มีการสังเกตพบพฤติกรรมของแฮ็กเกอร์ในการพยายามโจมตีอุปกรณ์ที่ไม่ได้รับการดูแล และยังคงมีช่องโหว่ด้านความปลอดภัยเก่าในปี 2022 และ 2023

GreyNoise แพลตฟอร์มเฝ้าระวังภัยคุกคามรายงานว่า พบการโจมตีโดยใช้ช่องโหว่ CVE-2022-47945 และ CVE-2023-49103 เพิ่มมากขึ้น ซึ่งส่งผลกระทบต่อ ThinkPHP Framework และ ownCloud Solution โอเพ่นซอร์สสำหรับการแชร์ และซิงค์ไฟล์

ช่องโหว่ทั้งสองรายการมีความรุนแรงในระดับ Critical และสามารถถูกใช้เพื่อเรียกใช้คำสั่งบนระบบปฏิบัติการได้ หรือดึงข้อมูลสำคัญ เช่น รหัสผ่านผู้ดูแลระบบ, ข้อมูลเซิร์ฟเวอร์อีเมล และ license key

ช่องโหว่แรก เป็นช่องโหว่ local file inclusion (LFI) ซึ่งอยู่ในพารามิเตอร์ language ของ ThinkPHP Framework เวอร์ชันก่อน 6.0.14 โดยผู้โจมตีที่ไม่ต้องผ่านการยืนยันตัวตนสามารถโจมตีโดยใช้ช่องโหว่นี้เพื่อเรียกใช้คำสั่งระบบปฏิบัติการได้ หากมีการเปิดใช้งานฟีเจอร์ language pack

Akamai รายงานเมื่อช่วงฤดูร้อนปีที่แล้วว่า กลุ่มแฮ็กเกอร์จากจีนได้ใช้ช่องโหว่ดังกล่าวในการโจมตีแบบจำกัดเป้าหมายมาตั้งแต่เดือนตุลาคม 2023

ตามรายงานของ GreyNoise ช่องโหว่ CVE-2022-47945 กำลังถูกโจมตีในปริมาณสูงขึ้นมาก โดยมีการโจมตีมาจาก IP ต้นทางที่เพิ่มขึ้นอย่างต่อเนื่อง

โดยรายงานระบุว่า “GreyNoise ตรวจพบ IP ที่ไม่ซ้ำกัน จำนวน 572 IPs ที่พยายามโจมตีโดยใช้ช่องโหว่นี้ และมีจำนวนเพิ่มขึ้นอย่างเห็นได้ชัดในช่วงไม่กี่วันที่ผ่านมา”

ทั้งนี้ แม้ว่าจะมีคะแนนการประเมิน Exploit Prediction Scoring System (EPSS) ของช่องโหว่นี้จะอยู่ในระดับต่ำเพียง 7% และรายการช่องโหว่นี้ยังไม่ได้รวมอยู่ในแค็ตตาล็อกของ CISA (Known Exploited Vulnerabilities - KEV) แต่กลับพบว่ามีการโจมตีเกิดขึ้นในปริมาณสูงขึ้นอย่างต่อเนื่อง

 

ช่องโหว่ที่สองส่งผลกระทบต่อ ownCloud ซอฟต์แวร์แชร์ไฟล์แบบโอเพ่นซอร์สยอดนิยม ซึ่งเกิดจากการที่แอปฯ ต้องพึ่งพาไลบรารีของ third-party ที่ทำให้รายละเอียดของ PHP environment ถูกเปิดเผยได้ผ่าน URL

ไม่นานหลังจากที่นักพัฒนาเปิดเผยช่องโหว่นี้ครั้งแรกในเดือนพฤศจิกายน 2023 แฮ็กเกอร์ก็เริ่มโจมตีโดยใช้ช่องโหว่นี้เพื่อขโมยข้อมูลสำคัญจากระบบที่ยังไม่ได้รับการอัปเดต

หนึ่งปีต่อมา CVE-2023-49103 ถูกจัดอยู่ใน 15 ช่องโหว่ที่ถูกใช้โจมตีมากที่สุดในปี 2023 โดย FBI, CISA และ NSA

แม้จะผ่านไปกว่า 2 ปี นับตั้งแต่ที่ผู้พัฒนาออกแพตซ์อัปเดตเพื่อแก้ไขช่องโหว่นี้ แต่ระบบจำนวนมากยังคงไม่ได้รับการแพตช์ และยังเปิดช่องให้ถูกโจมตีได้

GreyNoise พบว่าการโจมตีที่ใช้ช่องโหว่ CVE-2023-49103 มีจำนวนเพิ่มขึ้นเมื่อเร็ว ๆ นี้ โดยมีกิจกรรมที่มาจาก 484 IP ต้นทางที่ไม่ซ้ำกัน

 

เพื่อป้องกันระบบจากการถูกโจมตี ผู้ใช้ควรอัปเกรด ThinkPHP เป็นเวอร์ชัน 6.0.14 ขึ้นไป และ อัปเดต ownCloud GraphAPI เป็นเวอร์ชัน 0.3.1 หรือใหม่กว่า

นอกจากนี้ แนะนำให้ปิดการใช้งานระบบที่อาจมีความเสี่ยงชั่วคราว หรือใช้งานหลังไฟร์วอลล์ เพื่อลดช่องทางการโจมตีจากแฮ็กเกอร์

 

ที่มา : bleepingcomputer.

ผู้ให้บริการซอฟต์แวร์โอเพ่นซอร์ส file-sharing อย่าง ownCloud ออกมาแจ้งเตือนถึงช่องโหว่ระดับ Critical 3 รายการ ที่อาจนำไปใช้ในการเปิดเผยข้อมูลที่สำคัญ และทำให้ผู้โจมตีสามารถแก้ไขไฟล์ได้

คำอธิบายของช่องโหว่มีดังนี้

CVE-2023-49103 (CVSS score: 10.0) ช่องโหว่การเปิดเผยข้อมูล credentials และช่องโหว่การกำหนดค่าใน containerized deployments ที่ส่งผลกระทบต่อ graphapi เวอร์ชันตั้งแต่ 0.2.0 ถึง 0.3.0
CVE-2023-49105 (CVSS score: 9.8) ช่องโหว่ Authentication Bypass ใน WebDAV Api โดยใช้ Pre-Signed URLs ซึ่งส่งผลกระทบต่อเวอร์ชันหลัก ตั้งแต่ 10.6.0 ถึง 10.13.0
CVE-2023-49104 (CVSS score: 9.0) ช่องโหว่การ Bypass การตรวจสอบ Subdomain ที่ส่งผลกระทบต่อ oauth2 ก่อนเวอร์ชัน 0.6.1
ช่องโหว่แรกเกิดจาก แอป 'graphapi' จะใช้ไลบรารีของ third-party ที่จะ provide URL ให้ ซึ่งเมื่อเข้าถึง URL นี้ จะทำให้มีการเปิดเผยข้อมูล configuration ของ PHP (phpinfo) ซึ่งข้อมูลนี้รวมถึง environment ทั้งหมดใน containerized deployments ซึ่งอาจอาจรวมถึงข้อมูลที่มีความสำคัญ เช่น รหัสผ่านผู้ดูแลระบบ ownCloud, ข้อมูล Credentials ของเซิร์ฟเวอร์เมล และ license key

ช่องโหว่รายการที่สอง คือทำให้สามารถเข้าถึง แก้ไข หรือลบไฟล์ใด ๆ ก็ตามที่ไม่มีการยืนยันตัวตน หากทราบชื่อผู้ใช้ของเหยื่อ และเหยื่อไม่ได้กำหนดค่า signing-key เป็นค่าเริ่มต้น ซึ่งเป็นพฤติกรรมโดยปกติของผู้ใช้งานส่วนใหญ่

ช่องโหว่รายการที่สาม เป็นช่องโหว่ที่เกี่ยวข้องกับการควบคุมการเข้าถึงที่ไม่เหมาะสม ซึ่งทำให้ผู้โจมตีสามารถส่ง URL เพื่อเปลี่ยนเส้นทางที่ถูกสร้างขึ้นมาเป็นพิเศษ โดยข้ามขั้นตอนการตรวจสอบสิทธิ์ และทำให้ผู้โจมตีเปลี่ยนเส้นทางการเรียกกลับไปยัง TLD ที่ควบคุมโดยผู้โจมตีได้

นอกเหนือจากการเพิ่มมาตรการรักษาความปลอดภัยให้กับการตรวจสอบความถูกต้องในแอป oauth2 แล้ว ownCloud ยังแนะนำให้ผู้ใช้ปิดการใช้งานตัวเลือก "Allow Subdomains" เพื่อแก้ปัญหาอีกด้วย

การแจ้งเตือนดังกล่าวเกิดขึ้นภายหลังจากที่มีการเผยแพร่ Proof-of-Concept (PoC) สำหรับโจมตีช่องโหว่การเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกลในโซลูชัน CrushFTP (CVE-2023-43177) ที่อาจทำให้ผู้โจมตีที่ไม่ผ่านการยืนยันตัวตนสามารถเข้าถึงไฟล์ หรือเรียกใช้โปรแกรมโดยไม่ได้รับอนุญาตบนโฮสต์ และเข้าถึงรหัสผ่านที่เป็น plain-text ได้ ซึ่งช่องโหว่นี้ได้รับการแก้ไขแล้วใน CrushFTP เวอร์ชัน 10.5.2 ซึ่งเผยแพร่เมื่อวันที่ 10 สิงหาคม 2023

แนวทางแก้ไขจาก ownCloud

แนะนำให้ลบไฟล์ "owncloud/apps/graphapi/vendor/microsoft/microsoft-graph/tests/GetPhpInfo.