พบความพยายามในการติดตั้งมัลแวร์โดยอาศัยช่องโหว่ของ Drupal ที่มีชื่อว่า “Drupalgeddon2”

พบความพยายามในการติดตั้งมัลแวร์โดยอาศัยช่องโหว่ของ Drupal ที่มีชื่อว่า "Drupalgeddon2" (CVE-2018-7600)

Larry W. Cashdollar นักวิจัยด้านความปลอดภัยของ Akamai เปิดเผยว่าพบแคมเปญใหม่ที่เกิดขึ้นเป็นการพยายามเรียกใช้โค้ดที่ที่ฝังอยู่ในไฟล์ .GIF หรือไฟล์ .txt ที่มี Perl Script จากการวิเคราะห์ไฟล์ที่พบว่าถูกใช้โจมตีไปยังเว็บในประเทศบราซิล เป็นการฝัง PHP Code ที่เข้ารหัสด้วย Base64 เพื่อหลีกเลี่ยงการตรวจจับ นอกจากนี้พบว่าตัวมัลแวร์เองมีความสามารถในการค้นหา credential ที่มีการเก็บไว้บนเครื่อง, ทดลองส่งอีเมลโดยใช้ credential ที่พบ, เก็บข้อมูลไฟล์ config ของ MySQL, เปลี่ยนชื่อหรืออัพโหลดไฟล์ และรัน Web shell เป็นต้น นอกจากนี้ยังพบพฤติกรรมของการทำ DDoS และฝัง Remote Access Trojan (RAT) เพื่อติดต่อไปยัง C&C

ช่องโหว่ดังกล่าวส่งผลกระทบกับ Drupal เวอร์ชั่น 6, 7 และ 8 ผู้ใช้งานควรทำการอัพเดตให้เป็นเวอร์ชั่นล่าสุดเพื่อหลีกเลี่ยงการตกเป็นเหยื่อ

ที่มา: securityweek

Introducing GoCrack: A Managed Password Cracking Tool

FireEye's Innovation and Custom Engineering (ICE) หรือทีมวิศวกรของทาง FireEye ได้พัฒนาเครื่องมือชื่อ GoCrack ซึ่งช่วยให้ทีมที่ทดสอบเจาะระบบสามารถทำการถอดรหัสหรือค่าแฮชได้หลายร้อยค่าได้พร้อมกัน และยังมาพร้อมกับหน้าตา UI ที่มีการใช้งานที่ง่าย เพียงแค่ทำการลงโปรแกรมกับตัว Worker ของเครื่อง จากนั้นระบบจะทำการกระจายงานไปให้กับตัว Worker ต่างๆ เครื่องมือที่ใช้เจาะรหัสผ่านนั้นเป็นสิ่งที่สำคัญมากสำหรับผู้เชี่ยวชาญด้านความปลอดภัย ใช้ในการทดสอบประสิทธิภาพของรหัสผ่าน พัฒนามาตรการในการตั้งรหัส และการ Audit เงื่อนไขของรหัสผ่านของเครื่องมือภายในองค์กร
GoCrack ประกอบไปด้วยสิทธิ์ตามระบบ หรือระบบที่จะควบคุมในส่วนของสิทธิ์การเข้าถึง ซึ่งจะห้ามไม่ให้ผู้ที่ไม่มีสิทธิ์เข้าถึงข้อมูลยกเว้นจะเป็นเจ้าของงานนั้น หรือได้รับอนุญาติให้เข้าถึงได้จากเจ้าของงาน การแก้ไขงาน เข้าถึงรหัสผ่านที่เจาะมาได้ หรือการโหลดไฟล์งาน จะถูกจำกัดสิทธิ์โดย Administrator Engine files หรือไฟล์ที่ถูกใช้โดยตัว Cracking engine เช่น Dictionaries สามารถถูกอัพโหลดเป็น shared file ได้ แต่ผู้ใช้อื่นจะไม่สามารถดาวน์โหลด หรือแก้ไขไฟล์ได้ ทำให้ข้อมูลที่มีความละเอียดอ่อนมีความปลอดภัย GoCrack สามารถลงได้บน Linux server ใดก็ได้ที่มีการลง Docker ไว้แล้ว ในอนาคตมีการวางแผนไว้ว่าจะรองรับ MySQL และ Postgres database engine สำหรับการใช้งานที่จะเพิ่มมากขึ้น

ที่มา : Fireeye

RHSA-2017:2787 – Security Advisory for MySQL

Red Hat ได้ทำการอัพเดต MySQL 5.6(rh-mysql56-mysql) โดยได้ทำการแก้ไขช่องโหว่ตามรายงาน CVE ที่ได้มีการเปิดเผยออกมา, MySQL ซึ่งเป็น SQL Server Database ที่สามารถใช้งานแบบผู้ใช้หลายคน (Multi- user) และมีการประมวลผลหลายๆงานพร้อมกัน (multi-threaded) ประกอบด้วยเซิร์ฟเวอร์ MySQL daemon, mysqld และโปรแกรม Client จำนวนมาก ทั้งนี้ได้มีการอัพเกรดแพ็คเกจต่อไปนี้เป็น Version ที่ใหม่กว่าคือ rh-mysql56-mysql (5.6.37) เพื่อแก้ปัญหาข้อบกพร่องที่เกิดขึ้น ตัวอย่างช่องโหว่ที่ไดรับการปรับปรุงแล้ว มีดังนี้

1. ข้อบกพร่องเรื่อง Integer Overflow ที่จะนำไปสู่ Buffer Overflow ของ MySQL ทำให้ผู้โจมตีจากระยะไกล(Remote Attack) ใช้ข้อบกพร่องนี้เพื่อโจมตี และทำให้ MySQL เกิด crash ได้ (CVE-2017-3599)
2. พบว่าเครื่องมือ mysql และ mysqldump ไม่สามารถจัดการฐานข้อมูลและชื่อตารางที่มีอักขระเป็น Newline ได้อย่างถูกต้อง ผู้ใช้ฐานข้อมูลที่มีสิทธิ์สร้างฐานข้อมูล และตาราง สามารถรันคำสั่ง shell หรือ SQL ได้โดยพลการ ขณะที่มีการ Restore ข้อมูลจาก Backup ที่ถูกสร้างโดย mysqldump (CVE-2016-5483, CVE-2017-3600)
3. พบข้อบกพร่องหลายอย่างในสคริปต์ MySQL init ที่ใช้ในการจัดการค่าเริ่มต้นของ Data Directory ในฐานข้อมูล และการตั้งค่าสิทธิ์ใน Error Log File ทำให้ผู้ใช้ MySQL สามารถใช้ข้อบกพร่องนี้เพื่อเพิ่มสิทธิ์เป็น root ได้ (CVE-2017-3265)
4. พบว่าเครื่องมือ Command line ของ MySQL client จะมีการตรวจสอบก็ต่อเมื่อพบว่า Server รับรองการใช้งาน SSL เท่านั้น ทำให้สามารถใช้ man-in-the-middle attacker เพื่อแย่งชิงการตรวจสอบความถูกต้องของ Client ไปยัง Server แม้ว่า Client จะได้รับการกำหนดค่าให้ใช้งาน SSL ก็ตาม (CVE-2017-3305)
5. พบข้อบกพร่องใน mysqld_safe script ที่ใช้ในการสร้างไฟล์ error log ทำให้ผู้ใช้งาน MySQL สามารถเพิ่มสิทธิ์ของตนเองให้เป็น root ได้ (CVE-2017-3312)
6. พบข้อบกพร่องใน Client Library ของ MySQL(libmysqlclient) ที่ใช้จัดการเมื่อ Client หลุดจากการเชื่อมต่อกับ Server ทำให้ Server อื่นๆที่ไม่รู้จัก หรือใช้ man-in-the-middle attacker ทำให้ Application ที่มีการใช้ libmysqlclient เกิดการ Crash ได้ (CVE-2017-3302)

นอกจากนี้ยังครอบคลุมช่องโหว่อื่นๆอีกมากมาย ซึ่งส่งผลกระทบกับ MySQL โดยสามารถหารายละเอียดได้จากเวปไซต์ของ Oracle Critical Patch Update

ที่มา : redhat

Massive Wave of MongoDB Ransom Attacks Makes 26,000 New Victims

การโจมตีเพื่อเรียกค่าไถ่กับฐานข้อมูล MongoDB ละลอกใหม่ โดยนักวิจัยเรียกการโจมตีนี้ว่า “MongoDB Apocalypse” โดยจะทำการสแกนในอินเตอร์เพื่อค้นหาฐานข้อมูล MongoDB ที่อนุญาตให้มีการเชื่อมต่อจากภายนอกได้ แล้วทำการลบข้อมูลและแทนที่ด้วยข้อความเรียกค่าไถ่ ณ ปัจจุบันมีฐานข้อมูลที่โดนโจมตีมากถึง 45,000 แห่ง และยังแพร่กระจายไปยังเทคโนโลยีเซิร์ฟเวอร์อื่นๆ เช่น ElasticSearch, Hadoop, CouchDB, Cassandra และเซิร์ฟเวอร์ MySQL ปัจจุบันมีกลุ่มใหม่ 3 กลุ่มปรากฏในการโจมตีละลอกใหม่และทำให้เกิดผู้เสียหายรวมแล้วมากถึง 26,000 รายโดยมี Email address ดังนี้
1. cru3lty@safe-mail.

Oracle MySQL Server Vulnerabilities 01/08/17

Oracle ได้ออก patch update ด้าน security เพื่อใช้ในการอุดช่องโหว่ที่ค้นพบใน Oracle MySQL Server โดยช่องโหว่นี้สามารถใช้ประโยชน์จากโปรโตคอล MySQL ทำให้ผู้โจมตีสามารถโจมตีจากระยะไกล (remote attack)

Recommendation : ควรทำการ update patch

Affected Platform :

Oracle MySQL Server 5.7.18
Oracle MySQL Server 5.7.17
Oracle MySQL Server 5.7.16
Oracle MySQL Server 5.7.15
Oracle MySQL Server 5.7.12
Oracle MySQL Server 5.7
Oracle MySQL Server 5.6.36
Oracle MySQL Server 5.6.35
Oracle MySQL Server 5.6.34
Oracle MySQL Server 5.6.33
Oracle MySQL Server 5.6.30
Oracle MySQL Server 5.6.29
Oracle MySQL Server 5.6.28
Oracle MySQL Server 5.6.27
Oracle MySQL Server 5.6.26
Oracle MySQL Server 5.6.23
Oracle MySQL Server 5.6.22
Oracle MySQL Server 5.6.21
Oracle MySQL Server 5.5.56
Oracle MySQL Server 5.5.55
Oracle MySQL Server 5.5.54
Oracle MySQL Server 5.5.53
Oracle MySQL Server 5.5.52
Oracle MySQL Server 5.5.48
Oracle MySQL Server 5.5.47
Oracle MySQL Server 5.5.46
Oracle MySQL Server 5.5.45
Oracle MySQL Server 5.5.42
Oracle MySQL Server 5.5.41
Oracle MySQL Server 5.5.40
Oracle MySQL Server 5.6.25
Oracle MySQL Server 5.6.24
Oracle MySQL Server 5.6.20
Oracle MySQL Server 5.6.16
Oracle MySQL Server 5.6.15
Oracle MySQL Server 5.5.44
Oracle MySQL Server 5.5.43
Oracle MySQL Server 5.5.36
Oracle MySQL Server 5.5.35

ที่มา : securityfocus

ช่องโหว่ Riddle ใน “Again Riddle”

นักวิจัยด้านความปลอดภัย Pali Rohár ได้ค้นพบช่องโหว่ซึ่งถูกเรียกว่า Riddle ซึ่งเป็นช่องโหว่ที่อนุญาตให้ผู้โจมตีทำการ MITM ได้อันเนื่องมาจากความบกพร่องในการตรวจสอบคุณสมบัติด้านความปลอดภัยของการเชื่อมต่อ ช่องโหว่ Riddle ได้ถูกแพตช์ไปแล้วโดยใน MySQL 5.5.55

Again Riddle เป็นช่องโหว่ที่ถูกค้นพบอีกครั้งบน MySQL 5.5.55 โดยเป็นช่องโหว่ในลักษณะเดียวกันกับ Riddle คือ หากไฟล์ libmyclient.

Oracle MySQL and MariaDB CVE-2012-5627 Insecure Salt Generation Security Bypass Weakness

MySQL และ MariaDB มีช่องโหว่ security-bypass
โดยผู้โจมตีสามารถใช้เทคนิคที่เรียกว่า brute force ในการโจมตีและอาจส่งผลให้เกิดการโจมตีอื่นๆตามมา

ที่มา: securityfocus

MySQL.com Once again Compromised using Sql Flaw

 

เว็ปไซต์ MySql.com ถูกแฮกอีกครั้งหนึ่งแล้ว โดยถูกโจมตีด้วยวิธี SQL Injection ด้วยฝีมือของแฮกเกอร์ที่ชื่อว่า "D35M0ND142”

หลังจากเมื่อเดิอนกันยายนที่ผ่านมาเคยถูกโจมตีไปแล้วครั้งหนึ่งและเว็ปไซต์ถูกฝังมัลแวร์เอาไว้

ที่มา: thehackernews