นักวิจัยจาก Lightspin พบช่องโหว่ local file read ใน RDS และ Aurora PostgreSQL บน AWS โดยการใช้ third-party open-source PostgreSQL extension ที่ชื่อว่า “log_fdw” ปกติแล้ว log_fdw จะใช้ในการอ่านไฟล์ log ในเครื่อง RDS แต่นักวิจัยสามารถ Bypass การตรวจสอบชื่อไฟล์ของ log_fdw ทำให้สามารถอ่านไฟล์ใดก็ได้ในเครื่อง RDS

โดย RDS คือบริการ Database ที่ผู้ใช้งานไม่ต้องบริหารจัดการตัว OS, Database Patch หรือ Security Patch ทุกอย่างถูกจัดการให้โดย AWS จึงทำให้ปกติแล้วผู้ใช้งานจะไม่มีสิทธ์เข้าถึง OS โดยตรง หรือสิทธ์ Superuser ใน Database

ซึ่งนักวัจัยพบว่าเมื่อสามารถเข้าถึงไฟล์ RDS config ‘/rdsdbdata/config/postgresql.

Imperva ค้นพบการโจมตีเซิร์ฟเวอร์ PostgreSQL เพื่อติดตั้งมัลแวร์การทำเหมืองข้อมูล cryptocurrency ซึ่งมัลแวร์นี้ถูกซ่อนไว้ในภาพดารา Hollywood ชื่อดังอย่าง Scarlett Johansson

ผู้บุกรุกทำการโจมตี PostgreSQL ผ่านการใช้ module ที่ได้รับการดัดแปลงสำหรับหลีกเลี่ยงการตรวจจับใน Metasploit เมื่อได้ shell ของเครื่องแล้ว สิ่งแรกที่ทำคือการตรวจสอบข้อมูลของ CPU และ GPU ว่าเหมาะสมต่อการทำ cryptocurrency mining ขนาดไหน จากนั้นจะทำการดาวน์โหลดภาพของ Scarlett Johansson จากเว็บไฟล์โฮสติ้ง เมื่อทำการตรวจสอบภาพดังกล่าวพบว่ามีข้อมูลไบนารีที่ผิดปกติซ่อนไว้

จากการตรวจสอบ wallet address ของแฮ็กเกอร์พบว่ามี coin มูลค่าประมาณ 90,000 เหรียญ ซึ่งหมายความว่าผู้โจมตีน่าจะมีการฝังโปรแกรมขุดไว้บนเซิร์ฟเวอร์หลายเครื่องแล้ว

แต่ทำไมผู้โจมตีใช้รูปภาพของคนดังเพื่อฝังมัลแวร์? นักวิจัยเชื่อว่าการทำเช่นนี้เป็นการหลอกลวงโปรแกรมรักษาความปลอดภัยเนื่องจากเทคนิคการผนวกรหัสไบนารีกับไฟล์รูปภาพหรือเอกสารที่แท้จริงทำให้ไฟล์ดูถูกต้องปลอดภัยและสามารถผ่านซอฟต์แวร์ป้องกันไวรัสส่วนใหญ่ได้

ที่มา : hackread

PostgreSQL ได้ปล่อย patch เพื่ออัพเดทระบบรักษาความปลอดภัยสำหรับเวอร์ 9.6.4, 9.5.8, 9.4.13, 9.3.18, และ 9.2.22 ใน CVE-2017-7547
ซึ่งเป็นช่องโหว่ที่ผู้โจมตีระยะไกล (remote attacker) สามารถใช้ขโมยรหัสผ่านได้ จากการทำงานที่ผิดพลาด (Bug) ในส่วนของ user mapping
ในฟังก์ชัน pg_user_mappings ของฐานข้อมูล ซึ่งอาจรวมไปถึงการขโมยรหัสของที่ถูกตั้งโดยผู้ดูแลระบบ
CVE-2017-7546 เป็นช่องโหว่ที่อนุญาตให้ผู้โจมตีสามารถสวมสิทธิ์เข้ามาเป็น user ผ่านการ Authentication โดยไม่ต้องทำการกรอกรหัสผ่าน
CVE-2017-7548 เป็นช่องโหว่ที่เกิดขึ้นในฟังก์ชัน lo_put() ของดาต้าเบส ซึ่งมีข้อผิดพลาดในการตรวจสอบสิทธิ์ในการเข้ามาเปลี่ยนแปลงแก้ไขข้อมูล

ที่มา : theregister

Ubuntu ได้มีการปล่อยแพตช์ด้านความปลอดภัยสำหรับซอฟต์แวร์ PostgreSQL ซึ่งกระทบ Ubuntu ในรุ่น 17.04, 16.04 LTS และ 14.04 LTS โดยแพตช์ด้านความปลอดภัยที่ถูกปล่อยออกมานั้นครอบคลุม 3 ช่องโหว่สำคัญที่ทำให้ผู้โจมตีสามารถใช้ช่องโหว่ดังกล่าวโจมตีระบบได้จากระยะไกล

ตัวอย่างของช่องโหว่ที่ถูกแพตช์นั้นได้แก่ ช่องโหว่ CVE-2017-7546 ซึ่งทำให้ผู้โจมตีสามารถข้ามผ่านกระบวนการพิสูจน์ตัวตนในบางลักษณะโดยไม่จำเป็นต้องใช้รหัสผ่านได้ หรือช่องโหว่ CVE-2017-7547 นั้นส่งผลให้ผู้โจมตีสามารถเข้าถึงรหัสผ่านที่ใช้ในการพิสูจน์ตัวตนได้จากระยะไกล

เวอร์ชันของ PostgreSQL ที่ได้รับผลกระทบได้แก่เวอร์ชัน 9.3, 9.5 และ 9.6
Recommendation แนะนำให้ทำการอัพเดตแพตช์ด้านความปลอดภัยโดยด่วน

ที่มา : usn.