบคุมพฤติกรรมการเรียกใช้ API แบบ policy-based โดยรองรับ API ซึ่งใช้ JSON และมีแพลนที่จะขยายการซัพพอร์ตไปรองรับกลุ่ม API ที่รับส่งข้อมูลแบบไบนารี เช่น gRPC

เบื้องหลังการทำงานของ API Shield อยู่ที่การสร้าง policy หรือ rule ผู้ใช้งานสามารถสร้าง API Shield rule ตาม OpenAPI scheme ตามคอนเซ็ปต์แบบ whitelist ระบบของ API Shield แน่นอนว่าผู้พัฒนาแอปจะต้องมีการตั้งค่าการเชื่อมต่อ TLS ให้ Cloudflare "เห็น" การรับ-ส่งข้อมูลเพื่อทำการตรวจสอบด้วย การรับ-ส่งข้อมูลซึ่งไม่ได้สอดคล้องตาม rule ใดๆ จะตกไปอยู่ใน deny-all policy ในทันที

ในภาพรวม API Shield ไม่ได้เป็นระบบพร้อมใช้ที่จะช่วยเพิ่มความปลอดภัยของการใช้ API ได้แบบ plug-n-play แต่มันเป็นระบบที่นักพัฒนาจะต้องมาตั้งค่าให้เหมาะสมเช่นเดียวกัน ดังนั้นหากนักพัฒนามีการตั้งค่าได้ไม่ดีพอ การมี API Shield มาช่วยตรวจสอบก็ไม่อาจมีประสิทธิภาพได้มากเท่าที่ควร

ผู้ที่มีบัญชีกับ Cloudflare แล้วจะสามารถเปิดใช้งาน API Shield ได้ทันทีโดยไม่เสียค่าใช้จ่าย

ที่มา : cloudflare