พบเซิร์ฟเวอร์ MySQL มากกว่า 3.6 ล้านเครื่องสามารถเข้าถึงได้จากอินเทอร์เน็ต

​เซิร์ฟเวอร์ MySQL มากกว่า 3.6 ล้านเครื่อง สามารถเข้าถึงได้โดยตรงบนอินเทอร์เน็ต ทำให้เซิร์ฟเวอร์เหล่านี้เป็นเป้าหมายที่น่าสนใจสำหรับแฮ็กเกอร์ โดยมีเซิร์ฟเวอร์ MySQL ที่สามารถเข้าถึงได้ 2.3 ล้านเครื่องเชื่อมต่อผ่าน IPv4 และ 1.3 ล้านเครื่องผ่าน IPv6

แม้ว่าปกติ Web services และ Application จะเชื่อมต่อกับ database โดยอยู่คนละ Instance กัน แต่ที่จริงแล้ว database ควรถูกจำกัดให้มีเพียงอุปกรณ์ที่ได้รับอนุญาตเท่านั้นที่สามารถเชื่อมต่อได้

นอกจากนี้ การที่เปิดให้ database สามารถเชื่อมต่อได้โดยตรงบนอินเทอร์เน็ต ควรมีการตั้งค่าการเข้าถึงของผู้ใช้งานอย่างเข้มงวด เช่น การเปลี่ยน Default port ที่ใช้ในการเข้าถึง (3306), เปิดใช้งานการเก็บ log, มอนิเตอร์การ queries ข้อมูลทั้งหมด รวมถึงต้องมีการใช้งาน encryption ด้วย

เซิร์ฟเวอร์ MySQL 3.6 ล้านเครื่องอยู่ในความเสี่ยง

เมื่อสัปดาห์ที่แล้วจากการสแกนที่ดำเนินการโดยกลุ่มนักวิจัยความปลอดภัยทางไซเบอร์ The Shadowserver Foundation พบว่าเซิร์ฟเวอร์ MySQL สามารถเข้าถึงได้โดยตรงบนอินเทอร์เน็ต 3.6 ล้านเครื่อง ซึ่งมีการเปิดใช้งาน Default port คือ port TCP 3306

โดยประเทศที่มีเซิร์ฟเวอร์ MySQL ที่เข้าถึงได้มากที่สุดคือสหรัฐอเมริกา ซึ่งมีจำนวนเกิน 1.2 ล้านเซิร์ฟเวอร์ และประเทศอื่นๆ ที่มีจำนวนมาก ได้แก่ จีน เยอรมนี สิงคโปร์ เนเธอร์แลนด์ และโปแลนด์

ผลการสแกนโดยละเอียดมีดังนี้:

จำนวนเซิร์ฟเวอร์ที่มี IPv4: 3,957,457
จำนวนเซิร์ฟเวอร์ที่มี IPv6: 1,421,010
จำนวนเซิร์ฟเวอร์ที่มีการตอบกลับการพยายามเชื่อมต่อ ทั้งหมดบน IPv4: 2,279,908
จำนวนเซิร์ฟเวอร์ที่มีการตอบกลับการพยายามเชื่อมต่อ ทั้งหมดบน IPv6: 1,343,993
เซิร์ฟเวอร์ที่มีการตอบกลับการพยายามเชื่อมต่อนับเป็นประมาณ 67% ของ MySQL เซิร์ฟเวอร์ทั้งหมดที่พบ
กลุ่มแฮ็กเกอร์ที่ขายข้อมูลที่ถูกขโมยมา เคยบอกกับ BleepingComputer ว่า หนึ่งในสาเหตุที่ทำให้ถูกขโมยข้อมูลที่พบบ่อยที่สุดคือ การตั้งค่าด้านความปลอดภัยของ databases ไว้อย่างไม่เหมาะสม ซึ่งผู้ดูแลระบบควรปิดการเข้าถึงโดยตรงจากอินเทอร์เน็ตเพื่อลดความเสี่ยงจากการถูกโจมตี

การตั้งค่าความปลอดภัยของเซิร์ฟเวอร์ MySQL ไว้อย่างไม่เหมาะสม อาจส่งผลให้เกิดข้อมูลรั่วไหล, การถูกลบ หรือทำลายข้อมูล, การถูกขู่เรียกค่าไถ่จากแรนซัมแวร์, การติดโทรจัน หรือแม้แต่ถูกยึดครองโดยผู้โจมตี

ที่มา: bleepingcomputer

Bringing MySQL to the web

พบช่องโหว่ SQL injection บน phpMyAdmin ช่องโหว่ CVE-2020-10802, CVE-2020-10803, CVE-2020-10804 รายงานโดยผู้ใช้งานทวิตเตอร์ชื่อ hoangn144_VCS, bluebird, Yutaka WATANABE
วันที่ 20 มีนาคมที่ผ่านมาได้

รายละเอียดช่องโหว่
CVE-2020-10802 (CVSS 8.0): เป็นช่องโหว่ SQL injection ที่เกิดจากการข้อผิดพลาดในการสร้างพารามิเตอร์ในขั้นตอนการค้นหาภายใน phpMyAdmin การโจมตีจะเกิดได้เมื่อผู้ใช้งานดำเนินการค้นหาด้วยการใส่อักษรพิเศษลงไปบนฐานข้อมูลหรือตารางที่ผู้โจมตีสร้างขึ้นมาเพื่อใช้ในการโจมตี

CVE-2020-10803 (CVSS 5.4): เป็นช่องโหว่ SQL injection ที่เกิดจากเรียกใช้โค้ดเพื่อจะดำเนินการแทรกข้อมูลที่สร้างขึ้นในฐานข้อมูล เมื่อผู้ใช้ทำการดึงหรือเรียกดูฐานข้อมูล จะสามารถทำการโจมตีในรูปแบบ XSS (Cross-site scripting) ได้ในการเเสดงผล

CVE-2020-10804 (CVSS 8.0): เป็นช่องโหว่ SQL injection โดยทำการดึงข้อมูล username ที่มีอยู่
และสร้าง username เพื่อหลอกให้ผู้ดูแลระบบดำเนินการบางอย่าง เช่นแก้ไขสิทธิ์ผู้ใช้งาน ช่องโหว่นี้ยังทำให้เกิดข้อผิดพลาดในการเปลี่ยนพาสเวิร์ด MySQL ของผู้ใช้

ผลกระทบ
phpMyAdmin เวอร์ชั่น 4.9.x ก่อน 4.9.5 และ เวอร์ชั่น 5.0.x ก่อน 5.0.2 ได้รับผลกระทบ

การเเก้ไข
อัปเกรด phpMyAdmin เป็นเวอร์ชั่น 4.9.5 หรือ 5.0.2 หรือใหม่กว่า

ที่มา: phpmyadmin

พบความพยายามในการติดตั้งมัลแวร์โดยอาศัยช่องโหว่ของ Drupal ที่มีชื่อว่า “Drupalgeddon2”

พบความพยายามในการติดตั้งมัลแวร์โดยอาศัยช่องโหว่ของ Drupal ที่มีชื่อว่า "Drupalgeddon2" (CVE-2018-7600)

Larry W. Cashdollar นักวิจัยด้านความปลอดภัยของ Akamai เปิดเผยว่าพบแคมเปญใหม่ที่เกิดขึ้นเป็นการพยายามเรียกใช้โค้ดที่ที่ฝังอยู่ในไฟล์ .GIF หรือไฟล์ .txt ที่มี Perl Script จากการวิเคราะห์ไฟล์ที่พบว่าถูกใช้โจมตีไปยังเว็บในประเทศบราซิล เป็นการฝัง PHP Code ที่เข้ารหัสด้วย Base64 เพื่อหลีกเลี่ยงการตรวจจับ นอกจากนี้พบว่าตัวมัลแวร์เองมีความสามารถในการค้นหา credential ที่มีการเก็บไว้บนเครื่อง, ทดลองส่งอีเมลโดยใช้ credential ที่พบ, เก็บข้อมูลไฟล์ config ของ MySQL, เปลี่ยนชื่อหรืออัพโหลดไฟล์ และรัน Web shell เป็นต้น นอกจากนี้ยังพบพฤติกรรมของการทำ DDoS และฝัง Remote Access Trojan (RAT) เพื่อติดต่อไปยัง C&C

ช่องโหว่ดังกล่าวส่งผลกระทบกับ Drupal เวอร์ชั่น 6, 7 และ 8 ผู้ใช้งานควรทำการอัพเดตให้เป็นเวอร์ชั่นล่าสุดเพื่อหลีกเลี่ยงการตกเป็นเหยื่อ

ที่มา: securityweek

Introducing GoCrack: A Managed Password Cracking Tool

FireEye's Innovation and Custom Engineering (ICE) หรือทีมวิศวกรของทาง FireEye ได้พัฒนาเครื่องมือชื่อ GoCrack ซึ่งช่วยให้ทีมที่ทดสอบเจาะระบบสามารถทำการถอดรหัสหรือค่าแฮชได้หลายร้อยค่าได้พร้อมกัน และยังมาพร้อมกับหน้าตา UI ที่มีการใช้งานที่ง่าย เพียงแค่ทำการลงโปรแกรมกับตัว Worker ของเครื่อง จากนั้นระบบจะทำการกระจายงานไปให้กับตัว Worker ต่างๆ เครื่องมือที่ใช้เจาะรหัสผ่านนั้นเป็นสิ่งที่สำคัญมากสำหรับผู้เชี่ยวชาญด้านความปลอดภัย ใช้ในการทดสอบประสิทธิภาพของรหัสผ่าน พัฒนามาตรการในการตั้งรหัส และการ Audit เงื่อนไขของรหัสผ่านของเครื่องมือภายในองค์กร
GoCrack ประกอบไปด้วยสิทธิ์ตามระบบ หรือระบบที่จะควบคุมในส่วนของสิทธิ์การเข้าถึง ซึ่งจะห้ามไม่ให้ผู้ที่ไม่มีสิทธิ์เข้าถึงข้อมูลยกเว้นจะเป็นเจ้าของงานนั้น หรือได้รับอนุญาติให้เข้าถึงได้จากเจ้าของงาน การแก้ไขงาน เข้าถึงรหัสผ่านที่เจาะมาได้ หรือการโหลดไฟล์งาน จะถูกจำกัดสิทธิ์โดย Administrator Engine files หรือไฟล์ที่ถูกใช้โดยตัว Cracking engine เช่น Dictionaries สามารถถูกอัพโหลดเป็น shared file ได้ แต่ผู้ใช้อื่นจะไม่สามารถดาวน์โหลด หรือแก้ไขไฟล์ได้ ทำให้ข้อมูลที่มีความละเอียดอ่อนมีความปลอดภัย GoCrack สามารถลงได้บน Linux server ใดก็ได้ที่มีการลง Docker ไว้แล้ว ในอนาคตมีการวางแผนไว้ว่าจะรองรับ MySQL และ Postgres database engine สำหรับการใช้งานที่จะเพิ่มมากขึ้น

ที่มา : Fireeye

RHSA-2017:2787 – Security Advisory for MySQL

Red Hat ได้ทำการอัพเดต MySQL 5.6(rh-mysql56-mysql) โดยได้ทำการแก้ไขช่องโหว่ตามรายงาน CVE ที่ได้มีการเปิดเผยออกมา, MySQL ซึ่งเป็น SQL Server Database ที่สามารถใช้งานแบบผู้ใช้หลายคน (Multi- user) และมีการประมวลผลหลายๆงานพร้อมกัน (multi-threaded) ประกอบด้วยเซิร์ฟเวอร์ MySQL daemon, mysqld และโปรแกรม Client จำนวนมาก ทั้งนี้ได้มีการอัพเกรดแพ็คเกจต่อไปนี้เป็น Version ที่ใหม่กว่าคือ rh-mysql56-mysql (5.6.37) เพื่อแก้ปัญหาข้อบกพร่องที่เกิดขึ้น ตัวอย่างช่องโหว่ที่ไดรับการปรับปรุงแล้ว มีดังนี้

1. ข้อบกพร่องเรื่อง Integer Overflow ที่จะนำไปสู่ Buffer Overflow ของ MySQL ทำให้ผู้โจมตีจากระยะไกล(Remote Attack) ใช้ข้อบกพร่องนี้เพื่อโจมตี และทำให้ MySQL เกิด crash ได้ (CVE-2017-3599)
2. พบว่าเครื่องมือ mysql และ mysqldump ไม่สามารถจัดการฐานข้อมูลและชื่อตารางที่มีอักขระเป็น Newline ได้อย่างถูกต้อง ผู้ใช้ฐานข้อมูลที่มีสิทธิ์สร้างฐานข้อมูล และตาราง สามารถรันคำสั่ง shell หรือ SQL ได้โดยพลการ ขณะที่มีการ Restore ข้อมูลจาก Backup ที่ถูกสร้างโดย mysqldump (CVE-2016-5483, CVE-2017-3600)
3. พบข้อบกพร่องหลายอย่างในสคริปต์ MySQL init ที่ใช้ในการจัดการค่าเริ่มต้นของ Data Directory ในฐานข้อมูล และการตั้งค่าสิทธิ์ใน Error Log File ทำให้ผู้ใช้ MySQL สามารถใช้ข้อบกพร่องนี้เพื่อเพิ่มสิทธิ์เป็น root ได้ (CVE-2017-3265)
4. พบว่าเครื่องมือ Command line ของ MySQL client จะมีการตรวจสอบก็ต่อเมื่อพบว่า Server รับรองการใช้งาน SSL เท่านั้น ทำให้สามารถใช้ man-in-the-middle attacker เพื่อแย่งชิงการตรวจสอบความถูกต้องของ Client ไปยัง Server แม้ว่า Client จะได้รับการกำหนดค่าให้ใช้งาน SSL ก็ตาม (CVE-2017-3305)
5. พบข้อบกพร่องใน mysqld_safe script ที่ใช้ในการสร้างไฟล์ error log ทำให้ผู้ใช้งาน MySQL สามารถเพิ่มสิทธิ์ของตนเองให้เป็น root ได้ (CVE-2017-3312)
6. พบข้อบกพร่องใน Client Library ของ MySQL(libmysqlclient) ที่ใช้จัดการเมื่อ Client หลุดจากการเชื่อมต่อกับ Server ทำให้ Server อื่นๆที่ไม่รู้จัก หรือใช้ man-in-the-middle attacker ทำให้ Application ที่มีการใช้ libmysqlclient เกิดการ Crash ได้ (CVE-2017-3302)

นอกจากนี้ยังครอบคลุมช่องโหว่อื่นๆอีกมากมาย ซึ่งส่งผลกระทบกับ MySQL โดยสามารถหารายละเอียดได้จากเวปไซต์ของ Oracle Critical Patch Update

ที่มา : redhat

Massive Wave of MongoDB Ransom Attacks Makes 26,000 New Victims

การโจมตีเพื่อเรียกค่าไถ่กับฐานข้อมูล MongoDB ละลอกใหม่ โดยนักวิจัยเรียกการโจมตีนี้ว่า “MongoDB Apocalypse” โดยจะทำการสแกนในอินเตอร์เพื่อค้นหาฐานข้อมูล MongoDB ที่อนุญาตให้มีการเชื่อมต่อจากภายนอกได้ แล้วทำการลบข้อมูลและแทนที่ด้วยข้อความเรียกค่าไถ่ ณ ปัจจุบันมีฐานข้อมูลที่โดนโจมตีมากถึง 45,000 แห่ง และยังแพร่กระจายไปยังเทคโนโลยีเซิร์ฟเวอร์อื่นๆ เช่น ElasticSearch, Hadoop, CouchDB, Cassandra และเซิร์ฟเวอร์ MySQL ปัจจุบันมีกลุ่มใหม่ 3 กลุ่มปรากฏในการโจมตีละลอกใหม่และทำให้เกิดผู้เสียหายรวมแล้วมากถึง 26,000 รายโดยมี Email address ดังนี้
1. cru3lty@safe-mail.

Oracle MySQL Server Vulnerabilities 01/08/17

Oracle ได้ออก patch update ด้าน security เพื่อใช้ในการอุดช่องโหว่ที่ค้นพบใน Oracle MySQL Server โดยช่องโหว่นี้สามารถใช้ประโยชน์จากโปรโตคอล MySQL ทำให้ผู้โจมตีสามารถโจมตีจากระยะไกล (remote attack)

Recommendation : ควรทำการ update patch

Affected Platform :

Oracle MySQL Server 5.7.18
Oracle MySQL Server 5.7.17
Oracle MySQL Server 5.7.16
Oracle MySQL Server 5.7.15
Oracle MySQL Server 5.7.12
Oracle MySQL Server 5.7
Oracle MySQL Server 5.6.36
Oracle MySQL Server 5.6.35
Oracle MySQL Server 5.6.34
Oracle MySQL Server 5.6.33
Oracle MySQL Server 5.6.30
Oracle MySQL Server 5.6.29
Oracle MySQL Server 5.6.28
Oracle MySQL Server 5.6.27
Oracle MySQL Server 5.6.26
Oracle MySQL Server 5.6.23
Oracle MySQL Server 5.6.22
Oracle MySQL Server 5.6.21
Oracle MySQL Server 5.5.56
Oracle MySQL Server 5.5.55
Oracle MySQL Server 5.5.54
Oracle MySQL Server 5.5.53
Oracle MySQL Server 5.5.52
Oracle MySQL Server 5.5.48
Oracle MySQL Server 5.5.47
Oracle MySQL Server 5.5.46
Oracle MySQL Server 5.5.45
Oracle MySQL Server 5.5.42
Oracle MySQL Server 5.5.41
Oracle MySQL Server 5.5.40
Oracle MySQL Server 5.6.25
Oracle MySQL Server 5.6.24
Oracle MySQL Server 5.6.20
Oracle MySQL Server 5.6.16
Oracle MySQL Server 5.6.15
Oracle MySQL Server 5.5.44
Oracle MySQL Server 5.5.43
Oracle MySQL Server 5.5.36
Oracle MySQL Server 5.5.35

ที่มา : securityfocus

ช่องโหว่ Riddle ใน “Again Riddle”

นักวิจัยด้านความปลอดภัย Pali Rohár ได้ค้นพบช่องโหว่ซึ่งถูกเรียกว่า Riddle ซึ่งเป็นช่องโหว่ที่อนุญาตให้ผู้โจมตีทำการ MITM ได้อันเนื่องมาจากความบกพร่องในการตรวจสอบคุณสมบัติด้านความปลอดภัยของการเชื่อมต่อ ช่องโหว่ Riddle ได้ถูกแพตช์ไปแล้วโดยใน MySQL 5.5.55

Again Riddle เป็นช่องโหว่ที่ถูกค้นพบอีกครั้งบน MySQL 5.5.55 โดยเป็นช่องโหว่ในลักษณะเดียวกันกับ Riddle คือ หากไฟล์ libmyclient.

Oracle MySQL and MariaDB CVE-2012-5627 Insecure Salt Generation Security Bypass Weakness

MySQL และ MariaDB มีช่องโหว่ security-bypass
โดยผู้โจมตีสามารถใช้เทคนิคที่เรียกว่า brute force ในการโจมตีและอาจส่งผลให้เกิดการโจมตีอื่นๆตามมา

ที่มา: securityfocus

MySQL.com Once again Compromised using Sql Flaw

 

เว็ปไซต์ MySql.com ถูกแฮกอีกครั้งหนึ่งแล้ว โดยถูกโจมตีด้วยวิธี SQL Injection ด้วยฝีมือของแฮกเกอร์ที่ชื่อว่า "D35M0ND142”

หลังจากเมื่อเดิอนกันยายนที่ผ่านมาเคยถูกโจมตีไปแล้วครั้งหนึ่งและเว็ปไซต์ถูกฝังมัลแวร์เอาไว้

ที่มา: thehackernews