LockBit ransomware กลับมาอีกครั้งจากกู้คืนเซิร์ฟเวอร์ หลังถูกจัดการไปโดยเจ้าหน้าที่ตำรวจ

 

กลุ่ม LockBit กำลังกลับมาดำเนินการโจมตีด้วยแรนซัมแวร์อีกครั้ง ภายในระยะเวลาไม่ถึง 1 อาทิตย์ หลังจากที่เจ้าหน้าที่สามารถเจาะเข้าไปยังเซิร์ฟเวอร์ของพวกเขา โดยกลุ่มนี้ได้ย้ายไปยังระบบใหม่ และยังคงข่มขู่ว่าจะมุ่งเน้นโจมตีหน่วยงานรัฐบาลมากขึ้น (more…)

ช่องโหว่ระดับ Critical ใน GitHub ทำให้ Repositories มากกว่า 4,000 รายการถูกโจมตีด้วยวิธีการ Repojacking

พบช่องโหว่ใหม่ใน GitHub อาจทำให้ repositories หลายพันรายการเสี่ยงต่อการถูกโจมตีด้วยวิธีการ Repojacking

จากรายงานของ Elad Rapoport นักวิจัยด้านความปลอดภัยของ Checkmarx ที่แชร์กับ The Hacker News ระบุว่า ช่องโหว่นี้อาจทำให้ผู้โจมตีสามารถใช้ประโยชน์จาก race condition ในการดำเนินการสร้าง repository และเปลี่ยนชื่อผู้ใช้ของ GitHub
(more…)

New PHP Flaw Could Let Attackers Hack Sites Running On Nginx Servers

ข้อบกพร่องใหม่ใน PHP อาจทำให้แฮกเกอร์โจมตีเว็บไซต์ที่ทำงานบนเซิร์ฟเวอร์ Nginx
หากคุณใช้งานเว็บไซต์ที่ใช้ PHP บนเซิร์ฟเวอร์ NGINX และเปิดใช้งานฟีเจอร์ PHP-FPM เพื่อเพิ่มประสิทธิภาพที่ดีขึ้น ควรระวังช่องโหว่ใหม่ที่อาจทำให้ผู้โจมตีทำการแฮกเซิร์ฟเวอร์เว็บไซต์ของคุณจากระยะไกล
ช่องโหว่ CVE-2019-11043 มีผลกระทบต่อเว็บไซต์ที่มีการกำหนดค่าบางอย่างของ PHP-FPM
PHP-FPM เป็นอีกทางเลือกหนึ่งของการติดตั้ง PHP FastCGI ที่นำเสนอการประมวลผลขั้นสูงและมีประสิทธิภาพสูงสำหรับสคริปต์ที่เขียนด้วยภาษาการเขียนโปรแกรม PHP
ช่องโหว่หลักคือปัญหา "env_path_info" memory corruption (underflow) ในโมดูล PHP-FPM และการเชื่อมโยงกับปัญหาอื่น ๆ อาจทำให้ผู้โจมตีใช้ช่องโหว่รันโค้ดอันตรายจากระยะไกล (RCE) บนเว็บเซิร์ฟเวอร์ได้
ช่องโหว่ดังกล่าวถูกพบโดย Andrew Danau นักวิจัยด้านความปลอดภัยที่ Wallarm ในขณะที่ค้นหาข้อบกพร่องในการแข่งขัน Capture The Flag ซึ่งต่อมาได้รับความรู้จากนักวิจัยสองคนคือ Omar Ganiev และ Emil Lerner เพื่อพัฒนาการใช้ประโยชน์จากช่องโหว่ในการรันโค้ดอันตราย
แม้ว่า PoC exploit ที่ถูกปล่อยออกมาได้รับการออกแบบมาเพื่อเป้าหมายเฉพาะเซิร์ฟเวอร์ที่มีช่องโหว่ที่ใช้งาน PHP 7+ แต่ bug underflow ของ PHP-FPM ก็อาจส่งผลกระทบต่อ PHP เวอร์ชันก่อนหน้าด้วย ซึ่งจะมีความเสี่ยงต่อการโจมตีถ้าตรงกับเงื่อนไขดังต่อไปนี้
- NGINX ได้รับการกำหนดค่าให้ส่งต่อคำขอ PHP ไปยังตัวประมวลผล PHP-FPM
- คำสั่ง fastcgi_split_path_info มีอยู่ในการกำหนดค่าและรวมถึง regular expression ที่เริ่มต้นด้วยสัญลักษณ์ '^' และลงท้ายด้วยสัญลักษณ์ '$'
- ตัวแปร PATH_INFO ถูกกำหนดด้วยคำสั่ง fastcgi_param
-ไม่มีการตรวจสอบเช่น try_files $ uri = 404 หรือถ้า (-f $ uri) เพื่อตรวจสอบว่ามีไฟล์อยู่หรือไม่
หนึ่งในผู้ให้บริการเว็บโฮสติ้งที่ได้รับผลกระทบคือ Nextcloud ผู้ออกคำแนะนำเตือนผู้ใช้ว่า "การกำหนดค่าเริ่มต้น Nextcloud NGINX นั้นยังเสี่ยงต่อการถูกโจมตีครั้งนี้ และแนะนำผู้ดูแลระบบให้ดำเนินการทันที
ผู้ใช้ควรทำการอัพเดท PHP เป็น PHP 7.3.11 และ PHP 7.2.24 ล่าสุดเพื่อป้องกันการโจมตี

ที่มา thehackernews

Multiple Vulnerabilities in PHP Could Allow for Arbitrary Code Execution

PHP ประกาศแพตช์ช่องโหว่ด้านความปลอดภัย 7 รายการในรุ่น 7.1.19 และ 7.2.7 วันนี้โดยช่องโหว่ที่ร้ายแรงสูงสุดใน 7 รายการนั้นสามารถทำให้ผู้โจมตีรันโค้ดที่เป็นอันตรายเพื่อโจมตีระบบที่มีช่องโหว่ได้จากระยะไกล ยังไม่พบการใช้ช่องโหว่ดังกล่าวในการโจมตีจริงในตอนนี้
ผู้ใช้งานสามารถทำการอัปเดต PHP เพื่อรับแพตช์ช่องโหว่ด้านความปลอดภัยดังกล่าวได้โดยสำหรับรุ่น 7.2 นั้นให้ผู้ใช้งานอัปเดตไปยังรุ่น 7.2.7 ส่วนในรุ่น 7.1 นั้นให้ผู้ใช้งานอัปเดตไปยังรุ่น 7.1.19 PHP รุ่น 7.2 ก่อนหน้ารุ่น 7.2.7 และ PHP รุ่น 7.1. ก่อนหน้ารุ่น 7.1.19

ที่มา : Center for Internet Security

MS-ISAC Releases Advisory on PHP Vulnerabilities

MS-ISAC ประกาศแจ้งเตือนช่องโหว่ใน PHP หลายช่องโหว่ซึ่งส่งผลให้ผู้โจมตีสามารถรันโค้ดที่เป็นอันตรายจากระยะไกลเพื่อควบคุมระบบหรือซอฟต์แวร์ที่มีช่องโหว่ได้ โดยในขณะนี้ยังตรวจไม่พบการใช้ช่องโหว่ดังกล่าวในการโจมตี

สำหรับช่องโหว่ในรอบนี้นั้นมีการถูกค้นพบกว่าหลาย 10 รายการ โดยส่งมีความรุนแรงของช่องโหว่อยู่ในระดับสูง (High) กระทบ PHP ตั้งแต่รุ่น 7.2 (ก่อน 7.2.5), 7.1 (ก่อน 7.1.17), 7.0 (ก่อน 7.0.30) และ 5.0 (ก่อน 5.6.36)
สำหรับผู้ใช้งานหรือนักพัฒนาที่มีการใช้ซอฟต์แวร์ในรุ่นที่มีช่องโหว่อยู่นั้น MS-ISAC แนะนำให้อัปเกรดเป็นรุ่นย่อยของแต่ละเวอร์ชัน ได้แก่ 7.2.5, 7.1.17, 7.0.30 และ 5.6.36 โดยทันที รวมไปถึงให้มีการตรวจสอบควบคู่ไปด้วยว่าระบบยังคงทำงานโดยปกติ ไม่มีการเข้าถึงหรือแก้ไขข้อมูลโดยที่ไม่ได้รับอนุญาต

ที่มา : us-cert

Multiple Vulnerabilities in PHP Could Allow for Arbitrary Code Execution Edit Comment Assign More Canceled Done Export

ตรวจพบช่องโหว่หลายช่องโหว่ใน PHP ซึ่งเป็นภาษาการเขียนโปรแกรมที่ออกแบบมาเพื่อใช้ในแอ็พพลิเคชันบนเว็บที่มีเนื้อหา HTML ส่งผลให้แฮกเกอร์สามารถโจมตีรันโค้ดได้ เพื่อเปลี่ยนแปลงแก้ไขข้อมูล หรือสร้างบัญชีใหม่ได้โดยสิทธิ์ของผู้ใช้งานเต็บรูปแบบ รายละเอียดดังนี้

ความเสี่ยงที่อยู่ในระดับสูงของหน่วยงานต่างๆ

รัฐบาล:

- หน่วยงานภาครัฐขนาดใหญ่และขนาดกลาง
- หน่วยงานรัฐบาลขนาดเล็ก

ธุรกิจ

- องค์กรธุรกิจขนาดใหญ่และขนาดกลาง
- หน่วยงานธุรกิจขนาดเล็ก

ส่วนผู้ใช้งานทั่วไปๆจัดอยู่ในระดับต่ำ

สรุปทางเทคนิค:

เวอร์ชั่น 7.2.3

- Bug #49876 (Fix LDAP path lookup on 64-bit distros).
- Bug #54289 (Phar::extractTo() does not accept specific directories to be extracted). Phar :: extractTo () ไม่ยอมรับไดเรกทอรีเฉพาะที่จะแยกออก
- Bug #65414 (deal with leading slash when adding files correctly). จัดการกับเครื่องหมาย / เมื่อเพิ่มไฟล์
- Bug #65414 (deal with leading slash while adding files correctly). จัดการกับเครื่องหมาย / ขณะที่เพิ่มไฟล์
- Bug #68406 (calling var_dump on a DateTimeZone object modifies it). เรียกใช้งาน var_dump ที่ DateTimeZone
- Bug #73725 (Unable to retrieve value of varchar(max) type). ไม่สามารถดึงข้อมูลค่าของ varchar (สูงสุด) ได้
- Bug #74519 (strange behavior of AppendIterator). พฤติกรรมแปลก ๆ ของ AppendIterator
- Bug #75729 (opcache segfault when installing Bitrix). opcache segfault เมื่อติดตั้ง Bitrix
- Bug #75838 (Memory leak in pg_escape_bytea()). หน่วยความจำรั่วไหลใน pg_escape_bytea ()
- Bug #75857 (Timezone gets truncated when formatted). เวลาไม่ถูกต้อง
- Bug #75864 ("stream_isatty" returns wrong value on s390x). stream_isatty ส่งคืนค่าผิดพลาดใน s390x
- Bug #75871 (use pkg-config where available). ใช้งาน pkg-config ได้
- Bug #75882 (a simple way for segfaults in threadsafe php just with configuration). กำหนดค่า segfaults ใน threadsafe php
- Bug #75893 (file_get_contents $http_response_header variable bugged with opcache). ตัวแปร $ http_response_header ถูกบีบอัดด้วย opcache
- Bug #75916 (DNS_CAA record results contain garbage).
- Bug #75928 (Argument 2 for DateTimeZone::listIdentifiers() should accept null). อาร์กิวเมนต์ 2 ควรใช้ค่า Null ได้
- Bug #75938 (Modulus value not stored in variable). ค่าโมดูไม่ได้เก็บไว้ในตัวแปร
- Bug #75981 (Prevent reading beyond buffer start in http wrapper). ป้องกันไม่ให้อ่านนอกเหนือจากบัฟเฟอร์ที่มีค่าเริ่มต้นใน http wrapper

เวอร์ชั่น 7.0.28

- Bug #75981 (stack-buffer-overflow while parsing HTTP response). เกิดการ stack-buffer-overflow ในขณะที่มีการตอบกลับจาก HTTP

เวอร์ชั่น 5.6.34

- Bug #75981 (stack-buffer-overflow while parsing HTTP response). เกิดการ stack-buffer-overflow ในขณะที่มีการตอบกลับจาก HTTP

ระบบที่ได้รับผลกระทบ:

- PHP 7.2 ก่อนหน้า 7.2.3
- PHP 7.0 ก่อนหน้า 7.0.28
- PHP 5.0 ก่อนหน้า 5.6.34
- PHP 7.1 ก่อนหน้า 7.1.15

ข้อแนะนำ

- อัปเกรดเป็น PHP เวอร์ชันล่าสุดทันทีหลังจากการทดสอบที่เหมาะสม
- ตรวจสอบว่าไม่มีการปรับเปลี่ยนระบบโดยไม่ได้รับอนุญาตเกิดขึ้นในระบบก่อนที่จะใช้แพทช์
- ใช้หลักการสิทธิพิเศษน้อยที่สุดในทุกระบบและบริการ
- เตือนให้ผู้ใช้ไม่เข้าชมเว็บไซต์หรือทำตามลิงก์ที่มาจากแหล่งที่ไม่รู้จักหรือไม่น่าเชื่อถือ

ที่มา : cisecurity

PHP Community Takes Steps to Stop Installation of Libraries with Unpatched Bugs

กลุ่มนักพัฒนาซึ่งใช้ PHP เป็นภาษาหลักกำลังพยายามเรียกความมั่นใจและลบล้างคำปรามาสว่า "PHP ไม่ปลอดภัย" อีกครั้ง โดยในรอบนี้นั้นมาพร้อมกับแพ็คเกจบน Compoerser "Roave/SecurityAdvisories" ที่สามารถช่วยให้นักพัฒนาอื่นๆ สามารถตรวจสอบได้ว่า dependency หรือ library ที่มีการใช้งานในแอปนั้นมีช่องโหว่ด้านความปลอดภัยหรือไม่ รวมไปถึงป้องกันไม่ให้มีการติดตั้งลงในระบบ production ด้วย

Roave/SecurityAdvisories นั้นอ้างอิงฐานข้อมูลช่องโหว่มาจาก repository ชื่อดัง "FriendsOfPHP/security-advisories" ซึ่งบันทึกรายละเอียดของช่องโหว่เอาไว้และยังมีการอัปเดตโดยกลุ่มนักพัฒนาอย่างสม่ำเสมอ

นักพัฒนาที่สนใจในการใช้งาน Roave/SecurityAdvisories สามารถตรวจสอบวิธีการติดตั้งและขั้นตอนการใช้งานเบื้องต้นได้จาก https://github.

Multiple Vulnerabilities in PHP Could Allow for Arbitrary Code Execution

CIS ออกประกาศการค้นพบช่องโหว่หลายช่องโหว่บนซอฟต์แวร์ PHP เมื่อช่วงต้นเดือนที่ผ่านมา โดยช่องโหว่ที่ร้ายแรงที่สุดนั้นส่งผลให้ผู้โจมตีสามารถรันโค้ดที่เป็นอันตรายในระบบได้

ในการประกาศนี้นั้นมีจำนวนช่องโหล่รวมกันถึง 54 รายการ กระทบ PHP ก่อนหน้า 7.2.1 สำหรับตระกูล 7.2, ก่อนหน้า 7.1.13 สำหรับตระกูล 7.1, ก่อนหน้า 7.0 สำหรับตระกูล 7.0.27 และก่อนหน้า 5.6.33 สำหรับตระกูล 5.0

ในขณะนี้ยังไม่มีการตรวจพบการใช้ช่องโหว่ดังกล่าวในการโจมตี แต่อย่างไรก็ตามการอัปเดตซอฟต์แวร์จากรุ่นที่มีช่องโหว่ให้เป็นรุ่นล่าสุดที่ไม่มีช่องโหว่ก็เป็นข้อปฏิบัติด้านความปลอดภัยที่ควรดำเนินการอย่างเร่งด่วน

ที่มา : CIS

USN-3382-2: PHP vulnerabilities

Ubuntu ปล่อยอัพเดทเพื่ออุดช่องโหว่ใน PHP โดยมีรายละเอียดของช่องโหว่ดังนี้

CVE-2016-10397: ช่องโหว่ที่พบว่า PHP URL parser มีการทำงานที่ผิดปกติกับตัว URI ทำให้ผู้ที่โจมตีสามารถใช้ช่องโหว่นี้เพื่อหลบหลีกการตรวจสอบ hostname-specific URL ได้

CVE-2017-11143: ช่องโหว่ที่พบว่ามีการทำงานที่ผิดปกติของ PHP กับ Boolean Parameter บางตัว เมื่อเป็น unserialized data ทำให้ผู้ที่โจมตีสามารถใช้เพื่อทำให้ PHP เกิด crash และใช้การไม่ได้(Denial of Service)

CVE-2017-11144: ช่องโหว่นี้ถูกพบโดย Sebastian Li, Wei Lei, Xie Xiaofei, and Liu Yang พบว่า PHP มีการทำงานที่ผิดปกติในการจัดการ OpenSSL sealing function ซึ่งผู้ที่โจมตีสามารถใช้เพื่อทำให้ PHP ใช้การไม่ได้เช่นกัน (Dos)

CVE-2017-11145: Wei Lei และ Liu Yang พบอีกช่องโหว่ใน extension ที่เกี่ยวกับตัววันที่ของ PHP ในการจัดการหย่วยความจำ(Memory) ซึ่งส่งผลให้ผู้ที่โจมตีสามารถเข้าถึงข้อมูลสำคัญของเซิร์ฟเวอร์ได้

CVE-2017-11147: พบช่องโหว่ของการจัดเก็บไฟล์แบบ PHAR ใน PHP ซึ่งผู้โจมตีสามารถใช้เพื่อทำให้ PHP ใช้งานไม่ได้ หรือเข้าถึงข้อมูลสำคัญจากตัวเซิร์ฟเวอร์ได้ โดยช่องโหว่ตัวนี้จะมีผลกระทบกับแค่ Ubuntu 14.04 LTS

CVE-2017-11628: Wei Lei และ Liu Yang พบช่องโหว่ที่การทำ parsing ไฟล์สกุล .ini ซึ่งผู้โจมตีสามารถใช้เพื่อทำให้ PHP ใช้งานไม่ได้ (Dos)

และช่องโหว่สุดท้ายคือตัว PHP mbstring ในการทำงานกับ Regular Expressions บางตัว ซึ่งทำให้ผู้โจมตีสามารถทำให้ PHP เกิดการ crash และใช้งานไม่ได้ หรือทำการรัน arbitrary code (CVE-2017-9224, CVE-2017-9226, CVE-2017-9227, CVE-2017-9228, CVE-2017-9229)

ข้อแนะนำคือให้ทำการอัพเดทเวอร์ชัน โดยขั้นตอนในการอัพเดทสามารถดูได้จากลิงค์ด้านล่างนี้ (https://wiki.