Sophos ได้ทำการเผยแพร่แพตช์ความปลอดภัยฉุกเฉินเพื่อแก้ไขช่องโหว่ Zero-day ในผลิตภัณฑ์ XG Firewall ที่ถูกแฮกเกอร์ใช้ประโยช์จากช่องโหว่ขโมยรหัสผ่านบนอุปกรณ์ XG Firewall

Sophos กล่าวว่าพวกเขาได้รับรายงานจากลูกค้ารายหนึ่ง ในวันพุธที่ 22 เมษายนหลังจากลูกค้าพบค่าฟิลด์ที่น่าสงสัยปรากฏในระบบการจัดการ หลังจากทำการตรวจสอบพวกเขาระบุว่าค่าฟิลด์ที่น่าสงสัยนั้นเป็นการโจมตีที่ใช้ช่องโหว่ SQL injection เพื่อขโมยรหัสผ่านบนอุปกรณ์ XG Firewall

Sophos กล่าวว่าแฮกเกอร์ได้ใช้ช่องโหว่ดังกล่าวเพื่อโจมตีอุปกรณ์ XG Firewall ในส่วนการจัดการ Administration หรือ User Portal control panel ที่เปิดให้ทำการจัดการผ่านอินเตอร์เน็ต และยอมรับว่าแฮกเกอร์ใช้ช่องโหว่ SQL injection เพื่อดาวน์โหลดข้อมูลบนอุปกรณ์และคาดว่าข้อมูลที่ถูกขโมยออกไปนั้นอาจมีชื่อบัญชีผู้ใช้และรหัสผ่านที่ถูกเข้าด้วยฟังก์ชั่นแฮชของผู้ดูแลอุปกรณ์ไฟร์วอลล์, บัญชีผู้ใช้ผู้ดูแลระบบพอร์ทัลไฟร์วอลล์และบัญชีผู้ใช้ที่ใช้สำหรับการเข้าถึงอุปกรณ์จากระยะไกล

การอัพเดตความปลอดภัย

Sophos ได้ทำการส่งแพตช์อัพเดตความปลอดภัยฉุกเฉินนี้ไปยังอุปกรณ์ XG Firewalls ของผู้ใช้แล้ว โดยผู้ใช้ที่ตั้งค่า "Allow automatic installation of hotfixes" บนอุปกรณ์จะได้รับการอัพเดตอัตโนมัติ สำหรับผู้ใช้ที่ปิดใช้งานการตั้งค่านี้ผู้ใช้งานสามารถทำตามคำแนะนำดังต่อไปนี้ community.

แฮกเกอร์ได้ทำการปล่อยชื่อผู้ใช้และรหัสผ่านของผู้เล่นเกมออนไลน์ Webkinz World เกือบ 23 ล้านคน โดยเกมออนไลน์ Webkinz World เป็นเกมสำหรับเด็กที่ผลิตและบริหารโดยบริษัทของเล่น Ganz จากประเทศแคนาดา

ZDNet ได้พบว่ามีแฮกเกอร์นิรนามได้ทำการโพสต์ส่วนหนึ่งของฐานข้อมูลของเกมบนแฮกเกอร์ฟอรัม โดยไฟล์มีขนาด 1 GB มีชื่อผู้ใช้และรหัสผ่านจำนวน 22,982,319 รายการ โดยรหัสที่พบผ่านการเข้าฟังก์ชันแฮชด้วยอัลกอริทึม MD5 และคาดว่าแฮกเกอร์เข้าถึงฐานข้อมูลของเกมโดยใช้ช่องโหว่ SQL injection ที่อยู่ในเว็บฟอร์มของเว็บไซต์

บริษัท Webkinz ได้ทราบถึงข้อมูลที่รั่วไหล ดำเนินการตรวจพบถึงการบุกรุกและแก้ไขช่องโหว่ของจุดที่แฮกเกอร์ใช้เข้าสู่ระบบ

ที่มา : www.

พบช่องโหว่ SQL injection บน phpMyAdmin ช่องโหว่ CVE-2020-10802, CVE-2020-10803, CVE-2020-10804 รายงานโดยผู้ใช้งานทวิตเตอร์ชื่อ hoangn144_VCS, bluebird, Yutaka WATANABE
วันที่ 20 มีนาคมที่ผ่านมาได้

รายละเอียดช่องโหว่
CVE-2020-10802 (CVSS 8.0): เป็นช่องโหว่ SQL injection ที่เกิดจากการข้อผิดพลาดในการสร้างพารามิเตอร์ในขั้นตอนการค้นหาภายใน phpMyAdmin การโจมตีจะเกิดได้เมื่อผู้ใช้งานดำเนินการค้นหาด้วยการใส่อักษรพิเศษลงไปบนฐานข้อมูลหรือตารางที่ผู้โจมตีสร้างขึ้นมาเพื่อใช้ในการโจมตี

CVE-2020-10803 (CVSS 5.4): เป็นช่องโหว่ SQL injection ที่เกิดจากเรียกใช้โค้ดเพื่อจะดำเนินการแทรกข้อมูลที่สร้างขึ้นในฐานข้อมูล เมื่อผู้ใช้ทำการดึงหรือเรียกดูฐานข้อมูล จะสามารถทำการโจมตีในรูปแบบ XSS (Cross-site scripting) ได้ในการเเสดงผล

CVE-2020-10804 (CVSS 8.0): เป็นช่องโหว่ SQL injection โดยทำการดึงข้อมูล username ที่มีอยู่
และสร้าง username เพื่อหลอกให้ผู้ดูแลระบบดำเนินการบางอย่าง เช่นแก้ไขสิทธิ์ผู้ใช้งาน ช่องโหว่นี้ยังทำให้เกิดข้อผิดพลาดในการเปลี่ยนพาสเวิร์ด MySQL ของผู้ใช้

ผลกระทบ
phpMyAdmin เวอร์ชั่น 4.9.x ก่อน 4.9.5 และ เวอร์ชั่น 5.0.x ก่อน 5.0.2 ได้รับผลกระทบ

การเเก้ไข
อัปเกรด phpMyAdmin เป็นเวอร์ชั่น 4.9.5 หรือ 5.0.2 หรือใหม่กว่า

ที่มา: phpmyadmin

โครงการ phpMyAdmin ประกาศแพตช์สำหรับช่องโหว่ SQL Injection และ CSRF

โครงการ phpMyAdmin ประกาศแพตช์สำหรับช่องโหว่รหัส CVE-2019-11768 (PMSA-2019-3) และ CVE-2019-12616 (PMSA-2019-4) วันนี้ โดยเป็นช่องโหว่ SQL Injection และ CSRF ตามลำดับ

ช่องโหว่ CVE-2019-11768 เป็นช่องโหว่ SQL Injection ในส่วน Designer Feature โดยตรวจพบกับ phpMyAdmin เวอร์ชันก่อน 4.8.6 ซึ่งจะเกิดขึ้นเมื่อผู้โจมตีมีการสร้างฐานข้อมูลด้วยชื่อแบบพิเศษซึ่งจะทำให้เกิดเงื่อนไขของ SQL Injection

ในส่วนของช่องโหว่ CVE-2019-12616 นั้น เป็นช่องโหว่ประเภท CSRF ที่หน้าล็อกอินของ phpMyAdmin โดยผู้โจมตีสามารถทำการโจมตีผ่าน HTML tag ที่มีการพัฒนาอย่างไม่ปลอดภัยเพื่อใช้สิทธิ์ของผู้ใช้งานในการส่งคำสั่งที่เป็นอันตรายไปยังระบบได้ ช่องโหว่นี้กระทบ phpMyAdmin ก่อนรุ่น 4.9.0 โดยให้ทำการอัปเดตเป็นเวอร์ชันใหม่กว่าเพื่อรับการแก้ไขช่องโหว่

ที่มา: PMASA-2019-3 , PMASA-2019-4

ทาง Cisco ได้ประกาศเรื่องการอัพเดทแพทช์เพื่อแก้ไขปัญหาช่องโหว่ใน web framework สำหรับ Cisco Prime License Manager ที่ส่งผลทำให้แฮกเกอร์สามารถโจมตีด้วยวิธี SQL Injection ได้

จากข่าวรายงานว่าช่องโหว่ดังกล่าวถูกพบโดย Suhail Alaskar จาก Saudi Information Technology Company โดยช่องโหว่นี้เกิดจากข้อบกพร่องที่ไม่มีการตรวจสอบความถูกต้องเมื่อผู้ใช้งานป้อนข้อมูลในหน้าเว็บ ทำให้แฮกเกอร์สามารถเรียกใช้งานโดยส่งคำขอ HTTP POST ที่แอบซ่อนคำสั่ง SQL ที่เป็นอันตรายไปยังเว็บแอปพลิเคชันที่มีช่องโหว่ ส่งผลให้แฮกเกอร์สามารถแก้ไขและลบข้อมูลในฐานข้อมูล Prime License Manager (PLM) ได้ หรือได้รับสิทธิ์การเข้าถึง shell โดยใช้สิทธิ์ผู้ใช้ postgres ได้

Cisco Prime License Manager ที่ได้รับผลกระทบ ประกอบด้วย Prime License Manager เวอร์ชัน 11.0.1 และใหม่กว่า, Cisco Unified Communications Manager และ Cisco Unity Connection ที่ต่ำกว่าเวอร์ชัน 12.0 แนะนำให้ผู้ใช้งานที่ได้รับผลกระทบทำการอัพเดทแพทช์ ciscocm.

WordPress ปล่อยเวอร์ชัน 4.8.3 แพตช์ช่องโหว่ SQL injection ร้ายแรง

ทาง WordPress ได้มีการปล่อย WordPress 4.8.3 ซึ่งเป็นเวอร์ชั่นใหม่ โดยในเวอร์ชั่นนี้จะแก้ไขช่องโหว่ SQL injection ที่เกิดขึ้นในเวอร์ชั่นก่อนหน้านี้คือ เวอร์ชั่น 4.8.2 โดยมีรายละเอียดข่าวดังนี้

WordPress เวอร์ชั่น 4.8.2 และเวอร์ชั่นก่อนหน้านี้มีปัญหาที่เกิดจากฟังก์ชัน $wpdb->prepare() ที่ทำให้แฮกเกอร์สามารถสร้างข้อความสำหรับไว้ค้นหาที่ไม่ปลอดภัย นำไปสู่การโจมตีด้วยวิธี SQL injection (SQLi) ได้สำเร็จ ในส่วนของตัวโปรแกรมหลัก WordPress จะไม่ได้รับผลกระทบโดยตรง แต่อาจเกิดจากปลั๊กอินและธีมที่ไม่ปลอดภัยก็สามารถมีความเสี่ยงในการถูกโจมตีได้

สำหรับ WordPress เวอร์ชั่น 4.8.3 นี้ทางทีมก็ได้พัฒนาเพิ่ม hardening เพื่อป้องกันปลั๊กอินและธีม อีกทั้งยังมีการเปลี่ยนเแปลงฟังก์ชั่น สำหรับฟังก์ชัน esc_sql() เพื่อให้มีความปลอดภัยมากขึ้น หากใครที่ใช้งานอยู่ควรรีบทำการอัพเดทแพทช์ทันที

ที่มา : wordpress

บริษัทด้านความปลอดภัย Rapid 7 ได้ตรวจพบช่องโหว่ SQL injection บนซอฟต์แวร์ e-commerce "SmartVista" ซึ่งใช้กันอย่างแพร่หลายในสวิตเซอร์แลนด์ อย่างไรก็ตามโลกแห่งความจริงนั้นไม่ได้ง่ายและปลอดภัยเมื่อบริษัทผู้พัฒนาซอฟต์แวร์ BCP Banking ไม่ยอมรับทราบและแก้ปัญหาใดๆ ตั้งแต่เดือนพฤษาภาคม 2017

ช่องโหว่ดังกล่าวเกิดจากระบบไม่ได้มีการตรวจสอบข้อมูลที่ผู้ใช้งานส่งเข้ามาดีพอ ทำให้ผู้โจมตีสามารถเข้าถึงข้อมูลที่อยู่ฐานข้อมูลได้ผ่านการโจมตี SQL injection
ขณะนี้ CERT/CC กับ SwissCERT ได้ดำเนินการแจ้งไปยังบริษัทผู้พัฒนาซอฟต์แวร์แล้ว เนื่องจากซอฟต์แวร์ดังกล่าวมีการใช้งานอย่างแพร่หลาย ในส่วนของผู้ที่ใช้ซอฟต์แวร์นั้น การใช้ฟีเจอร์ของ WAF ในการป้องกัน SQL injection อาจช่วยลดความเสี่ยงที่จะถูกโจมตีได้บางส่วน

ที่มา: theregister

WordPress 4.8.2 เก็บค่าของ wp_signups.activation_key(Key การเปิดใช้งาน Email เพื่อเข้าใช้งาน Blog) แบบ cleartext ซึ่งอาจทำให้ผู้โจมตีจากระยะไกลสามารถแย่งชิงบัญชีผู้ใช้ที่ไม่ได้เปิด activation โดยใช้ประโยชน์จากการเข้าถึงฐานข้อมูล(เช่นการเข้าถึงที่ได้รับผ่านช่องโหว่ SQL injection)

คำแนะนำการแก้ปัญหา

เนื้อหาภายใน https://core.

นักวิจัยได้พบว่ามีการโจมตี SQL Injection แบบใหม่โดยใช้อุปกรณ์ Smartphone วิธีการนี้ถูกเรียกว่า “Katyusha Scanner” โดยได้รวมเครื่องมือทดสอบการเจาะข้อมูลแบบ Open-Source ชื่อว่า Anarchi Scanner เอาไว้ ส่งผลให้ผู้ไม่หวังดีสามารถสแกนและอัปโหลดรายการเว็บไซต์ที่ต้องการแล้วเปิดการโจมตีหลายๆเป้าหมายพร้อมๆกัน โดยควบคุมการทำงานผ่าน Telegram messenger ปัจจุบันมีรายงานว่ามีผู้ซื้อผลิตภัณฑ์ชิ้นนี้และประสบความสำเร็จในการเข้าถึง Web Server 8 เครื่องภายครึ่งวัน
เมื่อเดือน(June 2017)ที่แล้วมาทีมงานของ Vulnerability and Exposure (VERT) ของ Tripwire ได้ทำการศึกษาซึ่งแสดงให้เห็นว่าผู้พัฒนาสามารถที่จะแก้ไขปัญหาดังกล่าวได้โดยการสแกนหาช่องโหว่ของ Web Application อย่างสม่ำเสมอ และควรได้รับการประเมินความเสี่ยงจากผู้เชี่ยวชาญ และหลีกเลี่ยงการสร้าง Web Application ด้วยเครื่องมือสำเร็จรูป

ที่มา : darkreading

Asaf Orpani นักวิจัยด้านความปลอดภัยจาก Trustwave SpiderLabs พบช่องโหว่ SQL Injection บน Joomla เวอร์ชั่น 3.2 ที่ปล่อยให้ดาวน์โหลดตั้งแต่เดือนพฤศจิกายนปี 2013 ถึงเวอร์ชั่น 3.4.4
ช่องโหว่ดังกล่าวอนุญาตให้ผู้ที่ไม่ประสงค์ดีสามารถยกระดับสิทธิ์ของตัวเองเป็นผู้ดูแลเว็บไซต์ได้อย่างเต็มรูปแบบ

ช่องโหว่นี้ถูกค้นพบในไฟล์ /administrator/components/com_contenthistory/models/history.