SAP ประกาศเเพตซ์เเก้ไขช่องโหว่จำนวน 21 รายการ ในเเพตซ์ประจำเดือนตุลาคม 2020

SAP ได้ประกาศเเพตซ์เเก้ไข SAP Security Patch Day ประจำเดือนตุลาคม ซึ่งในเดือนตุลาคม 2020 นี้ได้ออกเเพตซ์เเก้ไขความปลอดภัยจำนวน 21 รายการ โดยช่องโหว่ที่มีความสำคัญและถูกเเก้ไขมีดังนี้

ช่องโหว่ CVE-2020-6364 (CVSSv3: 10/10) เป็นช่องโหว่ของ OS Command Injection ใน CA Introscope Enterprise Manager ช่องโหว่จะช่วยให้ผู้โจมตีสามารถแก้ไขคุกกี้ในลักษณะที่สามารถเรียกใช้คำสั่ง OS Command Injection และอาจทำให้ผู้โจมตีสามารถเข้าควบคุมโฮสต์ที่เรียกใช้ CA Introscope Enterprise Manager ช่องโหว่นี้จะส่งผลกระทบกับ SAP Solution Manager และ SAP Focused Run เวอร์ชัน 9.7, 10.1, 10.5, 10.7
ช่องโหว่ยังไม่ระบุ CVE เเต่มี CVSS ระดับ 9.8/10 โดยช่องโหว่จะส่งกระทบกับผลิตภัณฑ์ SAP Business Client เวอร์ชัน 6.5
ช่องโหว่ CVE-2020-6296 (CVSSv3: 8.3/10) เป็นช่องโหว่ Code Injection โดยช่องโหว่จะช่วยให้ผู้โจมตีสามารถทำการ Code Injection ไปยังแอปพลิเคชันที่เรียกใช้งานได้ ซึ่งจะทำให้ผู้โจมตีสามารถควบคุมพฤติกรรมของแอปพลิเคชันได้ ช่องโหว่นี้จะส่งผลกระทบกับผลิตภัณฑ์ SAP NetWeaver (ABAP) และ ABAP Platform เวอร์ชัน 700, 701, 702, 710, 711, 730, 731, 740, 750, 751, 753, 755
ช่องโหว่ CVE-2020-6367 (CVSSv3: 8.2/10) เป็นช่องโหว่ Cross-Site Scripting (XSS) ใน SAP NetWeaver Composite Application Framework เวอร์ชัน 7.20, 7.30, 7.31, 7.40, 7.50

ทั้งนี้ผู้ดูแลระบบและผู้ใช้งานควรรีบทำการอัปเดตเเพตซ์เป็นการด่วนเพื่อเป็นการป้องกันผู้ประสงค์ร้ายใช้ประโยชน์จากช่องโหว่ทำการโจมตีระบบ นอกจากนี้ผู้ที่สนใจรายละเอียดของโหว่โหว่เพิ่มเติมสามารถดูได้ที่แหล่งที่มา

ที่มา: wiki.

CISA เตือนภัยผู้ใช้งาน SAP ทำการอัปเดตเเพตซ์โดยด่วน หลัง SAP ประกาศการแพตช์ช่องโหว่หลายรายการ

หน่วยงานด้านความมั่นคงปลอดภัยและโครงสร้างพื้นฐานทางไซเบอร์ หรือ Cybersecurity and Infrastructure Security Agency (CISA) ได้ออกเตือนภัยผู้ใช้งานผลิตภัณฑ์ SAP หลังจากมีการปล่อยแพตช์ด้านความปลอดภัยออกมาจำนวนมาก โดยมีการพยายามกวดขันให้ผู้ใช้งานทำการแพตช์เพื่อจัดการความเสี่ยงอย่างจริงจัง

นอกเหนือจากช่องโหว่ใน SAP NetWeaver ซึ่งทางไอ-ซีเคียวได้รายงานไปก่อนหน้านี้แล้ว ทาง SAP ยังได้มีการออกเเพตซ์เเก้ไขช่องโหว่ประจำเดือนกรกฎาคม 2020 โดยมีการออกเเพต์เเก้ไขอีกกว่าเกือบ 10 รายการ ซึ่งช่องโหว่ที่สำคัญดังนี้

ช่องโหว่นี้เป็นช่องโหว่การใช้งาน SAP Business ด้วย Google Chromium ช่องโหว่นี้ยังไม่มี CVE เเต่ช่องโหว่ มีคะเเนน CVSSv3 อยู่ที่ 9.8/10 ช่องโหว่มีผลกระทบกับ SAP Business Client เวอร์ชั่น 6.5
ช่องโหว่ CVE-2020-6281 (CVSSv3 6.1/10) เป็นช่องโหว่ Cross-Site Scripting (XSS) บน SAP Business Objects Business Intelligence Platform (BI Launch pad) เวอร์ชั่น 4.2
ช่องโหว่ CVE-2020-6276 (CVSSv3 6.1/10) เป็นช่องโหว่ Cross-Site Scripting (XSS) บน SAP Business Objects Business Intelligence Platform (Bipodata) เวอร์ชั่น 4.2
ผู้ใช้งานผลิตภัณฑ์ SAP ควรทำการอัพเดตเเพตซ์ความปลอดภัยให้เป็นเวอร์ชั่นล่าสุดเพื่อป้องกันผู้ประสงค์ร้ายใช้ประโยชน์จากช่องโหว่

ที่มา:

us-cert.

ช่องโหว่ “RECON” ใน SAP NetWeaver ทำให้ผู้โจมตีสามารถสร้างบัญชีผู้ดูแลระบบบนเซิร์ฟเวอร์ SAP

SAP เปิดตัวแพตช์แก้ไขช่องโหว่รหัส CVE-2020-6287 เป็นช่องโหว่ RECON (ย่อมาจาก Remotely Exploitable Code On NetWeaver) ที่เกิดขึ้นใน SAP NetWeaver JAVA ซึ่งเป็นส่วนประกอบสำคัญของโซลูชั่น SAP หลายรายการ

Onapsis ผู้เชี่ยวชาญด้าน Security และผู้ค้นพบช่องโหว่กล่าวว่า ช่องโหว่นี้หากผู้โจมตีสามารถโจมตีได้สำเร็จ ผู้โจมตีสามารถเข้าถึงระบบโดยไม่ผ่านการยืนยันตัวตน สามารถสร้าง User ใหม่และสามารถควบคุมแอพพลิเคชัน SAP ได้ด้วยสิทธิ์สูงสุด ผู้เชี่ยวชาญ Onapsis ประเมินว่าจำนวนลูกค้าที่ใช้ SAP NetWeaver ได้รับผลกระทบอย่างน้อย 40,000 ราย โดยเป็นจำนวนโดยประมาณที่ยังไม่ได้รับการยืนยันจากทาง SAP อย่างเป็นทางการ โดยช่องโหว่ RECON เป็นหนึ่งในช่องโหว่ที่มีความรุนแรงระดับวิกฤติที่ได้รับการจัดอันดับคะแนนสูงสุด 10/10 ของช่องโหว่ CVSSv3

SAP ให้คำแนะนำว่าผู้ใช้ควรอัปเดตแพทซ์แก้ไขช่องโหว่นี้โดยเร็วที่สุด สามารถดูข้อมูลการอัปเดตแพทซ์เพิ่มเติมได้ที่ wiki.

SAP Releases 13 Security Notes on February 2020 Patch Day

SAP ออกคำแนะนำด้าน Security 13 รายการ

Security Patch Day ของ SAP เดือนกุมภาพันธ์ 2563 มีการประกาศคำแนะนำด้าน Security ใหม่ 13 รายการ และอัปเดตคำแนะนำในอดีต 2 รายการ

คำแนะนำด้าน Security ใหม่ 13 รายการนี้มีความสำคัญ High 3 รายการ มีความสำคัญ Medium 10 รายการ โดยรายการที่ถูกอัปเดตในอดีตมีความสำคัญระดับ Hot New 1 รายการและ Medium อีก 1 รายการ
Hot News ดังกล่าว (คะแนน CVSS 9.8) เป็นการอัปเดตใน SAP Business Client ให้รองรับ Chromium ซึ่งเปิดตัวครั้งแรกใน Patch Day ใน เดือนเมษายน 2018
ช่องโหว่ความสำคัญ High แรกระบุถึงช่องโหว่ของ Denial of Service (DoS) ใน SAP Host Agent (CVE-2020-6186, คะเเนน CVSS 7.5) ปัญหานี้ส่งผลกระทบต่อการ Authentication ผู้ใช้งาน โดย SAP Host Agent มีการจัดการการโจมตีแบบ brute force ด้วยการหน่วงเวลา ซึ่งช่องโหว่ดังกล่าวเกิดจากการที่สามารถรองรับ Authentication พร้อมๆกันได้จำกัด ทำให้ผู้ที่เข้าสู่ระบบปกติ ไม่ได้ทำการโจมตี อาจเข้าสู่ระบบไม่ได้หากพยายามเข้าสู่ระบบในระหว่างที่มีผู้โจมตีกำลังโจมตี
ช่องโหว่ความสำคัญ High อีกสองช่องโหว่เป็นแก้ช่องโหว่ใน SAP Landscape Management (CVE-2020-6191 และ CVE-2020-6192 ทั้งคู่มีคะเเนน CVSS 7.2) ซึ่งเป็นช่องโหว่ที่ทำให้สามารถยกระดับสิทธิเป็นผู้ดูแลระบบได้
ผู้ดูแลระบบ SAP ควรตรวจสอบและอัปเดตแพตช์เพื่อความปลอดภัย

ที่มา : securityweek

SAP Releases 5 Security Notes on December 2019 Patch Day

 

SAP ออกแพตช์ความปลอดภัยประจำเดือนธันวาคม 2019

SAP ได้ออกบันทึกด้านความปลอดภัยใหม่ห้าฉบับในสัปดาห์นี้ซึ่งเป็นส่วนหนึ่งของแพตช์ความปลอดภัยประจำเดือนธันวาคม 2019 ช่องโหว่ใหม่นี้มีความรุนแรงระดับกลางและคะแนน CVSS ตั้งแต่ระหว่าง 6.7 และ 4.3

ช่องโหว่แรก คือ CVE-2019-0402 ซึ่งเป็นการเปิดเผยข้อมูลใน SAP Adaptive Server Enterprise ซึ่งส่งผลกระทบต่อแอปพลิเคชันเวอร์ชัน 15.7 และ 16.0
ถัดไปคือ CVE-2019-0395 ช่องโหว่ Cross-Site Scripting (XSS) ใน SAP Business Intelligence Platform เวอร์ชัน 4.2

ต่อมาเป็นช่องโหว่ใหม่คือ CVE-2019-0405, CVE-2019-0403 และ CVE-2019-0404 ซึ่งแสดงถึงปัญหาด้านความปลอดภัยหลายรายการใน SAP Enable Now รุ่น 1911
SAP ยังมีช่องโหว่ CVE-2019-0399 ด้วยซึ่งเป็นช่องโหว่เปิดเผยข้อมูลใน SAP Portfolio และ Project Management versions S4CORE 102, 103, EPPM 100, CPRXRPM 500_702, 600_740, 610_740

สุดท้ายคือการแก้ไข CVE-2019-0398 ช่องโหว่ Cross-Site Request Forgery (CSRF) ใน SAP BusinessObjects Business Intelligence แพลตฟอร์ม (Monitoring application) รุ่น 4.1, 4.2 และ 4.3

นอกจากช่องโหว่ใหม่แล้ว ยังมีการออกแพตช์เพิ่มเติมให้กับช่องโหว่วิกฤตที่เคยระบุไปในเดือนเมษายน 2018 ซึ่งรวมถึงการแก้ไขด้านความปลอดภัยสำหรับ SAP Business Client เวอร์ชัน 6.5

ที่มา :  securityweek

 

SAP Patch Day – July 2019 addresses a critical flaw in Diagnostics Agent

SAP ออกแพตช์เดือนกรกฏาคม 2019 แก้ไข 11 ช่องโหว่

SAP ออกแพตช์ประจำเดือนกรกฏาคม 2019 แก้ไข 11 ช่องโหว่ โดยช่องโหว่ที่สำคัญคือช่องโหว่ CVE-2019-0330 เป็นช่องโหว่ร้ายแรงมากใน SolMan Diagnostic Agent (SMDAgent)

CVE-2019-0330 เป็นช่องโหว่ประเภท OS command injection ผู้โจมตีสามารถใช้ช่องโหว่นี้เพื่อยึดระบบ SAP ทั้งระบบได้ มีคะแนน CVSS 9.1 (critical) โดยใน SMDAgent จะมีการตรวจสอบเมื่อผู้ดูแลระบบรันคำสั่งไปยังระบบปฏิบัติการผ่าน GAP_ADMIN transaction ให้รันได้เฉพาะคำสั่งใน white list เท่านั้น ซึ่งช่องโหว่ CVE-2019-0330 ทำให้ผู้โจมตีสามารถหลบเลี่ยงการตรวจสอบดังกล่าวได้โดยการใช้ payload ที่สร้างเป็นพิเศษ ซึ่งเมื่อผู้โจมตีสามารถหลบหลีกได้จะทำให้สามารถควบคุมระบบ SAP ได้ เข้าถึงข้อมูลสำคัญได้ แก้ไขการตั้งค่าได้และหยุดการทำงานของ SAP service ได้

นักวิจัยจาก Onapsis ระบุว่าระบบ SAP ทุกระบบจะต้องมีการติดตั้ง SMDAgent ดังนั้นจะมีระบบที่ได้รับความเสี่ยงจากการโจมตีด้วยช่องโหว่นี้เป็นจำนวนมาก

ผู้ดูแลระบบ SAP ควรศึกษาและอัปเดตแพตช์ดังกล่าว โดยสามารถอ่านรายละเอียดได้จาก https://wiki.

New Exploits for Unsecure SAP Systems

หน่วยงานความมั่นคงปลอดภัยและโครงสร้างพื้นฐานทางไซเบอร์ (CISA) ของสหรัฐอเมริกาออกมาแจ้งเตือนให้ผู้ใช้งานตรวจสอบการตั้งค่าที่ไม่ปลอดภัยบนอุปกรณ์ หรือระบบ SAP ของตนเอง ซึ่งอาจถูกใช้เป็นช่องทางในการโจมตีของผู้ไม่หวังดี

ในงานสัมมนาด้านความปลอดภัยทางไซเบอร์ Operation for Community Development and Empowerment (OPCDE) เมื่อเดือนเมษายนที่ผ่านมา ได้มีการนำเสนอปัญหาการตั้งค่าที่ไม่ปลอดภัยบน SAP ที่เปิดให้สามารถเข้าถึงจากภายนอกได้ อาจจส่งผลให้ผู้ไม่หวังดีสามารถใช้เป็นช่องทางในการโจมตีผ่านการใช้เครื่องมือที่ชื่อว่า "10KBLAZE"

โดยมีส่วนที่ควรต้องตรวจสอบ ดังต่อไปนี้
SAP Gateway ACL
SAP Gateway เป็นส่วนที่อนุญาตให้แอปพลิเคชันที่ไม่ใช่ SAP สื่อสารกับแอปพลิเคชัน SAP ได้ โดยจะมีการตั้งค่า Access Control Lists (ACLs) เป็นตัวควบคุม แต่ถ้าหากมีการตั้งค่าที่ไม่เหมาะสม เช่น gw/acl_mode = 0 จะส่งผลให้ผู้ใช้งานที่ไม่ระบุตัวตน (Anonymous) สามารถสั่งรันคำสั่งระดับระบบปฏิบัติการ (OS) ได้ พบว่ามีระบบ SAP ประมาณ 900 รายการ ในสหรัฐอเมริกา ที่มีการตั้งค่าไม่เหมาะสมและสามารถเข้าถึงได้จากภายนอก

SAP Router secinfo
SAP Router เป็นโปรแกรมที่ช่วยเชื่อมต่อระบบ SAP กับเครือข่ายภายนอก โดยเริ่มต้นจะมีการกำหนดค่าตัวแปร "secinfo" ของ SAP Gateway อนุญาตให้โฮสต์ภายในสามารถสั่งรันคำสั่ง OS โดยไม่ต้องระบุตัวตน (Anonymous) ดังนั้นถ้าหากผู้โจมตีสามารถเข้าถึง SAP Router ที่มีใช้งานการกำหนดค่าแบบเริ่มต้นได้ จะส่งผลให้ผู้ไม่หวังดีสามารถใช้ router เพื่อทำหน้าที่เป็นโฮสต์ภายในและ Proxy เพื่อส่งคำสั่งที่เป็นอันตรายได้ (remote code execution) พบว่ามี SAP Router ประมาณ 1,811 รายการในสหรัฐอเมริกาที่สามารถเชื่อมต่อกับภาย เสี่ยงต่อการถูกโจมตี

SAP Message Server
SAP Message Server จะทำหน้าที่เป็นตัวกลางระหว่าง Application Servers (AS) โดยการตั้งค่าเริ่มต้นจะกำหนดให้มีการเปิด Port 39xx เอาไว้ และไม่มีการตรวจสอบสิทธิ์ (authentication) เพื่อใช้งาน ดังนั้นหากผู้ไม่หวังดีสามารถเข้าถึง Message Server ได้ จะส่งผลให้สามารถเปลี่ยนเส้นทาง และ/หรือทำตัวเป็น Man-in-the-middle (MITM) เพื่อดักการส่งข้อมูล และขโมยข้อมูลสำคัญ (credentials) เพื่อนำไปใช้ในการเข้าถึง Application Servers (AS) และสั่งรันคำสั่งที่เป็นอันตรายได้ พบว่ามี Message Server ประมาณ 693 รายการในสหรัฐอเมริกาที่สามารถเข้าถึงได้จากภายนอก และเสี่ยงต่อการถูกโจมตี ทั้งนี้ผู้ใช้งานที่มีการใช้งาน IPS หรือ IDS สามารถใช้ Snort signature ที่มีมาให้ในลิงก์ที่มาเพื่อช่วยในการตรวจจับหรือป้องกันได้

CISA แนะนำให้ผู้ดูแลระบบ SAP ดำเนินการดังต่อไปนี้ เพื่อลดความเสี่ยงที่ระบบของตนเองอาจตกเป็นเหยื่อจากการโจมตี
- ตรวจสอบระบบของตนเอง เพื่อให้แน่ใจว่าการกำหนดค่านั้นมีความปลอดภัยเพียงพอแล้วหรือยัง
- จำกัดการเข้าถึง SAP Message Server โดย:
1. กำหนดค่า ACL ให้เฉพาะผู้ที่มีสิทธิ์เข้าถึงบน Gateways (gw/acl_mode และ secinfo) และ Message Server (ms/acl_info) สามารถศึกษาได้จาก SAP Notes 1408081 และ 821875
2. แยก Message Server Internal และ Public (rdisp/msserv=0 rdisp/msserv_internal=39NN) สามารถศึกษาได้จาก SAP Note 1421005
3. จำกัดการเข้าถึงพอร์ตภายในของ Message Server (tcp / 39NN) สำหรับผู้ใช้งานหรือจากภายนอก
- เปิดใช้งาน Secure Network Communications (SNC) สำหรับผู้ใช้งาน

* ตรวจสอบให้แน่ใจว่าระบบ SAP ในองค์กร ไม่ว่าจะเป็นส่วนใดก็ตาม ไม่ควรที่จะสามารถเข้าถึงได้จากภายนอก

ที่มา: www.

SAP ประกาศแก้ไขด้านความปลอดภัยของระบบประจำเดือนกุมภาพันธ์ 2019 ใน SAP HANA XSA

SAP ประกาศแก้ไขด้านความปลอดภัยของระบบประจำเดือนกุมภาพันธ์ 2019 จำนวน 13 ช่องโหว่ ใน SAP HANA XSA ประกอบด้วยช่องโหว่ด้านความปลอดภัย 13 รายการ แก้ไขช่องโหว่ระดับความรุนแรงสูงมาก 3 รายการ ระดับความรุนแรงสูง 4 รายการ และระดับความรุนแรงระดับปานกลาง 10 รายการ

โดยเป็นการแก้ไขปัญหาข้อบกพร่องในผลิตภัณฑ์ SAP มีดังต่อไปนี้: Business Client, HANA XSA, ABAP Platform (SLD Registration), Disclosure Management, Solution Tools Plug-In (ST-PI), Note Assistant, Business Objects, Manufacturing Integration and Intelligence, Business One Mobile Android App, และ WebIntelligence BILaunchPad (Enterprise)

ช่องโหว่ที่สำคัญในการแก้ไขประจำเดือนกุมภาพันธ์ 2019 ได้แก่ ช่องโหว่ #2742027 มีผลกับ SAP HANA XSA เป็นการเพิ่มการตรวจสอบสิทธิ์ ซึ่งการที่ไม่มีการตรวจสอบสิทธิ์ก่อนหน้านี้อาจทำให้ผู้โจมตีสามารถอ่าน แก้ไขหรือลบข้อมูลสำคัญได้

โดยสามารถอ่านรายละเอียดช่องโหว่ต่างๆ ของเดือนกุมภาพันธ์ตามลิงค์ด้านล่าง https://www.

SAP Releases ‘Hot News’ Security Notes on First Patch Day of 2019

SAP ปล่อยอัพเดทแพทช์ด้านความปลอดภัยแรกของปี 2019 ครอบคลุมช่องโหว่ 11 รายการ มี 2 รายการที่ต้องได้รับการแก้ไขโดยด่วนที่สุด

ช่องโหว่สำคัญที่ต้องได้รับการแก้ไข ถูกพบในผลิตภัณฑ์ SAP Cloud Connector (CVE-2019-0246 และ CVE-2019-0247) มีค่าความรุนแรง 9.3 หากโจมตีสำเร็จจะส่งผลให้ผู้โจมตีสามารถอ่าน, แก้ไข หรือลบข้อมูลได้ รวมทั้งสามารถเข้าถึงการทำงานในส่วนสำคัญๆ ที่ต้องมีสิทธิ์ admin เท่านั้นได้ด้วย ผู้โจมตีสามารถใช้ช่องโหว่ในการสั่งรันคำสั่งระดับระบบปฏิบัติการ (OS Command) ตามสิทธิ์ของบริการ (SAP Service) ที่ได้รับเมื่อโจมตีสำเร็จ รวมทั้งสามารถเข้าถึง file system สำคัญที่อยู่ใน SAP server และเข้าถึง source code ของแอพพลิเคชั่น และ configuration ได้

ช่องโหว่ถัดมามีความรุนแรง 9.1 (CVE-2019-0249) ถูกพบใน Landscape Management ของ SAP ส่งผลให้ผู้โจมตีสามารถเข้าถึงข้อมูลที่สำคัญของระบบ ซึ่งสามารถถูกนำไปใช้เพื่อโจมตีระบบต่อไปได้

นอกจากนี้มีช่องโหว่อื่นๆ ที่มีความรุนแรงระดับสูง (High) 1 รายการ เป็นช่องโหว่ในส่วนของ Missing Authorization ใน SAP BW / 4HANA นอกเหนือจากนี้เป็นช่องโหว่ความรุนแรงระดับกลาง (Medium) ทั้งหมด

ผู้ใช้งานที่มีการใช้ผลิตภัณฑ์ของ SAP อยู่ควรตรวจสอบข้อมูลจากเว็บไซต์ทางการ และทำการอัพเดทให้เป็นเวอร์ชั่นล่าสุดทันที

ข้อมูลเพิ่มเติม: https://erpscan.

SAP Releases August 2018 Security Updates

SAP ออกอัปเดตแพตช์ความปลอดภัยประจำเดือนสิงหาคม 2018

SAP ซึ่งเป็นผู้ให้บริการ ERP (Enterprise Resource Planning) รายใหญ่ออกแพตช์ความปลอดภัยประจำเดือนสิงหาคม 2018 ซึ่งไม่มีช่องโหว่ระดับร้ายแรงมาก (critical) แต่มีการแก้ไขช่องโหว่ระดับร้ายแรง (high) 9 รายการ และช่องโหว่ร้ายแรงปานกลาง 18 รายการ

2 ช่องโหว่จาก 9 ช่องโหว่ระดับร้ายแรงมาถูกค้นพบโดยนักวิจัยจากบริษัท Onapsis ผู้เชี่ยวชาญด้านความปลอดภัยเกี่ยวกับระบบ ERP หนึ่งในนั้นคือช่องโหว่ SQL injection ใน SAP BusinessObjects (CVE-2018-2447)

ทั้งนี้ในปลายเดือนกรกฏาคม 2018 ที่ผ่านมา Onapsis ร่วมกับ Digital Shadows ได้ออกรายงานเกี่่ยวกับความเป็นไปได้ที่จะมีการโจมตีระบบ ERP เพิ่มขึ้น โดยระบบ ERP ที่ตกเป็นเป้าหมายการโจมตีมักเป็นระบบที่บกพร่องในการแพตช์ สามารถอ่านรายละเอียดเพิ่มเติมของรายงานดังกล่าวได้จาก https://www.