Atlassian เปิดเผยช่องโหว่ Remote Code Execution (RCE) ออกมาเมื่อวันที่ 16 มกราคม 2024 โดยมีหมายเลข CVE-2023-22527 ซึ่งส่งผลกระทบต่อเวอร์ชันเก่าของ Confluence Data Center และ Confluence Server

CVE-2023-22527 เป็นช่องโหว่ระดับ critical ที่เกี่ยวกับ Object-Graph Navigation Language (OGNL) injection และมีคะแนน CVSS สูงถึง 10 คะแนน

OGNL (Object-Graph Navigation Language) เป็นภาษาแสดงผลที่ใช้ใน Java และถูกใช้ในแอปพลิเคชัน เช่น Atlassian Confluence เมื่อแอปพลิเคชันเหล่านี้ไม่สามารถตรวจสอบ และ sanitize ข้อมูลที่ผู้ใช้ป้อนเข้ามาให้ถูกต้อง ก่อนนำมาใช้ใน OGNL มันสามารถส่งผลให้เกิดช่องโหว่ด้านความปลอดภัยที่เรียกว่า 'OGNL insert' ได้

เหตุนี้ทำให้ผู้ไม่หวังดีสามารถป้อนสตริงที่ถูกสร้างขึ้นมาโดยเฉพาะเพื่อใส่ใน OGNL expressions ภายในหน้าจอผู้ใช้ หรือในช่องป้อนข้อมูล ซึ่งทำให้เกิดการเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกลบนระบบที่ได้รับผลกระทบ

Cyble Global Sensor Intelligence (CGSI) network ตรวจพบการพยายามโจมตีโดยใช้ช่องโหว่ CVE-2023-22527 เมื่อวันที่ 26 มกราคม 2024 การวิเคราะห์ของรูปแบบการโจมตีที่ CGSI ตรวจพบ แสดงให้เห็นว่าผู้โจมตีมุ่งเป้าหมายการโจมตีไปที่แอปพลิเคชัน Atlassian Confluence ที่มีช่องโหว่ในประเทศต่อไปนี้

China
Singapore
Brazil
United States
Russia
Vietnam
India
Germany
United Kingdom
Romania

 

 

กรณีที่ข้อมูลถูกเปิดเผยใน Atlassian Confluence

ตามรายงานการสแกนของ Cyble ODIN ระบุว่าในช่วงสามเดือนที่ผ่านมามี Confluence มากกว่า 4,000 แห่ง ที่เปิดให้เข้าถึงได้จากอินเทอร์เน็ต โดยส่วนใหญ่อยู่ในประเทศสหรัฐอเมริกา, เยอรมนี, จีน และรัสเซีย

รายละเอียดของช่องโหว่

ช่องโหว่ RCE (การเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกล) ใน Confluence Data Center และ Confluence Server

CVE-2023-22527 (CVSS:3.1: 9.8) ระดับความรุนแรง Critical ช่องโหว่ template injection ใน Confluence Data Center และ Server เวอร์ชันเก่า ที่ทำให้ผู้โจมตีสามารถ Remote Code Execution ในเวอร์ชันที่ได้รับผลกระทบได้

เวอร์ชันที่ได้รับผลกระทบ : Confluence Data Center and Confluence Server endpoints, versions 8.0.x, 8.1.x, 8.2.x, 8.3.x, 8.4.x, and 8.5.0 to 8.5.3

รายละเอียดทางเทคนิค

ช่องโหว่นี้เกิดขึ้นจากไฟล์ template 'velocity' ชื่อ 'text-inline.

นักวิจัยจากบริษัท Trustlook ซึ่งเป็นผู้ผลิตซอฟต์แวร์แอนตี้ไวรัส ได้ค้นพบช่องโหว่ Remote Code Execution ในแอพ Bing บน Android โดยช่องโหว่นี้แฮกเกอร์สามารถสั่งติดตั้งแอพอะไรก็ได้ลงในเครื่องของเหยื่อ, ดักฟังโทรศัพท์ หรือควบคุมเครื่องของเหยื่อให้ทำงานอื่นๆ ตามที่แฮกเกอร์ต้องการ  ทางนักวิจัยยังไม่ได้เปิดเผยรายละเอียดวิธีการโจมตีผ่านช่องโหว่นี้ บอกคร่าวๆ เพียงว่าเป็นการปลอม DNS response ซึ่งหากมีแฮกเกอร์ใช้วิธีนี้โจมตีในเครือข่าย Wi-Fi สาธารณะ ก็จะสามารถควบคุมเครื่องของเหยื่อที่เชื่อมต่อกับ Wi-Fi นั้นๆ ได้ ทาง Microsoft ได้แก้ไขช่องโหว่นี้แล้วในแอพ Bing เวอร์ชัน 4.2.1 ซึ่ง Play Store ประเทศไทยยังไม่สามารถติดตั้งแอพนี้ได้ แต่สำหรับใครที่ติดตั้งแอพนี้ไว้ในเครื่องก็ควรอัพเดตโดยด่วน

ที่มา : trustlook news

นักวิจัยจากบริษัท Trustlook ซึ่งเป็นผู้ผลิตซอฟต์แวร์แอนตี้ไวรัส ได้ค้นพบช่องโหว่ Remote Code Execution ในแอพ Bing บน Android โดยช่องโหว่นี้แฮกเกอร์สามารถสั่งติดตั้งแอพอะไรก็ได้ลงในเครื่องของเหยื่อ, ดักฟังโทรศัพท์ หรือควบคุมเครื่องของเหยื่อให้ทำงานอื่นๆ ตามที่แฮกเกอร์ต้องการ  ทางนักวิจัยยังไม่ได้เปิดเผยรายละเอียดวิธีการโจมตีผ่านช่องโหว่นี้ บอกคร่าวๆ เพียงว่าเป็นการปลอม DNS response ซึ่งหากมีแฮกเกอร์ใช้วิธีนี้โจมตีในเครือข่าย Wi-Fi สาธารณะ ก็จะสามารถควบคุมเครื่องของเหยื่อที่เชื่อมต่อกับ Wi-Fi นั้นๆ ได้ ทาง Microsoft ได้แก้ไขช่องโหว่นี้แล้วในแอพ Bing เวอร์ชัน 4.2.1 ซึ่ง Play Store ประเทศไทยยังไม่สามารถติดตั้งแอพนี้ได้ แต่สำหรับใครที่ติดตั้งแอพนี้ไว้ในเครื่องก็ควรอัพเดตโดยด่วน

ที่มา : trustlook news

ผู้เชี่ยวชาญด้านความปลอดภัยและนักทดสอบระบบที่ชื่อ Ebrahim Hegazy ได้พบช่องโหว่ร้ายแรงในเว็บไซต์ของ Yahoo ที่ช่วยให้ผู้โจมตีสามารถรันคำสั่งจากระยะไกลบนเซิร์ฟเวอร์ได้ ซึ่งช่องโหว่ดังกล่าวอยู่ใน subdomin เว็บไซต์ Yahoo ของจีน อย่างเช่น http://tw.

ผู้เชี่ยวชาญด้านความปลอดภัยและนักทดสอบระบบที่ชื่อ Ebrahim Hegazy ได้พบช่องโหว่ร้ายแรงในเว็บไซต์ของ Yahoo ที่ช่วยให้ผู้โจมตีสามารถรันคำสั่งจากระยะไกลบนเซิร์ฟเวอร์ได้ ซึ่งช่องโหว่ดังกล่าวอยู่ใน subdomin เว็บไซต์ Yahoo ของจีน อย่างเช่น http://tw.

นักวิจัยความปลอดภัย Reginaldo Silva ค้นพบบั๊กในโมดูล OpenID ของ Drupal เมื่อปี 2013 รายงานบั๊กในระบบ OpenID ของ facebook ทำให้ผู้ใช้สามารถรันคำสั่งใดๆ ก็ได้บนเซิร์ฟเวอร์ของ facebook จากระดับความร้ายแรงของบั๊กทำให้เขาได้รับเงินรางวัลถึง 33,500 ดอลลาร์ หรือประมาณหนึ่งล้านบาท
ทีมวิศวกรของ facebook แก้ปัญหานี้ภายในเวลาไม่กี่ชั่วโมงหลังได้รับรายงาน

เมื่อวันที่ 19 พฤศจิกายนที่ผ่านมา นักวิจัยรายงานบั๊กไปยัง facebook ครั้งแรกและเกือบสองชั่วโมงต่อมา facebook ก็ติดต่อกลับมาซึ่งทางนักวิจัยได้ส่งตัวอย่างการโจมตีไปให้ภายใน 10 นาที ทีมงานแก้ปัญหาภายใน 2 ชั่วโมงและตอบมาว่ากำลังนำขึ้นระบบจริงภายในครึ่งชั่วโมง

จากรายงานกล่าวว่า ทาง Facebook ได้มีการพิจารณาเงินรางวัลใช้เวลากว่าหนึ่งเดือน ในการพิจารณาความร้ายแรงของปัญหานั้น และตัดสินใจจัดเป็นบั๊กที่มีโอกาสจะเป็นบั๊ก remote code execution (RCE) โดยไม่ยอมรับว่าเป็นบั๊ก RCE ตรงๆ

ที่มา : thehackernews

นักวิจัยที่ชื่อว่า David Vieira-Kurz จากประเทศเยอรมนี ได้ค้นพบช่องโหว่ Remote Code execution ของเว็บไซต์ ebay นักวิจัยกล่าวถึงวิธีการโจมตีจากระยะไกลว่า สามารถรันคำสั่ง PHP เข้าไปในหน้า search ของ South Asian Ebay domain โดยมีการกำหนดค่าพารามิเตอร์ตัวแปรที่ชื่อว่า "q"  ให้เป็นตัวแปรชนิดอาเรย์ คือ "sea.