phpMyAdmin ออกเเพตซ์ใหม่เเก้ไขช่องโหว่ XSS และ SQL injection ใน phpMyAdmin 4.9.x และ 5.0.x

phpMyAdmin ได้ออกประกาศอัปเดตความปลอดภัยหมายเลขที่ PMASA-2020-5 และ PMASA-2020-6 โดยทั้งสองประกาศนั้นได้ทำการเเก้ไขช่องโหว่ Cross Site Scripting (XSS) และ SQL injection

ตามประกาศเเรกหมายเลข PMASA-2020-5 ช่องโหว่ Cross Site Scripting (XSS) ถูกพบในฟีเจอร์ transformation โดยผู้โจมตีสามารถส่งลิงค์ JavaScript ของระบบ phpMyAdmin ที่สร้างขึ้นมาเป็นพิเศษและเป็นอันตรายไปยังเหยื่อและเมื่อเหยื่อคลิกที่ลิงค์ JavaScript จะทำงานและทำตามคำสั่งของผู้โจมตี เป้าหมายของผู้โจมตีอาจเป็นการขโมยคุกกี้สำหรับการพิสูจน์ตัวตน

ตามประกาศที่สองหมายเลข PMASA-2020-6 เป็นช่องโหว่ SQL injection ที่อยู่ในฟีเจอร์ SearchController ผู้โจมตีสามารถใช้ข้อบกพร่องนี้เพื่อทำการแทรก SQL ที่เป็นอันตรายลงใน query

ช่องโหว่ทั้งสองจะมีผลกระทบกับ phpMyAdmin เวอร์ชันก่อน 4.9.6 และเวอร์ชันก่อน 5.0.3 ทั้งนี้ผู้ใช้ควรทำการอัปเกรด phpMyAdmin เป็นเวอร์ชัน 4.9.6 หรือ 5.0.3 หรือล่าสุดเพื่อป้องกันผู้ประสงค์ร้ายใช้ประโยชน์จากช่องโหว่ทำการโจมตีระบบ

ที่มา:

phpmyadmin.

GitHub เปิดตัวฟีเจอร์ความปลอดภัยใหม่ “Code Scanning” ให้กับผู้ใช้ทุกคน

GitHub ได้เปิดตัวฟีเจอร์ด้านความปลอดภัยใหม่ที่ชื่อว่า Code Scanning สำหรับผู้ใช้ทุกคนทั้งในบัญชีแบบชำระเงินและบัญชีฟรี

ฟีเจอร์ด้านความปลอดภัยใหม่นี้จะช่วยสแกนหาโค้ดที่ช่องโหว่ให้ผู้ใช้งานเพื่อช่วยทำการวิเคราะห์เมื่อเกิดการส่งคำขอ Pull Requests, Commit และ Merge ซึ่งเมื่อตรวจพบช่องโหว่ Code Scanning จะทำงานโดยแจ้งเตือนให้นักพัฒนาแก้ไขโค้ดของตน

ฟีเจอร์ Code Scanning จะทำงานความสามารถของ CodeQL (Code query language) ซึ่งเป็นเทคโนโลยีของ GitHub ที่ได้นำมาใช้ในแพลตฟอร์มหลังจากทำการซื้อกิจการมาจาก Semmle ซึ่งด้วยความสามารถของ CodeQL นี้จะช่วยให้นักพัฒนาสามารถเขียน Rule เพื่อตรวจหาช่องโหว่ในโค้ดได้ในปริมาณมากๆ

หลังจากทีมงาน GitHub เปิดให้ผู้ทดสอบเบต้าทดสอบมาตั้งเเต่เดือนพฤษภาคมที่ผ่านมา โดยฟีเจอร์นี้ได้ทำการทดสอบการสแกนหาช่องโหว่ไปแล้วกว่า 1,400,000 ครั้งกับ repository จำนวน 12,000 แห่ง ซึ่งช่องโหว่ที่ถูกพบและสามารถระบุได้หลักๆ จำนวนกว่า 20,000 รายการคือ ช่องโหว่การเรียกใช้โค้ดจากระยะไกล (Remote Code Execution - RCE), SQL Injection และ Cross-Site Scripting (XSS)

ทั้งนี้ผู้ใช้งานจะถูกแจ้งเตือนให้เปิดใช้งานฟีเจอร์ดังกล่าวหรือผู้ใช้งานสามารถเปิดการใช้งานฟีเจอร์ได้ด้วยตนเอง โดยการเข้าไปที่แท็บ ‘Security’ และในช่อง Code Scanning ให้เลือก Set up code scanning เพื่อเปิดใช้งาน

ที่มา : zdnet

 

Freepik ถูกเเฮกเกอร์โจมตีด้วย SQL injection ทำให้ข้อมูลของผู้ใช้ถูกขโมยไป 8.3 ล้านราย

Freepik เว็บไซต์ให้บริการแหล่งข้อมูลกราฟิกออนไลน์และรูปภาพได้เเถลงการถึงการบุกรุกโดยแฮกเกอร์ ซึ่งแฮกเกอร์สามารถบุกรุกและทำการขโมยอีเมล, แฮชรหัสผ่านสำหรับผู้ใช้ Freepik และ Flaticon จำนวน 8.3 ล้านรายโดยการโจมตี SQL injection กับเว็บไซต์ Flaticon ของบริษัท

จากเเถลงการของ Freepik นั้นพบว่าแฮกเกอร์ได้ทำการขโมยบัญชีผู้ใช้ 8.3 ล้านราย ซึ่งบัญชี 4.5 ล้านรายนั้นไม่มีแฮชรหัสผ่านเนื่องจากเป็นการล็อกอินผ่าน third party อย่าง Google, Facebook และ Twitter จึงได้เพียงข้อมูลอีเมลแอดเดรส ผู้ใช้งานที่เหลืออีกจำนวน 3.55 ล้านคนถูกขโมยรหัสผ่านที่แฮชด้วย bcrypt และบัญชีผู้ใช้ราว 229,000 คนถูกขโมยรหัสผ่านที่แฮชด้วย MD5 และมีการทำ salted ซึ่งถูกถอดได้ง่าย Freepik จะทำการยกเลิกรหัสผ่านบัญชีผู้ใช้กลุ่มนี้และเเจ้งเตือนให้ผู้ใช้ทำการเปลื่ยนรหัสผ่านใหม่

Freepik ยังเเจ้งเตือนผู้ใช้กลุ่มอื่นๆ ให้ทำการเปลื่ยนรหัสผ่านหากมีการใช้รหัสผ่านเดียวกันกับ Freepik เพื่อเป็นการป้องกันการโจมตีด้วย Password spray attack กับบริการอื่นๆ ของผู้ใช้ ทั้งนี้ผู้ใช้จำนวน 3.55 ล้านคนที่มีการ bcrypt แฮชของรหัสผ่านไว้นั้นจะได้รับการเเจ้งเตือนและแนะนำให้ทำการเปลี่ยนรหัสผ่านแต่ไม่ได้บังคับให้ทำการเปลื่ยนรหัสผ่านอย่างผู้ใช้งานที่ถูกเข้ารหัสผ่านด้วยแฮชรหัสผ่าน MD5 สำหรับการแจ้งเตือนนั้นจะมีเนื้อหาอีเมลตามแต่ผลกระทบของแต่ละบุคคล

ผู้ใช้งานเว็บไซต์ Freepik และ Flaticon ควรทำการเปลื่ยนรหัสผ่านของท่านเพื่อเป็นการป้องกันการเข้าถึงบัญชีผู้ใช้ในอนาตค ซึ่งทั้งนี้ผู้ใช้งานไม่ควรใช้รหัสผ่านเดียวกันกับทุกเว็บไซต์ที่ใช้บริการเพื่อเป็นการป้องกันการโจมตีด้วยวิธี Credential stuffing (นำรหัสผ่านที่เคยรั่วไหลกับเว็บไซต์อื่นมาลองใช้กับอีกเว็บไซต์) ทั้งนี้ผู้ใช้ที่ไม่มั่นใจว่าบัญชีของท่านถูกรั่วไหลสามารถตรวจสอบบัญชีของท่านได้ที่บริการของ Have I Been Pwned

ที่มา: bleepingcomputer

แฮกเกอร์ใช้ช่องโหว่ ‘Zero-day’ โจมตี Sophos XG Firewall

Sophos ได้ทำการเผยแพร่แพตช์ความปลอดภัยฉุกเฉินเพื่อแก้ไขช่องโหว่ Zero-day ในผลิตภัณฑ์ XG Firewall ที่ถูกแฮกเกอร์ใช้ประโยช์จากช่องโหว่ขโมยรหัสผ่านบนอุปกรณ์ XG Firewall

Sophos กล่าวว่าพวกเขาได้รับรายงานจากลูกค้ารายหนึ่ง ในวันพุธที่ 22 เมษายนหลังจากลูกค้าพบค่าฟิลด์ที่น่าสงสัยปรากฏในระบบการจัดการ หลังจากทำการตรวจสอบพวกเขาระบุว่าค่าฟิลด์ที่น่าสงสัยนั้นเป็นการโจมตีที่ใช้ช่องโหว่ SQL injection เพื่อขโมยรหัสผ่านบนอุปกรณ์ XG Firewall

Sophos กล่าวว่าแฮกเกอร์ได้ใช้ช่องโหว่ดังกล่าวเพื่อโจมตีอุปกรณ์ XG Firewall ในส่วนการจัดการ Administration หรือ User Portal control panel ที่เปิดให้ทำการจัดการผ่านอินเตอร์เน็ต และยอมรับว่าแฮกเกอร์ใช้ช่องโหว่ SQL injection เพื่อดาวน์โหลดข้อมูลบนอุปกรณ์และคาดว่าข้อมูลที่ถูกขโมยออกไปนั้นอาจมีชื่อบัญชีผู้ใช้และรหัสผ่านที่ถูกเข้าด้วยฟังก์ชั่นแฮชของผู้ดูแลอุปกรณ์ไฟร์วอลล์, บัญชีผู้ใช้ผู้ดูแลระบบพอร์ทัลไฟร์วอลล์และบัญชีผู้ใช้ที่ใช้สำหรับการเข้าถึงอุปกรณ์จากระยะไกล

การอัพเดตความปลอดภัย

Sophos ได้ทำการส่งแพตช์อัพเดตความปลอดภัยฉุกเฉินนี้ไปยังอุปกรณ์ XG Firewalls ของผู้ใช้แล้ว โดยผู้ใช้ที่ตั้งค่า "Allow automatic installation of hotfixes" บนอุปกรณ์จะได้รับการอัพเดตอัตโนมัติ สำหรับผู้ใช้ที่ปิดใช้งานการตั้งค่านี้ผู้ใช้งานสามารถทำตามคำแนะนำดังต่อไปนี้ community.

แฮกเกอร์ปล่อยชื่อผู้ใช้และรหัสผ่าน 23 ล้านบัญชีจากเกมเกมออนไลน์ Webkinz

แฮกเกอร์ได้ทำการปล่อยชื่อผู้ใช้และรหัสผ่านของผู้เล่นเกมออนไลน์ Webkinz World เกือบ 23 ล้านคน โดยเกมออนไลน์ Webkinz World เป็นเกมสำหรับเด็กที่ผลิตและบริหารโดยบริษัทของเล่น Ganz จากประเทศแคนาดา

ZDNet ได้พบว่ามีแฮกเกอร์นิรนามได้ทำการโพสต์ส่วนหนึ่งของฐานข้อมูลของเกมบนแฮกเกอร์ฟอรัม โดยไฟล์มีขนาด 1 GB มีชื่อผู้ใช้และรหัสผ่านจำนวน 22,982,319 รายการ โดยรหัสที่พบผ่านการเข้าฟังก์ชันแฮชด้วยอัลกอริทึม MD5 และคาดว่าแฮกเกอร์เข้าถึงฐานข้อมูลของเกมโดยใช้ช่องโหว่ SQL injection ที่อยู่ในเว็บฟอร์มของเว็บไซต์

บริษัท Webkinz ได้ทราบถึงข้อมูลที่รั่วไหล ดำเนินการตรวจพบถึงการบุกรุกและแก้ไขช่องโหว่ของจุดที่แฮกเกอร์ใช้เข้าสู่ระบบ

ที่มา : www.

Bringing MySQL to the web

พบช่องโหว่ SQL injection บน phpMyAdmin ช่องโหว่ CVE-2020-10802, CVE-2020-10803, CVE-2020-10804 รายงานโดยผู้ใช้งานทวิตเตอร์ชื่อ hoangn144_VCS, bluebird, Yutaka WATANABE
วันที่ 20 มีนาคมที่ผ่านมาได้

รายละเอียดช่องโหว่
CVE-2020-10802 (CVSS 8.0): เป็นช่องโหว่ SQL injection ที่เกิดจากการข้อผิดพลาดในการสร้างพารามิเตอร์ในขั้นตอนการค้นหาภายใน phpMyAdmin การโจมตีจะเกิดได้เมื่อผู้ใช้งานดำเนินการค้นหาด้วยการใส่อักษรพิเศษลงไปบนฐานข้อมูลหรือตารางที่ผู้โจมตีสร้างขึ้นมาเพื่อใช้ในการโจมตี

CVE-2020-10803 (CVSS 5.4): เป็นช่องโหว่ SQL injection ที่เกิดจากเรียกใช้โค้ดเพื่อจะดำเนินการแทรกข้อมูลที่สร้างขึ้นในฐานข้อมูล เมื่อผู้ใช้ทำการดึงหรือเรียกดูฐานข้อมูล จะสามารถทำการโจมตีในรูปแบบ XSS (Cross-site scripting) ได้ในการเเสดงผล

CVE-2020-10804 (CVSS 8.0): เป็นช่องโหว่ SQL injection โดยทำการดึงข้อมูล username ที่มีอยู่
และสร้าง username เพื่อหลอกให้ผู้ดูแลระบบดำเนินการบางอย่าง เช่นแก้ไขสิทธิ์ผู้ใช้งาน ช่องโหว่นี้ยังทำให้เกิดข้อผิดพลาดในการเปลี่ยนพาสเวิร์ด MySQL ของผู้ใช้

ผลกระทบ
phpMyAdmin เวอร์ชั่น 4.9.x ก่อน 4.9.5 และ เวอร์ชั่น 5.0.x ก่อน 5.0.2 ได้รับผลกระทบ

การเเก้ไข
อัปเกรด phpMyAdmin เป็นเวอร์ชั่น 4.9.5 หรือ 5.0.2 หรือใหม่กว่า

ที่มา: phpmyadmin

phpMyAdmin CSRF and SQL Injection Vulnerabilities

โครงการ phpMyAdmin ประกาศแพตช์สำหรับช่องโหว่ SQL Injection และ CSRF

โครงการ phpMyAdmin ประกาศแพตช์สำหรับช่องโหว่รหัส CVE-2019-11768 (PMSA-2019-3) และ CVE-2019-12616 (PMSA-2019-4) วันนี้ โดยเป็นช่องโหว่ SQL Injection และ CSRF ตามลำดับ

ช่องโหว่ CVE-2019-11768 เป็นช่องโหว่ SQL Injection ในส่วน Designer Feature โดยตรวจพบกับ phpMyAdmin เวอร์ชันก่อน 4.8.6 ซึ่งจะเกิดขึ้นเมื่อผู้โจมตีมีการสร้างฐานข้อมูลด้วยชื่อแบบพิเศษซึ่งจะทำให้เกิดเงื่อนไขของ SQL Injection

ในส่วนของช่องโหว่ CVE-2019-12616 นั้น เป็นช่องโหว่ประเภท CSRF ที่หน้าล็อกอินของ phpMyAdmin โดยผู้โจมตีสามารถทำการโจมตีผ่าน HTML tag ที่มีการพัฒนาอย่างไม่ปลอดภัยเพื่อใช้สิทธิ์ของผู้ใช้งานในการส่งคำสั่งที่เป็นอันตรายไปยังระบบได้ ช่องโหว่นี้กระทบ phpMyAdmin ก่อนรุ่น 4.9.0 โดยให้ทำการอัปเดตเป็นเวอร์ชันใหม่กว่าเพื่อรับการแก้ไขช่องโหว่

ที่มา: PMASA-2019-3 , PMASA-2019-4

Cisco addressed SQL Injection flaw in Cisco Prime License Manager

ทาง Cisco ได้ประกาศเรื่องการอัพเดทแพทช์เพื่อแก้ไขปัญหาช่องโหว่ใน web framework สำหรับ Cisco Prime License Manager ที่ส่งผลทำให้แฮกเกอร์สามารถโจมตีด้วยวิธี SQL Injection ได้

จากข่าวรายงานว่าช่องโหว่ดังกล่าวถูกพบโดย Suhail Alaskar จาก Saudi Information Technology Company โดยช่องโหว่นี้เกิดจากข้อบกพร่องที่ไม่มีการตรวจสอบความถูกต้องเมื่อผู้ใช้งานป้อนข้อมูลในหน้าเว็บ ทำให้แฮกเกอร์สามารถเรียกใช้งานโดยส่งคำขอ HTTP POST ที่แอบซ่อนคำสั่ง SQL ที่เป็นอันตรายไปยังเว็บแอปพลิเคชันที่มีช่องโหว่ ส่งผลให้แฮกเกอร์สามารถแก้ไขและลบข้อมูลในฐานข้อมูล Prime License Manager (PLM) ได้ หรือได้รับสิทธิ์การเข้าถึง shell โดยใช้สิทธิ์ผู้ใช้ postgres ได้

Cisco Prime License Manager ที่ได้รับผลกระทบ ประกอบด้วย Prime License Manager เวอร์ชัน 11.0.1 และใหม่กว่า, Cisco Unified Communications Manager และ Cisco Unity Connection ที่ต่ำกว่าเวอร์ชัน 12.0 แนะนำให้ผู้ใช้งานที่ได้รับผลกระทบทำการอัพเดทแพทช์ ciscocm.

WordPress 4.8.3 Security Release

WordPress ปล่อยเวอร์ชัน 4.8.3 แพตช์ช่องโหว่ SQL injection ร้ายแรง

ทาง WordPress ได้มีการปล่อย WordPress 4.8.3 ซึ่งเป็นเวอร์ชั่นใหม่ โดยในเวอร์ชั่นนี้จะแก้ไขช่องโหว่ SQL injection ที่เกิดขึ้นในเวอร์ชั่นก่อนหน้านี้คือ เวอร์ชั่น 4.8.2 โดยมีรายละเอียดข่าวดังนี้

WordPress เวอร์ชั่น 4.8.2 และเวอร์ชั่นก่อนหน้านี้มีปัญหาที่เกิดจากฟังก์ชัน $wpdb->prepare() ที่ทำให้แฮกเกอร์สามารถสร้างข้อความสำหรับไว้ค้นหาที่ไม่ปลอดภัย นำไปสู่การโจมตีด้วยวิธี SQL injection (SQLi) ได้สำเร็จ ในส่วนของตัวโปรแกรมหลัก WordPress จะไม่ได้รับผลกระทบโดยตรง แต่อาจเกิดจากปลั๊กอินและธีมที่ไม่ปลอดภัยก็สามารถมีความเสี่ยงในการถูกโจมตีได้

สำหรับ WordPress เวอร์ชั่น 4.8.3 นี้ทางทีมก็ได้พัฒนาเพิ่ม hardening เพื่อป้องกันปลั๊กอินและธีม อีกทั้งยังมีการเปลี่ยนเแปลงฟังก์ชั่น สำหรับฟังก์ชัน esc_sql() เพื่อให้มีความปลอดภัยมากขึ้น หากใครที่ใช้งานอยู่ควรรีบทำการอัพเดทแพทช์ทันที

ที่มา : wordpress

Swiss banking software has Swiss cheese security, says Rapid7

บริษัทด้านความปลอดภัย Rapid 7 ได้ตรวจพบช่องโหว่ SQL injection บนซอฟต์แวร์ e-commerce "SmartVista" ซึ่งใช้กันอย่างแพร่หลายในสวิตเซอร์แลนด์ อย่างไรก็ตามโลกแห่งความจริงนั้นไม่ได้ง่ายและปลอดภัยเมื่อบริษัทผู้พัฒนาซอฟต์แวร์ BCP Banking ไม่ยอมรับทราบและแก้ปัญหาใดๆ ตั้งแต่เดือนพฤษาภาคม 2017

ช่องโหว่ดังกล่าวเกิดจากระบบไม่ได้มีการตรวจสอบข้อมูลที่ผู้ใช้งานส่งเข้ามาดีพอ ทำให้ผู้โจมตีสามารถเข้าถึงข้อมูลที่อยู่ฐานข้อมูลได้ผ่านการโจมตี SQL injection
ขณะนี้ CERT/CC กับ SwissCERT ได้ดำเนินการแจ้งไปยังบริษัทผู้พัฒนาซอฟต์แวร์แล้ว เนื่องจากซอฟต์แวร์ดังกล่าวมีการใช้งานอย่างแพร่หลาย ในส่วนของผู้ที่ใช้ซอฟต์แวร์นั้น การใช้ฟีเจอร์ของ WAF ในการป้องกัน SQL injection อาจช่วยลดความเสี่ยงที่จะถูกโจมตีได้บางส่วน

ที่มา: theregister