ช่องโหว่ดังกล่าวประกอบด้วย CVE-2021-3449 และ CVE-2021-3450

CVE-2021-3449: ช่องโหว่ที่สามารถทำให้เกิด DoS บนเครื่องที่โดนโจมตีได้ด้วยการส่ง ClientHello ที่ได้รับการปรับแต่งจาก Client มายังเครื่อง Server ที่มีช่องโหว่ มีผลกระทบกับ Server ที่ใช้ OpenSSL 1.1.1 ร่วมกับ TLS 1.2
CVE-2021-3450: ช่องโหว่ในกระบวนการพิสูจน์ certificate chain เมื่อเป็นการใช้ X509_V_FLAG_X509_STRICT ส่งผลให้เกิด certificate bypassing ส่งผลให้ไม่มีการ reject TLS certificates ที่ไม่ได้ถูก sign ด้วย browser-trusted certificate authority (CA) ได้ มีผลกระทบตั้งแต่ OpenSSL 1.1.1h เป็นต้นไป

ผู้ใช้งานเวอร์ชันที่ได้รับผลกระทบ ควรดำเนินอัปแพตช์ให้เป็นเวอร์ชันล่าสุด

ที่มา: thehackernews

Cloudflare ประกาศเปิดตัวผลิตภัณฑ์ใหม่ภายใต้ชื่อ API Shield โดยเป็นเซอร์วิสสำหรับช่วยตรวจสอบและควบคุมพฤติกรรมการเรียกใช้ API แบบ policy-based โดยรองรับ API ซึ่งใช้ JSON และมีแพลนที่จะขยายการซัพพอร์ตไปรองรับกลุ่ม API ที่รับส่งข้อมูลแบบไบนารี เช่น gRPC

เบื้องหลังการทำงานของ API Shield อยู่ที่การสร้าง policy หรือ rule ผู้ใช้งานสามารถสร้าง API Shield rule ตาม OpenAPI scheme ตามคอนเซ็ปต์แบบ whitelist ระบบของ API Shield แน่นอนว่าผู้พัฒนาแอปจะต้องมีการตั้งค่าการเชื่อมต่อ TLS ให้ Cloudflare "เห็น" การรับ-ส่งข้อมูลเพื่อทำการตรวจสอบด้วย การรับ-ส่งข้อมูลซึ่งไม่ได้สอดคล้องตาม rule ใดๆ จะตกไปอยู่ใน deny-all policy ในทันที

ในภาพรวม API Shield ไม่ได้เป็นระบบพร้อมใช้ที่จะช่วยเพิ่มความปลอดภัยของการใช้ API ได้แบบ plug-n-play แต่มันเป็นระบบที่นักพัฒนาจะต้องมาตั้งค่าให้เหมาะสมเช่นเดียวกัน ดังนั้นหากนักพัฒนามีการตั้งค่าได้ไม่ดีพอ การมี API Shield มาช่วยตรวจสอบก็ไม่อาจมีประสิทธิภาพได้มากเท่าที่ควร

ผู้ที่มีบัญชีกับ Cloudflare แล้วจะสามารถเปิดใช้งาน API Shield ได้ทันทีโดยไม่เสียค่าใช้จ่าย

ที่มา : cloudflare

ทีมนักวิจัยได้เปิดเผยถึงช่องโหว่การโจมตีใหม่ที่เกี่ยวกับโปรโตคอลการเข้ารหัส TLS และเรียกช่องโหว่นี้ว่า "Racoon Attack" โดยช่องโหว่นี้ทำให้ผู้ประสงค์ร้ายสามารถทำการถอดรหัสการเชื่อมต่อโปรโตคอล HTTPS ระหว่างผู้ใช้และเซิร์ฟเวอร์และอาจจะทำให้ผู้ประสงค์ร้ายสามารถดังจับข้อมูลการสื่อสารระหว่างเซิร์ฟเวอร์ได้

ตามรายงานที่ถูกเเผยเเพร่นั้น Racoon Attack เป็นช่องโหว่ที่ต้องอาศัย Timing Attack ที่มีความเเม่นยำโดยช่องโหว่เป็นกระบวนการโจมตีการแลกเปลี่ยนคีย์แบบ Diffie-Hellman มีจุดประสงค์เพื่อทำการถอดรหัสการเชื่อมต่อ TLS ระหว่างผู้ใช้และเซิร์ฟเวอร์ เมื่อทำการโจมตีสำเร็จโดยทั่วไปข้อมูลที่ได้อาจจะเป็นเพียงชื่อผู้ใช้และรหัสผ่านหรือหมายเลขบัตรเครดิต,อีเมล, ข้อความและเอกสารที่มีละเอียดอ่อน ทั้งนี้ทีมผู้นักวิจัยระบุว่าการช่องโหว่ดังกล่าวนั้นเป็นไปได้ยากมากซึ่งอาศัยการวัดเวลาที่แม่นยำมากเพื่อทำการดักจับคีย์และต้องมีการกำหนดค่าเซิร์ฟเวอร์โดยเฉพาะเพื่อที่จะใช้ประโยชน์จากช่องโหว่ได้

ทีมนักวิจัยกล่าวว่าช่องโหว่ "Raccoon Attack" นั้นจะกระทบกับเซิร์ฟเวอร์ที่ใช้งาน TLS เวอร์ชัน 1.2 และเวอร์ชันที่ต่ำกว่า ซึ่ง TLS เวอร์ชัน 1.3 จะไม่ได้รับผลกระทบ

ทั้งนี้แม้การใช้ประโยชน์จากช่องโหว่จะมีความสำเร็จน้อยแต่ก็มีผู้พัฒนาผลิตภัณฑ์บางรายได้ทำการตรวจสอบสถานะของช่องโหว่และทำการปล่อยแพตช์เพื่อทำการเเก้ไขช่องโหว่เช่น Microsoft (CVE-2020-1596), Mozilla , OpenSSL (CVE-2020-1968) และ F5 Networks (CVE-2020-5929) ผู้ดูแลระบบควรทำการอัปเดตเเพตซ์ความปลอดภัยเป็นเวอร์ชันล่าสุดเพื่อป้องกันการโจมตี สำหรับผู้ที่สนใจรายละเอียดของช่องโหว่สามารถอ่านรายละเอียดเพิ่มเติมได้ที่: https://raccoon-attack.

Microsoft ได้ประกาศหยุดการให้บริการสำหรับโปรโตคอล Transport Layer Security (TLS) เวอร์ชั่น 1.0 และเวอร์ชั่น 1.1 ที่ใช้ในผลิตภัณฑ์ Office 365 โดยจะเริ่มต้นตั้งแต่วันที่ 15 ตุลาคม 2020 เป็นต้นไป โดยการหยุดให้บริการนั้นถูกประกาศใน MC218794 Microsoft 365 admin center ของ Microsoft

Microsoft ได้เเจ้งว่าพวกเขากำลังจะย้ายบริการออนไลน์ทั้งหมดไปยังโปรโตคอล Transport Layer Security (TLS) เวอร์ชั่น 1.2+ ซึ่ง Microsoft กำลังผลักดันการยกเลิกใช้โปรโตคอล TLS 1.0 เฉกเช่นเดียวกับผู้ให้บริการเบราว์เซอร์รายใหญ่ทั้งหมดเช่น Google , Apple และ Mozilla

Microsoft ยังกล่าวอีกว่าสำหรับผู้ใช้งานที่ได้รับผลกระทบและจะได้รับการเเจ้งเตือนคำแนะนำให้ทำการอัปเดต TLS เป็นเวอร์ชั่นล่าสุดนั้นมีดังนี้

Android เวอร์ชั่น 4.3 และรุ่นก่อนหน้า
Firefox เวอร์ชั่น 5.0 และรุ่นก่อนหน้า
Internet Explorer เวอร์ชั่น 8-10 บน Windows 7 และรุ่นก่อนหน้า
Internet Explorer เวอร์ชั่น 10 บน Windows Phone 8
Safari เวอร์ชั่น 6.0.4
OS X เวอร์ชั่น 10.8.4 และรุ่นก่อนหน้า

ทั้งนี้ผู้ใช้งานและผู้ดูแลระบบไอทีสามารถใช้เอกสาร KB4057306 อย่างเป็นทางการของ Microsoft เพื่อเตรียมความพร้อมสำหรับการอัปเกรด TLS 1.2 ใน Office 365 และ Office 365 GCC ได้ที่นี่: https://docs.

Fecebook เปิดตัวการตั้งค่าใหม่ "Whitehat Settings" ช่วยชีวิต Penetester ง่ายขึ้นเยอะ!

Facebook เปิดตัวการตั้งค่าใหม่ภายใต้ชื่อ Whitehat Settings ซึ่งการตั้งค่านี้มีส่วนช่วยให้การทดสอบความปลอดภัยเป็นไปได้ง่ายโดยอนุญาตให้ผู้ทดสอบสามารถข้ามผ่านกระบวนการรักษาความปลอดภัยในบางกรณีได้เมื่อทดสอบกับแอปภายใต้บริการของ Facebook (รวมไปถึง Instagram และ Messenger)

การตั้งค่า Whitehat Settings นี้อนุญาตให้ผู้ทดสอบปิดการใช้งานโปรโตคอล TLS 1.3, ตั้งค่า Proxy สำหรับรีเควสต์ที่เกี่ยวข้องกับ Platform API รวมไปถึงติดตั้งใบรับรอง (certificate) เองได้

ความจำเป็นหนึ่งของการที่ต้องปิดการใช้งานโปรโตคอล TLS 1.3 และกลับมาไปใช้งาน TLS 1.2 ส่วนหนึ่งเนื่องจากโปรแกรมยอดนิยม อาทิ Burp Suite และ Carles นั้นยังไม่รองรับการใช้งานโปรโตคอล TLS 1.3

การตั้งค่า Whitehat Settings จะไม่ถูกเปิดเป็นค่าเริ่มต้น หากต้องการใช้งานการตั้งค่านี้ ผู้ใช้งานจะต้องเข้าไปเปิดการใช้งานฟีเจอร์นี้ในเว็บของ Facebook เองหลังจากนั้นจึงตัวเลือก Whitehat Settings จึงจะปรากฎในหน้าส่วน Setting ของแอป ทั้งนี้แอปจะมีการแสดงแบนเนอร์เพื่อแจ้งให้กับผู้ใช้งานเมื่อมีการใช้งานฟีเจอร์นี้อยู่ด้วย

ที่มา : thehackernews

เว็บเบราเซอร์หลักๆ ทั้ง Google Chrome, Apple Safari, Microsoft Edge, Internet Explorer และ Mozilla Firefox ประกาศยกเลิกการสนับสนุนโปรโตคอลการเข้ารหัสข้อมูล TLS 1.0 และ TLS 1.1 ในเร็วๆ นี้

Transport Layer Security (TLS) เป็นโปรโตคอลการเข้ารหัสที่ใช้เพื่อสร้างช่องทางการสื่อสารที่ปลอดภัยและการเข้ารหัสระหว่างไคลเอ็นต์และเซิร์ฟเวอร์ ซึ่งในขณะนี้มี 4 เวอร์ชัน คือ TLS 1.0, 1.1, 1.2 และ 1.3 (เวอร์ชันล่าสุด) แต่เวอร์ชันเก่ากว่า 1.0 และ 1.1 เป็นที่รู้กันว่ามีความเสี่ยงต่อการโจมตีที่สำคัญ เช่น POODLE และ BEAST

ตามข่าวที่เผยแพร่ จากบริษัท 4 แห่ง Google, Microsoft, Apple และ Mozilla วางแผนที่จะยกเลิกการรองรับ TLS 1.0 และ 1.1 โดยเริ่มต้นในช่วงครึ่งปีแรกของปี 2020 ทั้งนี้ตามมาตรฐาน PCI DSS ได้มีการกำหนดให้เว็บไซต์ต้องหยุดการใช้งาน SSL / TLS 1.0 ตั้งแต่วันที่ 30 มิถุนายน ที่ผ่านมา นอกจากนี้ Gitlab ยังประกาศยกเลิกการสนับสนุน TLS 1.0 และ TLS 1.1 บนเว็บไซต์และ API ภายในปลายปี 2018

ผู้ใช้สามารถปิดใช้งาน TLS เวอร์ชันเก่าบน Google Chrome ด้วยตนเองได้ โดยไปที่
Settings → Advanced Setting → Open proxy settings →คลิกแท็บ 'Advanced ' →ในส่วน ' Security ' ให้เลือก TLS 1.0 และ 1.1 ออก และกด Save

ที่มา: thehackernews

ทีมวิจัยรายงานการโจมตี DROWN ที่สามารถถอดรหัสการเชื่อมต่อ TLS รุ่นใหม่ๆ (ทดสอบใน TLS 1.2) ได้สำเร็จ โดยกระบวนการนี้มีแม้จะอันตรายมากแต่ก็มีเงื่อนไขหลายอย่าง ได้แก่

แฮกเกอร์ต้องดักฟังการเชื่อมต่อ TLS ที่จะโจมตีไว้ล่วงหน้า ประมาณ 1,000 การเชื่อมต่อ (ไม่นับการใช้การเชื่อมต่อ TLS ซ้ำ)
เซิร์ฟเวอร์ต้องรองรับ SSLv2 โดยใช้ใบรับรองใบเดียวกับที่ใช้ TLS
แฮกเกอร์ต้องสามารถเชื่อมต่อ SSLv2 ได้จำนวนมากๆ ประมาณ 40,000 ครั้ง
เซิร์ฟเวอร์ SSLv2 จะต้องรองรับการเชื่อมต่อที่อ่อนแอ (export grade)

แฮกเกอร์มีพลังประมวลผลเหลือเฟือ สามารถคำนวณหากุญแจความซับซ้อนระดับ 2^50 ได้ ค่าใช้จ่ายใน EC2 ประมาณ 440 ดอลลาร์

ทีมวิจัยอาศัยช่องโหว่ padding oracle ของ SSLv2 เพื่อคำนวณหาค่าที่จำเป็นจากการเชื่อมต่อ SSLv2 จำนวนมาก แล้วใช้ค่าเหล่านั้นมาถอดรหัสการเชื่อมต่อ TLS อันใดอันหนึ่งจากที่ดักฟังมา 1,000 การเชื่อมต่อได้ หากเป็นการเชื่อมต่อเว็บ แฮกเกอร์ต้องการถอดรหัสเพียงการเชื่อมต่อเดียวเพื่อจะโมย cookie ไปสวมรอยบัญชี

SSLv2 ไม่ได้รับความนิยมนัก โดยเฉพาะเว็บเซิร์ฟเวอร์ แต่เซิร์ฟเวอร์จำนวนมากก็ใช้ใบรับรองเดียวกันระหว่างเว็บเซิร์ฟเวอร์กับบริการอื่นๆ ที่อาจจะคอนฟิกไว้หละหลวมกว่าเช่นเมลเซิร์ฟเวอร์ ทีมงานพบว่ามีเว็บเซิร์ฟเวอร์ที่ยังรองรับ SSLv2 อยู่ 16% แต่มีการใช้ใบรับรองซ้ำในบริการอื่นที่รองรับ SSLv2 อยู่อีก 17% ทำให้เซิร์ฟเวอร์ที่มีความเสี่ยงรวมเป็น 33%

ทางแก้ที่ตรงไปตรงมาคือการปิดการรองรับ SSLv2 ทุกบริการเสีย ทางด้าน OpenSSL ออกแพตช์มาแล้วในรุ่น 1.0.2g และ 1.0.1s โดยปิดการทำงานการเข้ารหัสในกลุ่ม EXPORT และ LOW ออกทั้งหมดเป็นค่าเริ่มต้น

ช่องโหว่นี้มีคะแนน CVSS ระดับ 5.8 จัดอยู่ในช่องโหว่ระดับสำคัญ ทาง Red Hat นั้นกระทบตั้งแต่ RHEL 5/6/7 ส่วน IIS ของไมโครซอฟท์ระบุว่าเวอร์ชั่นที่ซัพพอร์ตอยู่ตอนนี้ปิด SSLv2 ไปทั้งหมดแล้ว

ที่มา : blognone