NodeBB เป็นแพลตฟอร์ม Forum แบบ Open-source ที่ได้รับความนิยม โดยถูกพบว่ามีช่องโหว่ SQL Injection ที่มีความรุนแรงระดับ Critical ในเวอร์ชัน 4.3.0 (more…)

พบช่องโหว่ระดับ Critical ใน PHP ที่อาจทำให้ผู้โจมตีสามารถโจมตีแบบ SQL Injection และ Denial of Service (DoS) ได้ (more…)

CISA ได้เพิ่มช่องโหว่หลายรายการเข้าไปใน Exploited Vulnerabilities (KEV) แค็ตตาล็อก โดยพบช่องโหว่ทั้งหมด 6 รายการในผลิตภัณฑ์ต่าง ๆ เช่น Zimbra Collaboration, Ivanti, D-Link, DrayTek, GPAC, และ SAP ซึ่งช่องโหว่เหล่านี้มีระดับความรุนแรงตั้งแต่ระดับ Critical จนถึงความรุนแรงระดับปานกลาง และจำเป็นต้องได้รับการแก้ไขอย่างเร่งด่วน (more…)

พบช่องโหว่ใหม่ที่ถูกเปิดเผยในปลั๊กอิน LiteSpeed Cache สำหรับ WordPress ซึ่งอาจทำให้ผู้โจมตีสามารถรันโค้ด JavaScript ตามที่ต้องการได้ภายใต้เงื่อนไขบางประการ (more…)

กลุ่ม Hackers ทำการโจมตีเป้าหมายโดยการมุ่งเป้าไปที่ช่องโหว่ปลั๊กอิน WP Automatic ซึ่งเป็นช่องโหว่ที่มีความรุนแรงในระดับ Critical โดยทำการสร้างบัญชีผู้ใช้ที่มีสิทธิ์สูง และวาง backdoors ไว้เพื่อการเข้าถึงในระยะยาว (more…)

กลุ่ม Hacker ในชื่อ 'ResumeLooters' ได้ขโมยข้อมูลส่วนบุคคลของผู้สมัครงานมากกว่าสองล้านรายการ หลังการโจมตีเว็บไซต์หางาน และเว็บไซต์ค้าปลีก 65 แห่ง โดยใช้การโจมตีแบบ SQL injection และ Cross-site Scripting (XSS)

โดยกลุ่ม ResumeLooters มุ่งเน้นการโจมตีไปที่ภูมิภาค APAC เป็นหลัก โดยกำหนดเป้าหมายไปยัง ออสเตรเลีย ไต้หวัน จีน ไทย อินเดีย และเวียดนาม เพื่อขโมยชื่อผู้หางาน ที่อยู่อีเมล หมายเลขโทรศัพท์ ประวัติการทำงาน การศึกษา และข้อมูลอื่น ๆ ที่เกี่ยวข้อง

ตามข้อมูลของ Group-IB ซึ่งได้ติดตามกลุ่ม Hacker ดังกล่าวตั้งแต่เดือนพฤศจิกายน 2023 พบว่า ResumeLooters พยายามขายข้อมูลที่ถูกขโมยผ่านช่องทาง Telegram (more…)

กลุ่มแฮ็กเกอร์ที่ปรากฏตัวขึ้นใหม่ภายใต้ชื่อ "GambleForce" กำลังโจมตีบริษัทต่างๆ ในภูมิภาคเอเชียแปซิฟิก (APAC) ด้วยวิธี SQL Injection ตั้งแต่เดือนกันยายน 2023

บริษัท Group-IB จากประเทศสิงคโปร์ ระบุไว้ในรายงานที่แชร์กับ The Hacker News ว่า "GambleForce ใช้ชุดเทคนิคพื้นฐาน แต่มีประสิทธิภาพสูง รวมถึงการโจมตีแบบ SQL injection และการใช้ประโยชน์จากช่องโหว่ใน website content management systems (CMS) เพื่อขโมยข้อมูลสำคัญ เช่น ข้อมูล credentials ของผู้ใช้"
(more…)

มีการเปิดเผยช่องโหว่ SQL injection หลายรายการใน Gentoo Soko ที่อาจนำไปสู่การเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกล (RCE) บนระบบที่มีช่องโหว่ได้

Thomas Chauchefoin นักวิจัยจาก SonarSource ระบุว่าช่องโหว่ SQL Injections เหล่านี้เกิดขึ้นจากการใช้งาน ORM (Object-Relational Mapping) library และ prepared statements รวมถึง misconfiguration ของ database

ช่องโหว่ที่พบอยู่ในฟีเจอร์การค้นหาของ Soko ซึ่งมีหมายเลข CVE-2023-28424 (คะแนน CVSS: 9.1) และได้รับการแก้ไขภายใน 24 ชั่วโมงหลังจากการเปิดเผยข้อมูลออกมาเมื่อวันที่ 17 มีนาคม 2023

Soko เป็นโมดูลซอฟต์แวร์ภาษา Go ที่มีความสามารถในการค้นหาแพ็คเกจต่าง ๆ ใน Gentoo Linux distribution ผ่าน packages.

Progress Software ออกมาแจ้งเตือนไปยังผู้ใช้งานว่าได้พบ ช่องโหว่ SQL injection ใหม่ใน managed file transfer (MFT) ของ MOVEit Transfer ที่ทำให้ hacker สามารถขโมยข้อมูลจากฐานข้อมูลของลูกค้าได้

ช่องโหว่ SQL injection ใหม่ ถูกค้นพบโดย Huntress บริษัทด้านความปลอดภัยทางไซเบอร์ ภายหลังการตรวจสอบเหตุการณ์โจมตีของกลุ่ม Clop ransomware ที่ใช้ช่องโหว่ zero-day เพื่อขโมยข้อมูล โดยช่องโหว่นี้ส่งผลกระทบต่อ MOVEit Transfer ทุกรุ่นและทำให้ Hacker สามารถควบคุม server ที่เชื่อมต่ออินเทอร์เน็ตเพื่อแก้ไข หรือขโมยข้อมูลลูกค้าได้ (more…)

ช่องโหว่ในแอปพลิเคชันการถ่ายโอนไฟล์ที่จัดการโดย Progress Software ที่ชื่อ MOVEit Transfer ถูกนำไปใช้ประโยชน์อย่างแพร่หลายเพื่อโจมตีระบบที่มีช่องโหว่

โดยช่องโหว่มีหมายเลข CVE-2023-34362 ซึ่งเป็นช่องโหว่ SQL injection ที่สามารถยกระดับสิทธิ์ และเข้าถึงข้อมูลโดยไม่ได้รับอนุญาตได้

บริษัทระบุว่า "พบช่องโหว่ SQL injection ในเว็บแอปพลิเคชัน MOVEit Transfer ที่อาจทำให้ผู้โจมตีสามารถเข้าถึงฐานข้อมูลของ MOVEit Transfer ได้"

ขึ้นอยู่กับเครื่องมือฐานข้อมูลที่ใช้ (MySQL, Microsoft SQL Server หรือ Azure SQL) ผู้โจมตีอาจสามารถสืบค้นข้อมูลเกี่ยวกับโครงสร้าง และเนื้อหาของฐานข้อมูลได้นอกเหนือจากการรัน SQL statements ที่แก้ไข หรือลบ elements ของฐานข้อมูล

โดยบริษัทได้ออกแพตช์อัปเดตสำหรับช่องโหว่นี้ในเวอร์ชัน 2021.0.6 (13.0.6), 2021.1.4 (13.1.4), 2022.0.4 (14.0.4), 2022.1.5 (14.1.5) และ 2023.0.1 (15.0.1)

ช่องโหว่นี้ถูกรายงานครั้งแรกโดย Bleeping Computer ในวันที่ 31 พฤษภาคม 2023 จากการที่ Huntress และ Rapid7 ได้ระบุว่ามีอินสแตนซ์ของ MOVEit Transfer ประมาณ 2,500 ระบบที่สามารถเข้าถึงได้จากอินเทอร์เน็ต โดยอินสแตนซ์ส่วนใหญ่ตั้งอยู่ในประเทศสหรัฐอเมริกา

การโจมตีที่ประสบความสำเร็จ ทำให้สามารถติดตั้งเว็บเชลล์ (web shell) ซึ่งอาจเป็นไฟล์ชื่อ "human2.aspx" ที่สร้างขึ้นผ่านสคริปต์ ในไดเรกทอรี "wwwroot" หรือด้วยชื่อไฟล์อื่น ๆ โดยเว็บเชลล์นี้ถูกใช้เพื่อขโมยข้อมูลต่าง ๆ ที่อยู่บนบริการของ MOVEit ออกไป

การวิเคราะห์เชื่อมโยงกับการโจมตีพบว่าเว็บเชลล์ถูกออกแบบให้สามารถเพิ่มเซสชันบัญชีผู้ใช้แอดมินใหม่ชื่อ "Health Check Service" เพื่อหลีกเลี่ยงการตรวจจับที่อาจเกิดขึ้น

บริษัทด้านความปลอดภัย และความเสี่ยงทางเทคโนโลยีชื่อ 'GreyNoise' ระบุว่า "ได้สังเกตพบการพยายามสแกนหน้าเข้าสู่ระบบของ MOVEit Transfer ที่ path /human.