PrestaShop เป็น Open-Source E-commerce Solution ที่ได้รับความนิยมในยุโรป และละตินอเมริกา ซึ่งมีผู้ค้าขายออนไลน์กว่า 300,000 รายทั่วโลกที่ใช้งาน ซึ่งผู้โจมตีได้ใช้ประโยชน์จากช่องโหว่ Zero-day บน platform ดังกล่าว เพื่อใส่โค้ด Skimmer ที่เป็นอันตราย ที่ออกแบบมาเพื่อขโมยข้อมูลที่มีความสำคัญ
เป้าหมายของการใช้ประโยชน์จากช่องโหว่นี้คือการติดตั้งโค้ดที่เป็นอันตรายที่มีความสามารถในการขโมยข้อมูลการชำระเงินจากลูกค้าที่ใส่ข้อมูลในหน้าชำระเงิน โดยเป้าหมายหลัก ๆ ส่วนใหญ่จะเป็นร้านค้าที่ใช้ software เวอร์ชั่นเก่า ๆ หรือ 3rd party module ที่มีช่องโหว่
ช่องโหว่มีหมายเลข CVE-2022-36408 ที่เกิดปัญหาจากการจัดการกับ Input ที่ผิดปกติ หรือไม่รู้จัก จนนำไปสู่การโจมตีในรูปแบบ SQL Injection ที่จะทำให้ผู้ผู้โจมตีสามารถแทรก หรือแก้ไขคำสั่ง SQL ได้

(more…)

เมื่อวันศุกร์ที่ผ่านมา (22 กรกฏาคม 2565) SonicWall ได้ออกแพตซ์อัปเดตเพื่อแก้ไขช่องโหว่ SQL injection (SQLi) ซึ่งส่งผลกระทบต่อผลิตภัณฑ์ Analytics On-Prem และ Global Management System (GMS)

ซึ่งช่องโหว่มีหมายเลข CVE-2022-22280 โดยมี CVSS อยู่ที่ 9.4 ซึ่งทำให้ผู้ไม่หวังดีสามารถโจมตีในรูปแบบ SQL Injection ได้ จาก special elements บางอย่างที่ถูกใช้ใน SQL Command ซึ่งผู้ที่ค้นพบช่องโหว่นี้คือ H4lo และ Catalpa ของ DBappSecurity HAT Lab

ลักษณะของช่องโหว่

หากไม่มีการปิดการใช้งาน SQL Syntax ใน User-controllable inputs ก็จะทำให้ผู้ไม่หวังดีใช้ช่องโหว่นี้ในการทำ SQL Injection เพื่อเข้าถึง หรือจัดการกับข้อมูลที่เก็บอยู่ในฐานข้อมูล รวมถึงสั่งรัน command บนระบบได้โดยไม่ต้องมีการตรวจสอบสิทธิ์ของผู้ใช้

ช่องโหว่นี้จะส่งผลกระทบกับ Analytics เวอร์ชั่น 2.5.0.3-2520 และต่ำกว่า รวมถึง GMS เวอร์ชั่น 9.3.1-SP2-Hotfix1 และต่ำกว่า

คำแนะนำ

ขอแนะนำให้องค์กรที่ใช้อุปกรณ์ที่มีช่องโหว่อัปเกรดเป็น Analytics 2.5.0.3-2520-Hotfix1 และ GMS 9.3.1-SP2-Hotfix-2
พิจารณาในการติดตั้ง Web Application Firewall (WAF) เพื่อป้องการโจมตีในรูปแบบ SQL Injection

ที่มา : thehackernews

FireEye Mandiant ออกรายงานล่าสุดถึงความเคลื่อนไหวของกลุ่มแฮกเกอร์อย่างน้อย 2-3 กลุ่มที่มีพฤติกรรมเชื่อมโยงกัน โดยกลุ่มแฮกเกอร์ดังกล่าวกำลังทำการโจมตีช่องโหว่ Zero-day ใน ซอฟต์แวร์ Accellion FTA เพื่อเข้าไปขโมยข้อมูล บางส่วนถูกนำมาใช้เรียกค่าไถ่

Accellion FTA เป็นซอฟต์แวร์สำหรับจัดการไฟล์ในองค์กร อ้างอิงจากประกาศของ Accellion ผลิตภัณฑ์ FTA ถูกตรวจพบว่ามีช่องโหว่ตั้งแต่ในช่วงกลางเดือนธันวาคม โดยในปัจจุบันช่องโหว่ที่ได้รับการยืนยันแล้วมีตามรายการดังนี้

CVE-2021-27101: ช่องโหว่ SQL injection ใน Host header
CVE-2021-27102: ช่องโหว่ OS command execution ผ่านทางเว็บเซอร์วิส
CVE-2021-27103: ช่องโหว่ SSRF ผ่านทาง POST request แบบพิเศษ
CVE-2021-27104: ช่องโหว่ OS command execution ผ่านทาง POST request แบบพิเศษ
จากรายงานของ FireEye Mandiant กลุ่มผู้โจมตีที่เกี่ยวข้องกับการโจมตีในครั้งนี้มีอยู่ 2 กลุ่ม โดยในกลุ่มแรกนั้นถูกระบุด้วยรหัส UNC2546 ซึ่งมีพฤติกรรมในการโจมตีช่องโหว่, ฝัง Web shell และขโมยข้อมูลออกไป และกลุ่ม UNC2582 ซึ่งมีการนำข้อมูลที่ได้จากการโจมตีมาเรียกค่าไถ่ผ่านทางหน้าเว็บไซต์ของ Clop ransomware

ทั้งกลุ่ม UNC2546 และ UNC2582 ถูกเชื่อมโยงเข้ากับพฤติกรรมของกลุ่ม FIN11 และกลุ่ม Clop ransonware ด้วยพฤติกรรมการโจมตีหลายอย่างที่เหมือนกัน

อ้างอิงจากข่าวเก่าที่ทางไอ-ซีเคียวได้มีการนำเสนอไปเมื่อวันที่ 16 กุมภาพันธ์ Singtel คือหนึ่งในเหยื่อที่ถูกโจมตีในครั้งนี้ facebook

เราขอแนะนำให้ทำการตรวจสอบการมีอยู่ของซอฟต์แวร์และแอปที่มีช่องโหว่ ปรับใช้ข้อมูลตัวบ่งชี้ภัยคุกคามอย่างเหมาะสม และเฝ้าระวังระบบอย่างใกล้ชิด

ดูข้อมูลเพิ่มเติม: fireeye
IOC เพิ่มเติม: twitter

ที่มา: securityweek, wsj, threatpost, zdnet, bleepingcomputer

Fortinet ได้ทำการแก้ไขช่องโหว่ที่รุนแรงหลายรายการ ซึ่งรวมไปถึง Remote Code Execution (RCE) ไปจนถึง SQL Injection, Denial of Service (DoS) ที่ส่งผลกระทบต่ออุปกรณ์ FortiProxy SSL VPN และ FortiWeb Web Application โดยช่องโหว่บางส่วนนั้นได้เคยถูกเปิดเผยไปแล้วแต่ยังไม่ครอบคลุมในทุกอุปกรณ์ ทำให้ต้องมีการแพตช์เพิ่มเติม ตัวอย่างดังนี้

ช่องโหว่ CVE-2018-13381 ใน FortiProxy SSL VPN เป็นช่องโหว่แบบ Remote ที่เกิดจากการที่อุปกรณ์ไม่มีการรับรองความถูกต้องผ่านการร้องขอแบบ POST ซึ่งสามารถทำให้อุปกรณ์หยุดทำงานและนำไปสู่การเกิด DoS
ช่องโหว่ CVE-2018-13383 สามารถทำให้เกิด Overflow ใน VPN ผ่าน property HREF ของ JavaScript

ลูกค้า Fortinet ควรอัปเกรดเป็นเวอร์ชันที่มีการอัปเดตเพิ่มเติม โดยสามารถตรวจสอบเวอร์ชั่นอัปเดตล่าสุดอื่นๆ ได้ที่แหล่งที่มา

ที่มา : bleepingcomputer

SAP ออกแพตช์ด้านความปลอดภัย 10 รายการและรายละเอียดการอัปเดตอื่นๆ อีก 7 รายการใน SAP Security Patch Day ประจำเดือนมกราคม 2021 โดยช่องโหว่ที่สำคัญมีรายละเอียดดังนี้

ช่องโหว่แรก CVE-2021-21465 (CVSSv3 9.9/10) เป็นช่องโหว่ SQL Injection และการตรวจสอบข้อมูลในผลิตภัณฑ์ SAP Business Warehouse (Database Interface) ซึ่งจะมีผลกับ SAP Business Warehouse เวอร์ชัน 710, 711, 730, 731, 740, 750, 751, 752, 753, 754, 755, 782
ช่องโหว่ที่สอง CVE-2021-21466 (CVSSv3 9.1/10) เป็นช่องโหว่ Code Injection ที่อยู่ในผลิตภัณฑ์ SAP Business Warehouse and SAP BW/4HANA ซึ่งจะมีผลกับ SAP Business Warehouse เวอร์ชัน 700, 701, 702, 711, 730, 731, 740, 750, 782 และ SAP BW4HANA เวอร์ชัน 100, 200

สำหรับช่องโหว่ที่มีสำคัญอีก 3 รายการคือการอัปเดตสำหรับการแก้ไขช่องโหว่ที่ถูกเผยแพร่ไปแล้วก่อนหน้านี้คือช่องโหว่ในเบราว์เซอร์ Google Chromium ที่ถูกใช้ในผลิตภัณฑ์ Business Client ซึ่งมีคะแนน CVSSv3 10/10, ช่องโหว่การเพิ่มสิทธิ์ใน NetWeaver Application Server สำหรับ Java (CVSSv3 9.1/10) ที่ถูกเผยแพร่ไปแล้วในเดือนพฤศจิกายน 2020 และช่องโหว่ Code Injection ในผลิตภัณฑ์ Business Warehouse (CVSSv3 9.1/10) ที่ถูกเผยแพร่ไปแล้วในธันวาคม 2020

ทั้งนี้ผู้ใช้งาน SAP ควรทำการอัปเดตแพตช์ความปลอดภัยให้เป็นเวอร์ชันล่าสุดเพื่อป้องกันการตกเป็นเป้าหมายของผู้ประสงค์ร้าย

สามารถตรวจสอบแพตช์ต่าง ๆ ได้ที่ wiki.

phpMyAdmin ได้ออกประกาศอัปเดตความปลอดภัยหมายเลขที่ PMASA-2020-5 และ PMASA-2020-6 โดยทั้งสองประกาศนั้นได้ทำการเเก้ไขช่องโหว่ Cross Site Scripting (XSS) และ SQL injection

ตามประกาศเเรกหมายเลข PMASA-2020-5 ช่องโหว่ Cross Site Scripting (XSS) ถูกพบในฟีเจอร์ transformation โดยผู้โจมตีสามารถส่งลิงค์ JavaScript ของระบบ phpMyAdmin ที่สร้างขึ้นมาเป็นพิเศษและเป็นอันตรายไปยังเหยื่อและเมื่อเหยื่อคลิกที่ลิงค์ JavaScript จะทำงานและทำตามคำสั่งของผู้โจมตี เป้าหมายของผู้โจมตีอาจเป็นการขโมยคุกกี้สำหรับการพิสูจน์ตัวตน

ตามประกาศที่สองหมายเลข PMASA-2020-6 เป็นช่องโหว่ SQL injection ที่อยู่ในฟีเจอร์ SearchController ผู้โจมตีสามารถใช้ข้อบกพร่องนี้เพื่อทำการแทรก SQL ที่เป็นอันตรายลงใน query

ช่องโหว่ทั้งสองจะมีผลกระทบกับ phpMyAdmin เวอร์ชันก่อน 4.9.6 และเวอร์ชันก่อน 5.0.3 ทั้งนี้ผู้ใช้ควรทำการอัปเกรด phpMyAdmin เป็นเวอร์ชัน 4.9.6 หรือ 5.0.3 หรือล่าสุดเพื่อป้องกันผู้ประสงค์ร้ายใช้ประโยชน์จากช่องโหว่ทำการโจมตีระบบ

ที่มา:

phpmyadmin.

GitHub ได้เปิดตัวฟีเจอร์ด้านความปลอดภัยใหม่ที่ชื่อว่า Code Scanning สำหรับผู้ใช้ทุกคนทั้งในบัญชีแบบชำระเงินและบัญชีฟรี

ฟีเจอร์ด้านความปลอดภัยใหม่นี้จะช่วยสแกนหาโค้ดที่ช่องโหว่ให้ผู้ใช้งานเพื่อช่วยทำการวิเคราะห์เมื่อเกิดการส่งคำขอ Pull Requests, Commit และ Merge ซึ่งเมื่อตรวจพบช่องโหว่ Code Scanning จะทำงานโดยแจ้งเตือนให้นักพัฒนาแก้ไขโค้ดของตน

ฟีเจอร์ Code Scanning จะทำงานความสามารถของ CodeQL (Code query language) ซึ่งเป็นเทคโนโลยีของ GitHub ที่ได้นำมาใช้ในแพลตฟอร์มหลังจากทำการซื้อกิจการมาจาก Semmle ซึ่งด้วยความสามารถของ CodeQL นี้จะช่วยให้นักพัฒนาสามารถเขียน Rule เพื่อตรวจหาช่องโหว่ในโค้ดได้ในปริมาณมากๆ

หลังจากทีมงาน GitHub เปิดให้ผู้ทดสอบเบต้าทดสอบมาตั้งเเต่เดือนพฤษภาคมที่ผ่านมา โดยฟีเจอร์นี้ได้ทำการทดสอบการสแกนหาช่องโหว่ไปแล้วกว่า 1,400,000 ครั้งกับ repository จำนวน 12,000 แห่ง ซึ่งช่องโหว่ที่ถูกพบและสามารถระบุได้หลักๆ จำนวนกว่า 20,000 รายการคือ ช่องโหว่การเรียกใช้โค้ดจากระยะไกล (Remote Code Execution - RCE), SQL Injection และ Cross-Site Scripting (XSS)

ทั้งนี้ผู้ใช้งานจะถูกแจ้งเตือนให้เปิดใช้งานฟีเจอร์ดังกล่าวหรือผู้ใช้งานสามารถเปิดการใช้งานฟีเจอร์ได้ด้วยตนเอง โดยการเข้าไปที่แท็บ ‘Security’ และในช่อง Code Scanning ให้เลือก Set up code scanning เพื่อเปิดใช้งาน

ที่มา : zdnet

 

Freepik เว็บไซต์ให้บริการแหล่งข้อมูลกราฟิกออนไลน์และรูปภาพได้เเถลงการถึงการบุกรุกโดยแฮกเกอร์ ซึ่งแฮกเกอร์สามารถบุกรุกและทำการขโมยอีเมล, แฮชรหัสผ่านสำหรับผู้ใช้ Freepik และ Flaticon จำนวน 8.3 ล้านรายโดยการโจมตี SQL injection กับเว็บไซต์ Flaticon ของบริษัท

จากเเถลงการของ Freepik นั้นพบว่าแฮกเกอร์ได้ทำการขโมยบัญชีผู้ใช้ 8.3 ล้านราย ซึ่งบัญชี 4.5 ล้านรายนั้นไม่มีแฮชรหัสผ่านเนื่องจากเป็นการล็อกอินผ่าน third party อย่าง Google, Facebook และ Twitter จึงได้เพียงข้อมูลอีเมลแอดเดรส ผู้ใช้งานที่เหลืออีกจำนวน 3.55 ล้านคนถูกขโมยรหัสผ่านที่แฮชด้วย bcrypt และบัญชีผู้ใช้ราว 229,000 คนถูกขโมยรหัสผ่านที่แฮชด้วย MD5 และมีการทำ salted ซึ่งถูกถอดได้ง่าย Freepik จะทำการยกเลิกรหัสผ่านบัญชีผู้ใช้กลุ่มนี้และเเจ้งเตือนให้ผู้ใช้ทำการเปลื่ยนรหัสผ่านใหม่

Freepik ยังเเจ้งเตือนผู้ใช้กลุ่มอื่นๆ ให้ทำการเปลื่ยนรหัสผ่านหากมีการใช้รหัสผ่านเดียวกันกับ Freepik เพื่อเป็นการป้องกันการโจมตีด้วย Password spray attack กับบริการอื่นๆ ของผู้ใช้ ทั้งนี้ผู้ใช้จำนวน 3.55 ล้านคนที่มีการ bcrypt แฮชของรหัสผ่านไว้นั้นจะได้รับการเเจ้งเตือนและแนะนำให้ทำการเปลี่ยนรหัสผ่านแต่ไม่ได้บังคับให้ทำการเปลื่ยนรหัสผ่านอย่างผู้ใช้งานที่ถูกเข้ารหัสผ่านด้วยแฮชรหัสผ่าน MD5 สำหรับการแจ้งเตือนนั้นจะมีเนื้อหาอีเมลตามแต่ผลกระทบของแต่ละบุคคล

ผู้ใช้งานเว็บไซต์ Freepik และ Flaticon ควรทำการเปลื่ยนรหัสผ่านของท่านเพื่อเป็นการป้องกันการเข้าถึงบัญชีผู้ใช้ในอนาตค ซึ่งทั้งนี้ผู้ใช้งานไม่ควรใช้รหัสผ่านเดียวกันกับทุกเว็บไซต์ที่ใช้บริการเพื่อเป็นการป้องกันการโจมตีด้วยวิธี Credential stuffing (นำรหัสผ่านที่เคยรั่วไหลกับเว็บไซต์อื่นมาลองใช้กับอีกเว็บไซต์) ทั้งนี้ผู้ใช้ที่ไม่มั่นใจว่าบัญชีของท่านถูกรั่วไหลสามารถตรวจสอบบัญชีของท่านได้ที่บริการของ Have I Been Pwned

ที่มา: bleepingcomputer

Sophos ได้ทำการเผยแพร่แพตช์ความปลอดภัยฉุกเฉินเพื่อแก้ไขช่องโหว่ Zero-day ในผลิตภัณฑ์ XG Firewall ที่ถูกแฮกเกอร์ใช้ประโยช์จากช่องโหว่ขโมยรหัสผ่านบนอุปกรณ์ XG Firewall

Sophos กล่าวว่าพวกเขาได้รับรายงานจากลูกค้ารายหนึ่ง ในวันพุธที่ 22 เมษายนหลังจากลูกค้าพบค่าฟิลด์ที่น่าสงสัยปรากฏในระบบการจัดการ หลังจากทำการตรวจสอบพวกเขาระบุว่าค่าฟิลด์ที่น่าสงสัยนั้นเป็นการโจมตีที่ใช้ช่องโหว่ SQL injection เพื่อขโมยรหัสผ่านบนอุปกรณ์ XG Firewall

Sophos กล่าวว่าแฮกเกอร์ได้ใช้ช่องโหว่ดังกล่าวเพื่อโจมตีอุปกรณ์ XG Firewall ในส่วนการจัดการ Administration หรือ User Portal control panel ที่เปิดให้ทำการจัดการผ่านอินเตอร์เน็ต และยอมรับว่าแฮกเกอร์ใช้ช่องโหว่ SQL injection เพื่อดาวน์โหลดข้อมูลบนอุปกรณ์และคาดว่าข้อมูลที่ถูกขโมยออกไปนั้นอาจมีชื่อบัญชีผู้ใช้และรหัสผ่านที่ถูกเข้าด้วยฟังก์ชั่นแฮชของผู้ดูแลอุปกรณ์ไฟร์วอลล์, บัญชีผู้ใช้ผู้ดูแลระบบพอร์ทัลไฟร์วอลล์และบัญชีผู้ใช้ที่ใช้สำหรับการเข้าถึงอุปกรณ์จากระยะไกล

การอัพเดตความปลอดภัย

Sophos ได้ทำการส่งแพตช์อัพเดตความปลอดภัยฉุกเฉินนี้ไปยังอุปกรณ์ XG Firewalls ของผู้ใช้แล้ว โดยผู้ใช้ที่ตั้งค่า "Allow automatic installation of hotfixes" บนอุปกรณ์จะได้รับการอัพเดตอัตโนมัติ สำหรับผู้ใช้ที่ปิดใช้งานการตั้งค่านี้ผู้ใช้งานสามารถทำตามคำแนะนำดังต่อไปนี้ community.

แฮกเกอร์ได้ทำการปล่อยชื่อผู้ใช้และรหัสผ่านของผู้เล่นเกมออนไลน์ Webkinz World เกือบ 23 ล้านคน โดยเกมออนไลน์ Webkinz World เป็นเกมสำหรับเด็กที่ผลิตและบริหารโดยบริษัทของเล่น Ganz จากประเทศแคนาดา

ZDNet ได้พบว่ามีแฮกเกอร์นิรนามได้ทำการโพสต์ส่วนหนึ่งของฐานข้อมูลของเกมบนแฮกเกอร์ฟอรัม โดยไฟล์มีขนาด 1 GB มีชื่อผู้ใช้และรหัสผ่านจำนวน 22,982,319 รายการ โดยรหัสที่พบผ่านการเข้าฟังก์ชันแฮชด้วยอัลกอริทึม MD5 และคาดว่าแฮกเกอร์เข้าถึงฐานข้อมูลของเกมโดยใช้ช่องโหว่ SQL injection ที่อยู่ในเว็บฟอร์มของเว็บไซต์

บริษัท Webkinz ได้ทราบถึงข้อมูลที่รั่วไหล ดำเนินการตรวจพบถึงการบุกรุกและแก้ไขช่องโหว่ของจุดที่แฮกเกอร์ใช้เข้าสู่ระบบ

ที่มา : www.