Fortinet ได้ทำการแก้ไขช่องโหว่ที่รุนแรงหลายรายการ ซึ่งรวมไปถึง Remote Code Execution (RCE) ไปจนถึง SQL Injection, Denial of Service (DoS) ที่ส่งผลกระทบต่ออุปกรณ์ FortiProxy SSL VPN และ FortiWeb Web Application โดยช่องโหว่บางส่วนนั้นได้เคยถูกเปิดเผยไปแล้วแต่ยังไม่ครอบคลุมในทุกอุปกรณ์ ทำให้ต้องมีการแพตช์เพิ่มเติม ตัวอย่างดังนี้

ช่องโหว่ CVE-2018-13381 ใน FortiProxy SSL VPN เป็นช่องโหว่แบบ Remote ที่เกิดจากการที่อุปกรณ์ไม่มีการรับรองความถูกต้องผ่านการร้องขอแบบ POST ซึ่งสามารถทำให้อุปกรณ์หยุดทำงานและนำไปสู่การเกิด DoS
ช่องโหว่ CVE-2018-13383 สามารถทำให้เกิด Overflow ใน VPN ผ่าน property HREF ของ JavaScript

ลูกค้า Fortinet ควรอัปเกรดเป็นเวอร์ชันที่มีการอัปเดตเพิ่มเติม โดยสามารถตรวจสอบเวอร์ชั่นอัปเดตล่าสุดอื่นๆ ได้ที่แหล่งที่มา

ที่มา : bleepingcomputer

SAP ออกแพตช์ด้านความปลอดภัย 10 รายการและรายละเอียดการอัปเดตอื่นๆ อีก 7 รายการใน SAP Security Patch Day ประจำเดือนมกราคม 2021 โดยช่องโหว่ที่สำคัญมีรายละเอียดดังนี้

ช่องโหว่แรก CVE-2021-21465 (CVSSv3 9.9/10) เป็นช่องโหว่ SQL Injection และการตรวจสอบข้อมูลในผลิตภัณฑ์ SAP Business Warehouse (Database Interface) ซึ่งจะมีผลกับ SAP Business Warehouse เวอร์ชัน 710, 711, 730, 731, 740, 750, 751, 752, 753, 754, 755, 782
ช่องโหว่ที่สอง CVE-2021-21466 (CVSSv3 9.1/10) เป็นช่องโหว่ Code Injection ที่อยู่ในผลิตภัณฑ์ SAP Business Warehouse and SAP BW/4HANA ซึ่งจะมีผลกับ SAP Business Warehouse เวอร์ชัน 700, 701, 702, 711, 730, 731, 740, 750, 782 และ SAP BW4HANA เวอร์ชัน 100, 200

สำหรับช่องโหว่ที่มีสำคัญอีก 3 รายการคือการอัปเดตสำหรับการแก้ไขช่องโหว่ที่ถูกเผยแพร่ไปแล้วก่อนหน้านี้คือช่องโหว่ในเบราว์เซอร์ Google Chromium ที่ถูกใช้ในผลิตภัณฑ์ Business Client ซึ่งมีคะแนน CVSSv3 10/10, ช่องโหว่การเพิ่มสิทธิ์ใน NetWeaver Application Server สำหรับ Java (CVSSv3 9.1/10) ที่ถูกเผยแพร่ไปแล้วในเดือนพฤศจิกายน 2020 และช่องโหว่ Code Injection ในผลิตภัณฑ์ Business Warehouse (CVSSv3 9.1/10) ที่ถูกเผยแพร่ไปแล้วในธันวาคม 2020

ทั้งนี้ผู้ใช้งาน SAP ควรทำการอัปเดตแพตช์ความปลอดภัยให้เป็นเวอร์ชันล่าสุดเพื่อป้องกันการตกเป็นเป้าหมายของผู้ประสงค์ร้าย

สามารถตรวจสอบแพตช์ต่าง ๆ ได้ที่ wiki.

phpMyAdmin ได้ออกประกาศอัปเดตความปลอดภัยหมายเลขที่ PMASA-2020-5 และ PMASA-2020-6 โดยทั้งสองประกาศนั้นได้ทำการเเก้ไขช่องโหว่ Cross Site Scripting (XSS) และ SQL injection

ตามประกาศเเรกหมายเลข PMASA-2020-5 ช่องโหว่ Cross Site Scripting (XSS) ถูกพบในฟีเจอร์ transformation โดยผู้โจมตีสามารถส่งลิงค์ JavaScript ของระบบ phpMyAdmin ที่สร้างขึ้นมาเป็นพิเศษและเป็นอันตรายไปยังเหยื่อและเมื่อเหยื่อคลิกที่ลิงค์ JavaScript จะทำงานและทำตามคำสั่งของผู้โจมตี เป้าหมายของผู้โจมตีอาจเป็นการขโมยคุกกี้สำหรับการพิสูจน์ตัวตน

ตามประกาศที่สองหมายเลข PMASA-2020-6 เป็นช่องโหว่ SQL injection ที่อยู่ในฟีเจอร์ SearchController ผู้โจมตีสามารถใช้ข้อบกพร่องนี้เพื่อทำการแทรก SQL ที่เป็นอันตรายลงใน query

ช่องโหว่ทั้งสองจะมีผลกระทบกับ phpMyAdmin เวอร์ชันก่อน 4.9.6 และเวอร์ชันก่อน 5.0.3 ทั้งนี้ผู้ใช้ควรทำการอัปเกรด phpMyAdmin เป็นเวอร์ชัน 4.9.6 หรือ 5.0.3 หรือล่าสุดเพื่อป้องกันผู้ประสงค์ร้ายใช้ประโยชน์จากช่องโหว่ทำการโจมตีระบบ

ที่มา:

phpmyadmin.

GitHub ได้เปิดตัวฟีเจอร์ด้านความปลอดภัยใหม่ที่ชื่อว่า Code Scanning สำหรับผู้ใช้ทุกคนทั้งในบัญชีแบบชำระเงินและบัญชีฟรี

ฟีเจอร์ด้านความปลอดภัยใหม่นี้จะช่วยสแกนหาโค้ดที่ช่องโหว่ให้ผู้ใช้งานเพื่อช่วยทำการวิเคราะห์เมื่อเกิดการส่งคำขอ Pull Requests, Commit และ Merge ซึ่งเมื่อตรวจพบช่องโหว่ Code Scanning จะทำงานโดยแจ้งเตือนให้นักพัฒนาแก้ไขโค้ดของตน

ฟีเจอร์ Code Scanning จะทำงานความสามารถของ CodeQL (Code query language) ซึ่งเป็นเทคโนโลยีของ GitHub ที่ได้นำมาใช้ในแพลตฟอร์มหลังจากทำการซื้อกิจการมาจาก Semmle ซึ่งด้วยความสามารถของ CodeQL นี้จะช่วยให้นักพัฒนาสามารถเขียน Rule เพื่อตรวจหาช่องโหว่ในโค้ดได้ในปริมาณมากๆ

หลังจากทีมงาน GitHub เปิดให้ผู้ทดสอบเบต้าทดสอบมาตั้งเเต่เดือนพฤษภาคมที่ผ่านมา โดยฟีเจอร์นี้ได้ทำการทดสอบการสแกนหาช่องโหว่ไปแล้วกว่า 1,400,000 ครั้งกับ repository จำนวน 12,000 แห่ง ซึ่งช่องโหว่ที่ถูกพบและสามารถระบุได้หลักๆ จำนวนกว่า 20,000 รายการคือ ช่องโหว่การเรียกใช้โค้ดจากระยะไกล (Remote Code Execution - RCE), SQL Injection และ Cross-Site Scripting (XSS)

ทั้งนี้ผู้ใช้งานจะถูกแจ้งเตือนให้เปิดใช้งานฟีเจอร์ดังกล่าวหรือผู้ใช้งานสามารถเปิดการใช้งานฟีเจอร์ได้ด้วยตนเอง โดยการเข้าไปที่แท็บ ‘Security’ และในช่อง Code Scanning ให้เลือก Set up code scanning เพื่อเปิดใช้งาน

ที่มา : zdnet

 

Freepik เว็บไซต์ให้บริการแหล่งข้อมูลกราฟิกออนไลน์และรูปภาพได้เเถลงการถึงการบุกรุกโดยแฮกเกอร์ ซึ่งแฮกเกอร์สามารถบุกรุกและทำการขโมยอีเมล, แฮชรหัสผ่านสำหรับผู้ใช้ Freepik และ Flaticon จำนวน 8.3 ล้านรายโดยการโจมตี SQL injection กับเว็บไซต์ Flaticon ของบริษัท

จากเเถลงการของ Freepik นั้นพบว่าแฮกเกอร์ได้ทำการขโมยบัญชีผู้ใช้ 8.3 ล้านราย ซึ่งบัญชี 4.5 ล้านรายนั้นไม่มีแฮชรหัสผ่านเนื่องจากเป็นการล็อกอินผ่าน third party อย่าง Google, Facebook และ Twitter จึงได้เพียงข้อมูลอีเมลแอดเดรส ผู้ใช้งานที่เหลืออีกจำนวน 3.55 ล้านคนถูกขโมยรหัสผ่านที่แฮชด้วย bcrypt และบัญชีผู้ใช้ราว 229,000 คนถูกขโมยรหัสผ่านที่แฮชด้วย MD5 และมีการทำ salted ซึ่งถูกถอดได้ง่าย Freepik จะทำการยกเลิกรหัสผ่านบัญชีผู้ใช้กลุ่มนี้และเเจ้งเตือนให้ผู้ใช้ทำการเปลื่ยนรหัสผ่านใหม่

Freepik ยังเเจ้งเตือนผู้ใช้กลุ่มอื่นๆ ให้ทำการเปลื่ยนรหัสผ่านหากมีการใช้รหัสผ่านเดียวกันกับ Freepik เพื่อเป็นการป้องกันการโจมตีด้วย Password spray attack กับบริการอื่นๆ ของผู้ใช้ ทั้งนี้ผู้ใช้จำนวน 3.55 ล้านคนที่มีการ bcrypt แฮชของรหัสผ่านไว้นั้นจะได้รับการเเจ้งเตือนและแนะนำให้ทำการเปลี่ยนรหัสผ่านแต่ไม่ได้บังคับให้ทำการเปลื่ยนรหัสผ่านอย่างผู้ใช้งานที่ถูกเข้ารหัสผ่านด้วยแฮชรหัสผ่าน MD5 สำหรับการแจ้งเตือนนั้นจะมีเนื้อหาอีเมลตามแต่ผลกระทบของแต่ละบุคคล

ผู้ใช้งานเว็บไซต์ Freepik และ Flaticon ควรทำการเปลื่ยนรหัสผ่านของท่านเพื่อเป็นการป้องกันการเข้าถึงบัญชีผู้ใช้ในอนาตค ซึ่งทั้งนี้ผู้ใช้งานไม่ควรใช้รหัสผ่านเดียวกันกับทุกเว็บไซต์ที่ใช้บริการเพื่อเป็นการป้องกันการโจมตีด้วยวิธี Credential stuffing (นำรหัสผ่านที่เคยรั่วไหลกับเว็บไซต์อื่นมาลองใช้กับอีกเว็บไซต์) ทั้งนี้ผู้ใช้ที่ไม่มั่นใจว่าบัญชีของท่านถูกรั่วไหลสามารถตรวจสอบบัญชีของท่านได้ที่บริการของ Have I Been Pwned

ที่มา: bleepingcomputer

Sophos ได้ทำการเผยแพร่แพตช์ความปลอดภัยฉุกเฉินเพื่อแก้ไขช่องโหว่ Zero-day ในผลิตภัณฑ์ XG Firewall ที่ถูกแฮกเกอร์ใช้ประโยช์จากช่องโหว่ขโมยรหัสผ่านบนอุปกรณ์ XG Firewall

Sophos กล่าวว่าพวกเขาได้รับรายงานจากลูกค้ารายหนึ่ง ในวันพุธที่ 22 เมษายนหลังจากลูกค้าพบค่าฟิลด์ที่น่าสงสัยปรากฏในระบบการจัดการ หลังจากทำการตรวจสอบพวกเขาระบุว่าค่าฟิลด์ที่น่าสงสัยนั้นเป็นการโจมตีที่ใช้ช่องโหว่ SQL injection เพื่อขโมยรหัสผ่านบนอุปกรณ์ XG Firewall

Sophos กล่าวว่าแฮกเกอร์ได้ใช้ช่องโหว่ดังกล่าวเพื่อโจมตีอุปกรณ์ XG Firewall ในส่วนการจัดการ Administration หรือ User Portal control panel ที่เปิดให้ทำการจัดการผ่านอินเตอร์เน็ต และยอมรับว่าแฮกเกอร์ใช้ช่องโหว่ SQL injection เพื่อดาวน์โหลดข้อมูลบนอุปกรณ์และคาดว่าข้อมูลที่ถูกขโมยออกไปนั้นอาจมีชื่อบัญชีผู้ใช้และรหัสผ่านที่ถูกเข้าด้วยฟังก์ชั่นแฮชของผู้ดูแลอุปกรณ์ไฟร์วอลล์, บัญชีผู้ใช้ผู้ดูแลระบบพอร์ทัลไฟร์วอลล์และบัญชีผู้ใช้ที่ใช้สำหรับการเข้าถึงอุปกรณ์จากระยะไกล

การอัพเดตความปลอดภัย

Sophos ได้ทำการส่งแพตช์อัพเดตความปลอดภัยฉุกเฉินนี้ไปยังอุปกรณ์ XG Firewalls ของผู้ใช้แล้ว โดยผู้ใช้ที่ตั้งค่า "Allow automatic installation of hotfixes" บนอุปกรณ์จะได้รับการอัพเดตอัตโนมัติ สำหรับผู้ใช้ที่ปิดใช้งานการตั้งค่านี้ผู้ใช้งานสามารถทำตามคำแนะนำดังต่อไปนี้ community.

แฮกเกอร์ได้ทำการปล่อยชื่อผู้ใช้และรหัสผ่านของผู้เล่นเกมออนไลน์ Webkinz World เกือบ 23 ล้านคน โดยเกมออนไลน์ Webkinz World เป็นเกมสำหรับเด็กที่ผลิตและบริหารโดยบริษัทของเล่น Ganz จากประเทศแคนาดา

ZDNet ได้พบว่ามีแฮกเกอร์นิรนามได้ทำการโพสต์ส่วนหนึ่งของฐานข้อมูลของเกมบนแฮกเกอร์ฟอรัม โดยไฟล์มีขนาด 1 GB มีชื่อผู้ใช้และรหัสผ่านจำนวน 22,982,319 รายการ โดยรหัสที่พบผ่านการเข้าฟังก์ชันแฮชด้วยอัลกอริทึม MD5 และคาดว่าแฮกเกอร์เข้าถึงฐานข้อมูลของเกมโดยใช้ช่องโหว่ SQL injection ที่อยู่ในเว็บฟอร์มของเว็บไซต์

บริษัท Webkinz ได้ทราบถึงข้อมูลที่รั่วไหล ดำเนินการตรวจพบถึงการบุกรุกและแก้ไขช่องโหว่ของจุดที่แฮกเกอร์ใช้เข้าสู่ระบบ

ที่มา : www.

พบช่องโหว่ SQL injection บน phpMyAdmin ช่องโหว่ CVE-2020-10802, CVE-2020-10803, CVE-2020-10804 รายงานโดยผู้ใช้งานทวิตเตอร์ชื่อ hoangn144_VCS, bluebird, Yutaka WATANABE
วันที่ 20 มีนาคมที่ผ่านมาได้

รายละเอียดช่องโหว่
CVE-2020-10802 (CVSS 8.0): เป็นช่องโหว่ SQL injection ที่เกิดจากการข้อผิดพลาดในการสร้างพารามิเตอร์ในขั้นตอนการค้นหาภายใน phpMyAdmin การโจมตีจะเกิดได้เมื่อผู้ใช้งานดำเนินการค้นหาด้วยการใส่อักษรพิเศษลงไปบนฐานข้อมูลหรือตารางที่ผู้โจมตีสร้างขึ้นมาเพื่อใช้ในการโจมตี

CVE-2020-10803 (CVSS 5.4): เป็นช่องโหว่ SQL injection ที่เกิดจากเรียกใช้โค้ดเพื่อจะดำเนินการแทรกข้อมูลที่สร้างขึ้นในฐานข้อมูล เมื่อผู้ใช้ทำการดึงหรือเรียกดูฐานข้อมูล จะสามารถทำการโจมตีในรูปแบบ XSS (Cross-site scripting) ได้ในการเเสดงผล

CVE-2020-10804 (CVSS 8.0): เป็นช่องโหว่ SQL injection โดยทำการดึงข้อมูล username ที่มีอยู่
และสร้าง username เพื่อหลอกให้ผู้ดูแลระบบดำเนินการบางอย่าง เช่นแก้ไขสิทธิ์ผู้ใช้งาน ช่องโหว่นี้ยังทำให้เกิดข้อผิดพลาดในการเปลี่ยนพาสเวิร์ด MySQL ของผู้ใช้

ผลกระทบ
phpMyAdmin เวอร์ชั่น 4.9.x ก่อน 4.9.5 และ เวอร์ชั่น 5.0.x ก่อน 5.0.2 ได้รับผลกระทบ

การเเก้ไข
อัปเกรด phpMyAdmin เป็นเวอร์ชั่น 4.9.5 หรือ 5.0.2 หรือใหม่กว่า

ที่มา: phpmyadmin

โครงการ phpMyAdmin ประกาศแพตช์สำหรับช่องโหว่ SQL Injection และ CSRF

โครงการ phpMyAdmin ประกาศแพตช์สำหรับช่องโหว่รหัส CVE-2019-11768 (PMSA-2019-3) และ CVE-2019-12616 (PMSA-2019-4) วันนี้ โดยเป็นช่องโหว่ SQL Injection และ CSRF ตามลำดับ

ช่องโหว่ CVE-2019-11768 เป็นช่องโหว่ SQL Injection ในส่วน Designer Feature โดยตรวจพบกับ phpMyAdmin เวอร์ชันก่อน 4.8.6 ซึ่งจะเกิดขึ้นเมื่อผู้โจมตีมีการสร้างฐานข้อมูลด้วยชื่อแบบพิเศษซึ่งจะทำให้เกิดเงื่อนไขของ SQL Injection

ในส่วนของช่องโหว่ CVE-2019-12616 นั้น เป็นช่องโหว่ประเภท CSRF ที่หน้าล็อกอินของ phpMyAdmin โดยผู้โจมตีสามารถทำการโจมตีผ่าน HTML tag ที่มีการพัฒนาอย่างไม่ปลอดภัยเพื่อใช้สิทธิ์ของผู้ใช้งานในการส่งคำสั่งที่เป็นอันตรายไปยังระบบได้ ช่องโหว่นี้กระทบ phpMyAdmin ก่อนรุ่น 4.9.0 โดยให้ทำการอัปเดตเป็นเวอร์ชันใหม่กว่าเพื่อรับการแก้ไขช่องโหว่

ที่มา: PMASA-2019-3 , PMASA-2019-4

ทาง Cisco ได้ประกาศเรื่องการอัพเดทแพทช์เพื่อแก้ไขปัญหาช่องโหว่ใน web framework สำหรับ Cisco Prime License Manager ที่ส่งผลทำให้แฮกเกอร์สามารถโจมตีด้วยวิธี SQL Injection ได้

จากข่าวรายงานว่าช่องโหว่ดังกล่าวถูกพบโดย Suhail Alaskar จาก Saudi Information Technology Company โดยช่องโหว่นี้เกิดจากข้อบกพร่องที่ไม่มีการตรวจสอบความถูกต้องเมื่อผู้ใช้งานป้อนข้อมูลในหน้าเว็บ ทำให้แฮกเกอร์สามารถเรียกใช้งานโดยส่งคำขอ HTTP POST ที่แอบซ่อนคำสั่ง SQL ที่เป็นอันตรายไปยังเว็บแอปพลิเคชันที่มีช่องโหว่ ส่งผลให้แฮกเกอร์สามารถแก้ไขและลบข้อมูลในฐานข้อมูล Prime License Manager (PLM) ได้ หรือได้รับสิทธิ์การเข้าถึง shell โดยใช้สิทธิ์ผู้ใช้ postgres ได้

Cisco Prime License Manager ที่ได้รับผลกระทบ ประกอบด้วย Prime License Manager เวอร์ชัน 11.0.1 และใหม่กว่า, Cisco Unified Communications Manager และ Cisco Unity Connection ที่ต่ำกว่าเวอร์ชัน 12.0 แนะนำให้ผู้ใช้งานที่ได้รับผลกระทบทำการอัพเดทแพทช์ ciscocm.