พบช่องโหว่บนแพลตฟอร์ม PAN-OS ของ Palo Alto ผู้โจมตีสามารถใช้ประโยชน์จากช่องโหว่นี้ทำให้เกิด DDoS Attack ได้

Palo Alto Networks กำลังดำเนินการแก้ไขปัญหาช่องโหว่ที่ผู้ไม่หวังดีสามารถใช้เทคนิค Reflection Amplification ก่อให้เกิดการปฏิเสธการให้บริการ (DoS) ได้ ซึ่งช่องโหว่นี้ส่งผลกระทบกับ PAN-OS ของ Next-Gen Firewall

ลักษณะการทำงาน

ผู้เชี่ยวชาญจาก Palo Alto Networks พบผู้ไม่หวังดีพยายามใช้ Firewall หลากหลายยี่ห้อ ทำการโจมตีแบบ Reflected denial-of-service (RDoS) แต่ไม่ได้ระบุว่าเป็นยี่ห้อใด และมีองค์กรไหนบ้างได้รับผลกระทบ โดยระบุเพียงว่า Firewall ของตนก็ตกเป็นหนึ่งในอุปกรณ์ถูกที่ใช้สำหรับโจมตี โดยช่องโหว่นี้คือ CVE-2022-0028 (คะแนน CVSS 8.6) ซึ่งเกิดจากการตั้งค่าผิดพลาดบนฟีเจอร์ URL Filtering ของ PAN-OS ส่งผลให้ผู้ไม่หวังดีสามารถใช้ช่องโหว่ดังกล่าวสร้าง DoS attack ได้

การโจมตีดังกล่าวเกิดขึ้นได้บน Firewall Palo Alto ทั้ง PA-Series (hardware), VM-Series (virtual) และ CN-Series (container) อย่างไรก็ตาม การโจมตีจำเป็นต้องมีการระบุเป้าหมายที่จะโจมตีด้วย นอกจากนี้การใช้ประโยชน์จากช่องโหว่ดังกล่าว ผู้โจมตีต้องปฏิบัติตามเงื่อนไขบางอย่างโดยเฉพาะ เช่น มีการตั้งค่าฟีเจอร์ URL Filtering หรือ Packet-based attack protection ที่ผิดปกติ

แนวทางการป้องกัน

ผู้ใช้งานสามารถลบ Policy ที่ทำให้เกิดช่องโหว่ ตัวอย่างเช่น Policy ที่ Source Zone มีการใช้งาน Interface ภายนอก (External Interface) และใน Policy นั้นมีการเปิดใช้งานฟีเจอร์ URL Filtering อยู่ และใน URL Filtering นั้นจำเป็นจะต้องมี Category ที่เป็น Block อย่างน้อย 1 ชนิดขึ้นไป
ไม่ควรเปิดใช้งานโหมด Packet-based attack protection และ Flood Protection พร้อมกัน
อัพเดทแพตช์ จาก PAN-OS 10.1 เป็น 10.1.6-h6
ส่วนแพตช์สำหรับ PAN-OS 8.1, 9.0, 9.1, 10.0 และ 10.2 นั้นคาดว่าจะปล่อยออกมาในช่วงวันที่ 15 สิงหาคม 2022

ที่มา : securityweek.

เหล่าโค้ชสอนเขียนโปรแกรมต้องชอบ! Cloudflare ออก API Shield ช่วยตรวจสอบและป้องกันการโจมตีผ่านทาง API ฟรี

Cloudflare ประกาศเปิดตัวผลิตภัณฑ์ใหม่ภายใต้ชื่อ API Shield โดยเป็นเซอร์วิสสำหรับช่วยตรวจสอบและควบคุมพฤติกรรมการเรียกใช้ API แบบ policy-based โดยรองรับ API ซึ่งใช้ JSON และมีแพลนที่จะขยายการซัพพอร์ตไปรองรับกลุ่ม API ที่รับส่งข้อมูลแบบไบนารี เช่น gRPC

เบื้องหลังการทำงานของ API Shield อยู่ที่การสร้าง policy หรือ rule ผู้ใช้งานสามารถสร้าง API Shield rule ตาม OpenAPI scheme ตามคอนเซ็ปต์แบบ whitelist ระบบของ API Shield แน่นอนว่าผู้พัฒนาแอปจะต้องมีการตั้งค่าการเชื่อมต่อ TLS ให้ Cloudflare "เห็น" การรับ-ส่งข้อมูลเพื่อทำการตรวจสอบด้วย การรับ-ส่งข้อมูลซึ่งไม่ได้สอดคล้องตาม rule ใดๆ จะตกไปอยู่ใน deny-all policy ในทันที

ในภาพรวม API Shield ไม่ได้เป็นระบบพร้อมใช้ที่จะช่วยเพิ่มความปลอดภัยของการใช้ API ได้แบบ plug-n-play แต่มันเป็นระบบที่นักพัฒนาจะต้องมาตั้งค่าให้เหมาะสมเช่นเดียวกัน ดังนั้นหากนักพัฒนามีการตั้งค่าได้ไม่ดีพอ การมี API Shield มาช่วยตรวจสอบก็ไม่อาจมีประสิทธิภาพได้มากเท่าที่ควร

ผู้ที่มีบัญชีกับ Cloudflare แล้วจะสามารถเปิดใช้งาน API Shield ได้ทันทีโดยไม่เสียค่าใช้จ่าย

ที่มา : cloudflare

Google fixes major Gmail bug seven hours after exploit details go public

Google เเก้ไขช่องโหว่ที่จะทำให้ผู้โจมตีสามารถปลอมเเปลงอีเมลเป็นใครก็ได้ใน Gmail และ G Suite หลังจากนิ่งเฉยมานานจนนักวิจัยทำการเปิดเผย

Google แก้ไขช่องโหว่ที่ส่งผลกระทบต่อ Gmail และ G Suite ซึ่งอาจทำให้ผู้โจมตีสามารถส่งอีเมลที่เป็นอันตรายโดยการปลอมแปลงเป็นผู้ใช้ Google หรือลูกค้าขององค์กรรายอื่นๆ ได้

ช่องโหว่ที่ถูกเเก้ไขนี้ถูกเปิดเผยโดย Allison Husain นักวิจัยด้านความปลอดภัยซึ่งได้รายงานถึงช่องโหว่ในระบบการตรวจสอบ Email routing ใน SPF (Sender Policy Framework) และ DMARC (Domain-based Message Authentication, Reporting, and Conformance) โดยช่องโหว่ทำให้ผู้โจมตีสามารถส่งอีเมลในฐานะผู้ใช้รายอื่นหรือลูกค้า G Suite ได้โดยผ่าน Policy การตรวจสอบจาก SPF และ DMARC ซึ้งเป็นมาตฐานการตรวจสอบสแปมและการโจมตีแบบฟิชชิ่ง

Husain อธิบายอีกว่าช่องโหว่นั้มีด้วยกันอยู่ 2 ส่วนคือ

ส่วนเเรกนั้นจะช่วยให้ผู้โจมตีสามารถปลอมเเปลงอีเมลไปยังเกตเวย์อีเมลบนแบ็กเอนด์ของ Gmail และ G Suite ผู้โจมตีสามารถใช้เซิร์ฟเวอร์อีเมลของผู้โจมตีเชื่อมต่อเข้ากับ Gmail หรือ G Suite Backend เพื่อที่จะสามารถส่งเมลออกเป็นโดเมนของเหยื่อได้
ส่วนที่สองผู้โจมตีสามารถกำหนด Email routing rules เพื่อรับอีเมลและสามารถ Forward ต่อได้ในขณะเดียวกันก็สามารถปลอมแปลงอีเมลเป็นลูกค้า Gmail หรือ G Suite โดยใช้ฟีเจอร์ “Change envelope recipient” เพื่อใช้ผ่านการตรวจสอบของ SPF และ DMARC ซึ่งช่วยให้ผู้โจมตีสามารถสวมสิทธิ์เป็นลูกค้าและทำการส่งข้อความที่ปลอมแปลงได้

หลังจาก Husain พบช่องโหว่เธอได้ส่งรายงานช่องโหว่ให้ Google เเก้ไขเมื่อวันที่ 3 เมษายนที่ผ่านมาเเต่ Google กลับนิ่งเฉยและไม่ได้รับการเเก้ไขจนวันที่ 19 สิงหาคมที่ผ่านมาเธอจึงตัดสินใจเปิดเผยช่องโหว่นี้สู่สาธารณะและไม่กี่ชั่วโมงต่อมา Google ได้ทำการเเก้ไขช่องโหว่โดยใช้เวลาในเเก้ไขไป 7 ชั่วโมง

ที่มา: zdnet | bleepingcomputer

ร่างกฎหมายด้านความปลอดภัยในระบบอินเทอร์เน็ตของสิงคโปร์

รัฐบาลสิงคโปร์เปิดเผยรายละเอียดของร่างกฎหมายฉบับใหม่ การร่างกฎหมายใหม่นี้จะต้องใช้ผู้ประกอบการโครงสร้างพื้นฐานสารสนเทศที่สำคัญในท้องถิ่น (CIIs) เพื่อดำเนินการปกป้องระบบและรายงานภัยคุกคามและเหตุการณ์ที่เกิดขึ้นอย่างรวดเร็ว กระทรวงการสื่อสารและข้อมูล(MCI) และ Cyber Security Agency(CSA) ได้ร่างกฎหมายใหม่ที่เสนอจะอำนวยความสะดวกในการใช้ข้อมูลร่วมกันในสาขาสำคัญๆ และต้องการผู้ให้บริการที่ได้รับการแต่งตั้งรวมทั้งบุคคลที่ได้รับใบอนุญาต

ความชัดเจนเกี่ยวกับประเภทของบริการที่ต้องได้รับใบอนุญาต
ผู้ให้บริการหรือกลุ่มบุคคลจำเป็นจะต้องมีใบอนุญาตซึ่งมีโทษปรับถึง 50,000 เหรียญสิงคโปร์หรือถูกจำคุกไม่เกินสองปีหรือทั้งจำทั้งปรับถ้าไม่มีใบอนุญาต นอกจากนี้ผู้ได้รับใบอนุญาตที่ไม่ปฏิบัติตามข้อกำหนดและเงื่อนไขที่กำหนดไว้อาจต้องเสียค่าปรับถึง 10,000 เหรียญหรือจำคุกไม่เกินหนึ่งปีหรือทั้งจำทั้งปรับ CSA จะต้องวางกลไกที่เหมาะสมเพื่อให้แน่ใจว่าทุกฝ่ายที่เกี่ยวข้องยึดมั่นในกฎระเบียบ

ความลับของลูกค้าต้องเป็นไปตามคำขอของรัฐบาล
CSA จะมีอำนาจในการขอรับข้อมูลเพื่อยืนยันว่าระบบมีคุณสมบัติตามเกณฑ์ของ CII หรือไม่ องค์กรที่ไม่ได้ปฎิบัติตามร่างกฎหมายจะไม่สามารถอ้างอิงความลับของลูกค้าได้เมื่อถูกขอให้ส่งมอบข้อมูลก่อนหรือหลังการเกิดเหตุการณ์ด้านความปลอดภัย และภายใต้ร่างกฎหมายที่เสนอ เจ้าของ CII ต้องมีกระบวนการในการตรวจหาภัยคุกคามทางโลกไซเบอร์ ผู้เชี่ยวชาญด้านเทคโนโลยีและโทรคมนาคมแนะนำว่าบริษัทต้องหมั่นตรวจสอบและประเมินความเสี่ยง CIIs อย่างน้อยหนึ่งครั้งทุกสามปี

zdnet