ทีมงาน Drupal ประกาศออกแพตช์แก้ไขช่องโหว่ระดับความรุนแรงสูง SA-CORE-2018–002 (CVE-2018-7600) เป็นช่องโหว่ประเภท Remote Code Execution หรือช่องโหว่ที่สามารถรันคำสั่งใดๆ บนเครื่องเว็บเซิฟเวอร์ที่ติดต้ัง Drupal ได้โดยไม่ต้องพิสูจน์ตัวตน มีผลกระทบโดยตรงกับ Drupal เวอร์ชั่น 7.x, 8.3.x, 8.4.x และ 8.5.x
รายละเอียดช่องโหว่
ในแพตช์ซึ่งถูกเผยแพร่ออกมาพร้อมกับเวอร์ชั่นใหม่ของ Drupal แพตช์มีการเพิ่มไฟล์ขึ้นมาหนึ่งไฟล์คือ request-sanitizer.
แพตช์ประจำเดือนของแอนดรอยด์หรือ Android Security Bulletin ประจำเดือนมีนาคม 2018 ถูกประกาศออกมาแล้ว โดยภายในเดือนนี้นั้นมีช่องโหว่ระดับร้ายแรงสูงสุด (critical) จำนวน 11 จากทั้งหมด 37 ช่องโหว่ที่ถูกแพตช์ ซึ่งส่วนมากเป็นช่องโหว่ที่ทำให้ผู้โจมตีสามารถรันโค้ดที่เป็นอันตรายได้จากระยะไกล
สำหรับช่องโหว่ที่ร้ายแรงที่สุดในรอบนี้ก็ยังหนีไม่พ้นที่จะมาจากตำแหน่งโดยกับที่ช่องโหว่ Stagefright เคยอยู่คือส่วนของ Media Framework การโจมตีช่องโหว่ดังกล่าวสามารถทำได้โดยการส่งไฟล์มีเดียที่ถูกสร้างแบบพิเศษไปให้ผู้ใช้งานเปิด เมื่อการโจมตีช่องโหว่สำเร็จ ผู้โจมตีจะสามารถรันโค้ดอันตรายได้ด้วยสิทธิ์เดียวกับโปรเซสที่ถูกโจมตี
ที่มา : Threatpost
กลุ่มนักวิจัยด้านความปลอดภัยจากบริษัท Devcore ได้มีการเปิดเผยการค้นพบช่องโหว่บนซอฟต์แวร์ Exim หลังจากมีการปล่อยแพตช์ช่องโหว่ดังกล่าวออกมา โดยแพตช์ดังกล่าวนั้นถูกยืนยันว่า *กระทบ Exim ทุกเวอร์ชัน* ซึ่งทำให้ผู้โจมตีสามารถรันโค้ดที่เป็นอันตรายได้จากระยะไกลก่อนจะมีการพิสูจน์ตัวตน (Pre-auth Remote Code Execution)
ช่องโหว่ดังกล่าวนั้นเกิดขึ้นจากการคำนวณขนาดของ buffer เมื่อมีการถอดรหัสข้อมูลจากอัลกอริธึม Base64 ที่ผิดพลาด ส่งผลให้เกิดช่องโหว่แบบ one-byte heap overflow หรือ off-by-one ซึ่งอาจส่งผลให้เกิดการนำไปใช้งานเพื่อทำให้เกิดเงื่อนไขที่ผู้โจมตีสามารถทำการรันโค้ดได้จากระยะไกลจากปกติที่เกิดเพียงแค่การเขียนข้อมูลทับข้อมูลอื่นในหน่วยความจำ
Recommendation : ช่องโหว่ดังกล่าวส่งผลกระทบ Exim ในทุกๆ เวอร์ชัน แนะนำให้อัปเดตเป็นเวอร์ชันที่มีการแพตช์แล้วคือ 4.90.1 หรือใหม่กว่าโดยด่วน
Affected Platform : Exim ทุกเวอร์ชัน
ที่มา : Andreafortuna
สรุปย่อ
นักวิจัยด้านความปลอดภัย Jann Horn จาก Google Project Zero และคณะวิจัยร่วมจากมหาวิทยาลัยและบริษัทด้านความปลอดภัยได้ประกาศการค้นพบช่องโหว่ใหม่ที่มีความร้ายแรงสูง โดยมีที่มาจากกระบวนการทำงานที่อยู่ในหน่วยประมวลผลกลาง (CPU) ซึ่งส่งผลกระทบต่อคอมพิวเตอร์เกือบทุกเครื่องที่มีการใช้ซีพียูในรุ่นที่มีช่องโหว่ รวมไปถึง คอมพิวเตอร์ส่วนบุคคล, อุปกรณ์พกพาและระบบคลาวด์
ผลกระทบจากช่องโหว่ดังกล่าวทำให้ผู้โจมตีสามารถเข้าถึงข้อมูลที่กำลังประมวลผลอยู่ในระบบได้โดยไม่สนว่าโปรแกรมใดจะเป็นเจ้าของโปรแกรมนั้น หรือมีสิทธิ์/การป้องกันใดที่ปกป้องข้อมูลดังกล่าวอยู่
รายละเอียดของช่องโหว่
สำหรับช่องโหว่ Meltdown (CVE-2017-5754 หรือ Variant 3) นั้น มีที่มาในเบื้องต้นจากกระบวนการทำงานหนึ่งของซีพียูที่เรียกว่า speculative execution ซึ่งเป็น "การทำงานล่วงหน้า" ในชุดคำสั่งใดๆ ไปก่อนจนกว่าจะมีการพิสูจน์จากเงื่อนไขที่ควบคุมชุดคำสั่งนั้นๆ ว่าเงื่อนไขถูกต้องจริง โดยมีพฤติกรรมในการนำข้อมูลเข้าและออกจากจากหน่วยความจำอย่างไม่มีการควบคุมและข้ามผ่านกระบวนการใดๆ ที่คอยควบคุมการเข้าถึงข้อมูลอยู่
ด้วยพฤติกรรมดังกล่าว ผู้โจมตีสามารถบังคับให้เกิด "การทำงานล่วงหน้า" ซึ่งเข้าถึงข้อมูได้ไม่จำกัดไปซ้ำๆ ซึ่งถูกแม้ว่าข้อมูลที่ถูกโหลดมาจะถูกนำออกไปจากหน่วยความจำแล้วเนื่องจากเงื่อนไขในการทำงานไม่เป็นจริง แต่ก็มีพฤติกรรมบางอย่างของซีพียูที่ทำให้ผู้โจมตีสามารถค้นหาและเข้าถึงข้อมูลที่ยังหลงเหลืออยู่ได้
ในส่วนของช่องโหว่ Spectre นั้น ตัวช่องโหว่เองก็มีการใช้ประโยชน์จาก speculative execution แต่ด้วยลักษณะที่ต่างออกไป 2 ลักษณะ
ลักษณะที่ 1 (Variant 1): ฟีเจอร์ speculative execution จะถูกใช้ในลักษณะที่คล้ายกับ Meltdown แต่มีเป้าหมายอยู่เพียงในระดับโปรเซส ซึ่งทำให้เกิดการเข้าถึงข้อมูลเกินขอบเขตที่ได้รับอนุญาตให้เข้าถึงได้
ลักษณะที่ 2 (Variant 2): ด้วยการทำงานของฟีเจอร์ speculative execution ผู้โจมตีสามารถบังคับให้เกิด "การทำงานหน้าล่วงหน้า" ในโค้ดของโปรเซสใดๆ ที่มีการทำงานอยู่ในหน่วยซีพียูเดียวกัน แล้วใช้วิธีการใน Variant 1 เพื่อเข้าถึงข้อมูลของโปรเซสอื่นๆ ที่กำลังประมวลผลอยู่ได้
ผลกระทบ
ทั้งช่องโหว่ Meltdown และ Spectre ส่งผลให้โปรเซสซึ่งมีการทำงานที่ต่ำสามารถเข้าถึงข้อมูลของโปรเซสอื่นๆ รวมไปถึงข้อมูลที่กำลังถูกประมวลผลอยู่ซึ่งอาจมีข้อมูลที่มีความอ่อนไหวสูงได้ โดยทั้งสองช่องโหว่ต่างมีความจำเป็นที่จะต้องมีการรันโค้ดที่เป็นอันตรายในระบบเพื่อโจมตีช่องโหว่
อย่างไรก็ตามช่องโหว่ Meltdown และ Spectre ไม่ได้ส่งผลกระทบที่ทำให้เกิดการเปลี่ยนแปลงข้อมูลที่เข้าถึงได้ สามารถถูกใช้ได้เพียงแค่การเข้าถึงและอ่านได้เพียงอย่างเดียวเท่านั้น
ในขณะนี้ไม่มีการตรวจพบการใช้ช่องโหว่ดังกล่าวในการโจมตีจริง
อุปกรณ์/ระบบที่ได้รับผลกระทบ
อุปกรณ์และระบบที่ได้รับผลกระทบนั้นสามารถแย่งตามช่องโหว่ได้ดังนี้
ช่องโหว่ Meltdown จะมีอยู่ในอุปกรณ์ที่ใช้ซีพียู Intel ที่ถูกผลิตตั้งแต่ปี 1995 (ยกเว้น Intel Intanium และ Intel Atom ก่อนหน้าปี 2013) รวมไปถึงซีพียู ARM ในบางรุ่น อย่างไรก็ตามในเวลานี้ยังไม่มีความแน่ชัดว่าซีพียู AMD นั้นได้รับผลกระทบจากช่องโหว่นี้หรือไม่
ช่องโหว่ Spectre จะมีอยู่ในอุปกรณ์ทุกอุปกรณ์ที่ใช้ซีพียู Intel, AMD และ ARM
ขั้นตอนแนะนำและแผนในการตอบสนองการเกิดขึ้นของช่องโหว่
ตรวจสอบผลกระทบของช่องโหว่กับอุปกรณ์ที่มีอยู่ โดยสำหรับผู้ใช้งานระบบปฏิบัติการวินโดวส์สามารถใช้โปรแกรม SpecuCheck หรือโมดูลของ powershell ชื่อ SpeculationControl เพื่อตรวจสอบการมีอยู่ของช่องโหว่ได้ และสำหรับผู้ใช้งานระบบปฏิบัติการลินุกซ์ก็สามารถใช้โปรแกรม spectre-meltdown-checker ในการตรวจสอบการมีอยู่ของช่องโหว่ได้เช่นเดียวกัน
หากไม่แน่ใจว่าได้รับผลกระทบจากช่องโหว่หรือไม่ หรือไม่สามารถใช้โปรแกรมในการตรวจสอบการมีอยู่ของช่องโหว่ได้ ให้ทำการตรวจสอบจากประกาศของผู้ผลิตฮาร์ดแวร์และบริการตามรายการดังต่อไปนี้
ดำเนินการแพตช์ช่องโหว่โดยพิจารณาตามความจำเป็น เนื่องจากแพตช์ของช่องโหว่อาจส่งผลต่อประสิทธิภาพการทำงานของระบบที่น้อยลงและอาจไม่ได้ช่วยป้องกันการโจมตีช่องโหว่ในทุกกรณี
ติดตามข่าวสารด้านความปลอดภัยเพื่อตรวจสอบแพตช์ในรุ่นใหม่ๆ ซึ่งอาจมีการแก้ปัญหาในเรื่องของประสิทธิภาพการทำงานและการป้องกันช่องโหว่
แหล่งอ้างอิง
Google Online Security Blog.
พบช่องโหว่ส่งผลกระทบต่อ Embedded web server ใน อุปกรณ์ IoT หลายแสนรายการ
Embedthis Software LLC บริษัทผู้ผลิต Software สำหรับอุปกรณ์ Embedded จากประเทศสหรัฐอเมริกา รวมทั้งเป็นผู้ให้บริการ GoAhead ซึ่งเป็นเว็บเซิร์ฟเวอร์ขนาดเล็กที่ทำงานบนอุปกรณ์ที่มีทรัพยากรจำกัด เช่น อุปกรณ์ Internet of Things (IoT), Routers, printers และอุปกรณ์เครือข่ายอื่น ๆ โดยปัจจุบันเป็นที่นิยมอย่างมากในผู้จัดจำหน่ายฮาร์ดแวร์
ล่าสุดนักวิจัยด้านความปลอดภัยจาก บริษัท Elttam ของออสเตรเลียพบวิธีการรันโค้ดที่เป็นอันตรายได้จากระยะไกลบนอุปกรณ์ที่ใช้แพ็คเกจเว็บเซิร์ฟเวอร์จาก GoAhead ซึ่งจากหน้าเว็ปไซต์ของ Embedthis พบว่ามีการนำไปใช้ในผลิตภัณฑ์ของบริษัทที่มีชื่อเสียงขนาดใหญ่หลายรายการ เช่น Comcast, Oracle, D-Link, ZTE, HP, Siemens, Canon และอื่น ๆ ช่องโหว่นี้ได้รับรหัส CVE-2017-17562 ทำให้ผู้โจมตีสามารถใช้ช่องโหว่นี้ได้หากมีการเปิดใช้งาน CGI และ CGI เป็นแบบ dynamically linked ซึ่งเป็นการตั้งค่าทั่วไป
Elttam ได้รายงานช่องโหว่ไปยัง Embedthis และได้มีการปล่อยแพทช์ออกมาเรียบร้อยแล้ว โดยคาดว่าเว็บเซิร์ฟเวอร์ของ GoAhead ทุกเวอร์ชันก่อนหน้า 3.6.5 จะได้รับผลกระทบทั้งหมด แม้ว่าปัจจุบัน Embedthis ได้ทำการออกแพทซ์ส่วนของตนเองแล้ว แต่ในส่วนการอัพเดท Firmware บนอุปกรณ์ของผู้ผลิตแต่ละรายที่นำไปใช้นั้น อาจต้องใช้สักระยะเวลาหนึ่งในการออกอัพเดท รวมถึงอุปกรณ์เก่าอื่นๆ ที่ end-of-life ไปแล้วอาจจะไม่ได้รับการอัพเดทเพื่ออุดช่องโหว่ดังกล่าว ทั้งนี้จากการค้นหาด้วย Shodan พบว่ามีอุปกรณ์ออนไลน์อยู่ 500,000 ถึง 700,000 ชิ้นที่ได้รับผลกระทบ
ที่มา : bleepingcomputer
แจ้งเตือนช่องโหว่ใน DNS resolver ของ systemd ยิงระบบค้างได้
นักวิจัยและพัฒนาช่องโหว่ William Gamazo Sanchez จาก TrendMicro ได้มีการเปิดเผยการค้นพบช่องโหว่พร้อมทั้งรายละเอียดล่าสุดวันนี้โดยช่องโหว่ที่มีการค้นพบนั้นเป็นช่องโหว่รหัส CVE-2017-15908 ซึ่งอยู่ในฟังก์ชันการทำ DNS resolve ของ systemd ซึ่งปัจจุบันมีการใช้งานอยู่ในระบบปฏิบัติการลินุกซ์หลายดิสโทร
การโจมตีช่องโหว่นี้จะเกิดขึ้นเมื่อเซิร์ฟเวอร์ที่ให้บริการ DNS ที่มีช่องโหว่ทำการรีเควสต์เพื่อร้องขอข้อมูลไปยังเซิร์ฟเวอร์ที่ให้บริการ DNS ที่ถูกควบคุมโดยผู้โจมตี โดยเซิร์ฟเวอร์ที่ให้บริการ DNS ที่ถูกควบคุมโดยผู้โจมตีจะมีการส่งข้อมูลตอบรับแบบพิเศษมาส่งผลให้เซิร์ฟเวอร์ที่ให้บริการ DNS ทีมีช่องโหว่เมื่อได้รับแพ็คเกตดังกล่าวแล้วจะทำการวนการทำงานแบบไม่มีสิ้นสุด ใช้ทรัพยากรของระบบจนหมดและทำให้ระบบไม่สามารถให้บริการได้
Recommendation ในตอนนี้ช่องโหว่นี้ได้มีแพตช์ออกมาเป็นที่เรียบร้อยแล้ว ทาง TrendMicro แนะนำให้ผู้ดูแลระบบทำการตรวจสอบแพตช์เฉพาะดิสโทรของตัวเองโดยทันที อย่างไรก็ตามหากระบบไม่สามารถทำการแพตช์ได้ TrendMicro แนะนำให้ผู้ดูแลระบบทำการบล็อคแพ็คเกต DNS แบบพิเศษที่สามารถโจมตีช่องโหว่ได้ (ดูเพิ่มเติมใน RFC 4034 ส่วนที่ 4 หรือ NSEC record) เพื่อป้องกันระบบในเบื้องต้น
ที่มา : Trendmicro
ConnMan คือ Network Manager ที่ถูกพัฒนาขึ้นมาไว้ใช้กับอุปกรณ์ต่างๆ ที่มีการลง Operating System เอาไว้ในตัว ซึ่งถูกใช้อย่างแพร่หลายในอุปกณ์ IoT ConnMan ถูกพบว่ามีช่องโหว่ร้ายแรงในฟังก์ชัน DNS-Proxy เวอร์ชันที่ได้รับผลกระทบคือ ConnMan 1.34 และรุ่นก่อนหน้า ช่องโหว่ดังกล่าวมีความเสี่ยงต่อการเกิด Buffer Overflow ซึ่งอาจทำให้เกิด DoS และ Remote Code Execution ช่องโหว่นี้สามารถถูกทำให้เกิดซ้ำๆได้ ตราบเท่าที่ผู้โจมตีสามารถนำไปพัฒนาต่อเพื่อใช้ในการโจมตีเป้าหมายที่ต้องการ
ข้อแนะนำ ให้อัพเดท ConnMan เป็นเวอร์ชัน 1.35 ขึ้นไป และไม่ควรเชื่อมต่อปุกรณ์ IoT กับ Network ที่ไม่มีความน่าเชื่อถือ เช่น Free Access Point
ที่มา : NRI-SECURE
Apple เปิดตัว iOS 10.3.3 ในวันที่ 19/07/2017 ซึ่งทำหน้าที่แก้ไขช่องโหว่หลายช่องโหว่รวมทั้งบั๊ก BroadPwn ที่ทำให้ผู้โจมตีสามารถควบคุมอุปกรณ์ iOS ที่กำหนดเป้าหมายไว้ได้ นอกจากนี้ยังมีการแก้ไขปัญหาของโปรแกรม tvOS , iTunes , Safari browser , watchOS , macOS Sierra และแก้ปัญหาเรื่องหน่วยความจำในส่วนประกอบ CoreAudio ของระบบปฏิบัติการ ปัญหาเรื่องความจำประมวลผลพลาดถือเป็นปัญหาที่กระทบระบบของ Apple หลายระบบ
WebKit ซึ่งเป็น Web Browser แบบ Open Source ของ Apple ก็มีช่องโหว่ที่อนุญาตให้ผู้โจมตีใช้งานเว็บไซต์ที่เป็นอันตรายซึ่งอาจทำให้เกิดการโจมตีแบบใช้ Address ปลอม ปัญหาความเสียหายของหน่วยความจำของ WebKit ทำให้ผู้โจมตีที่แอบอยู่บนเว็บไซต์ปลอมสามารถเรียกใช้โค้ดโดยไม่ได้รับอนุญาตบนอุปกรณ์ iOS ที่หลงเข้าเว็บไซน์ปลอมและสั่งให้โปรแกรมทำงานได้จากในระยะไกล
แอปเปิ้ลยังได้เปิดตัว iCloud for Windows 6.2.2 ซึ่งกล่าวถึง CVEs เกือบสิบแห่งที่เชื่อมโยงกับข้อผิดพลาดที่พบโดยนักวิจัยของ Google Project Zero และ Bug ข้อบกพร่องของหน่วยความจำถูกแก้ใน tvOS เช่นกัน เพราะอาจนำไปสู่การถูกยึดครองโดยผู้โจมตีหากมีการเล่นไฟล์ภาพยนตร์ที่สร้างขึ้นโดยมีเจตนาร้ายบนอุปกรณ์
threatpost
ปลายเดือนตุลาคมปี 2016 Talos ได้เปิดเผยข้อบกพร่องร้ายแรง 3 ข้อที่มีผลกระทบต่อ Memcached ซึ่งเป็นระบบหน่วยความจำแคชที่มีประสิทธิภาพสูง ช่องโหว่ที่ถูกระบุคือ CVE-2016-8704, CVE-2016-8705 และ CVE-2016-8706 ช่องโหว่ดังกล่าวอนุญาตให้ผู้บุกรุกสามารถสั่งรันโค้ดได้จากระบบที่มีช่องโหว่โดยการส่งคำสั่ง Memcached ที่สร้างขึ้นมาเป็นพิเศษและยังสามารถใช้ประโยชน์เพื่อให้ได้ข้อมูลที่สำคัญ ต่อมาช่องโหว่ถูก patched โดยนักพัฒนา Memcached ก่อนที่ Talos จะเปิดเผยผลการวิจัย ช่วงปลายเดือนกุมภาพันธ์และต้นเดือนมีนาคมปี 2017 นักวิจัยได้ทำการสแกนเพื่อค้นหาจำนวนองค์กรที่ติดตั้ง patched ดังกล่าว
ผลการสแกนพบว่ามีเซิร์ฟเวอร์มากกว่า 107,000 เครื่องเข้าถึงได้ผ่านทางอินเทอร์เน็ตและเกือบ 80% ของเซิร์ฟเวอร์เหล่านี้หรือประมาณ 85,000 เซิร์ฟเวอร์ยังคงมีช่องโหว่อยู่ เกือบ 30,000 เซิร์ฟเวอร์ที่มีช่องโหว่อยู่ในสหรัฐอเมริกาตามด้วยประเทศจีน (17,000) สหราชอาณาจักร (4,700) ฝรั่งเศส (3,200) เยอรมนี (3,000) ญี่ปุ่น (3,000) เนเธอร์แลนด์ (2,600) อินเดีย ( 2,500) และรัสเซีย (2,300) หลังจากสิ้นสุดการสแกน Cisco พยายามแจ้งให้องค์กรที่ได้รับผลกระทบทราบ
หกเดือนต่อมานักวิจัยทำการสแกนอีกครั้ง แต่สถานการณ์กลับดีขึ้นเพียงเล็กน้อย Talos เตือนว่าการติดตั้ง Memcached ที่มีช่องโหว่เหล่านี้อาจตกเป็นเป้าหมายในการโจมตีเรียกค่าไถ่ที่คล้ายกับเหตุการณ์ของ MongoDB ในช่วงต้นปี 2017 ถึงแม้ Memcached ไม่ใช่ฐานข้อมูลแต่ก็ยังสามารถเก็บข้อมูลที่สำคัญซึ่งอาจมีผลกระทบต่อบริการได้
ที่มา : securityweek
มีการใช้ช่องโหว่ SambaCry เพื่อติดตั้งแบ็คดอร์บนอุปกรณ์ Linux ที่ใช้เซิร์ฟเวอร์แชร์ไฟล์ Samba เวอร์ชันเก่า
ผู้เชี่ยวชาญจากบริษัท Trend Micro กล่าวว่าการโจมตีส่วนใหญ่ได้มุ่งเป้าไปที่อุปกรณ์จัดเก็บข้อมูลแบบ NAS (Network-attached Storage) ซึ่งบางส่วนจะมาพร้อมกับเซิร์ฟเวอร์ Samba เพื่อให้สามารถทำงานร่วมกันระหว่างไฟล์ระบบปฏิบัติการต่างๆได้
มัลแวร์ที่นักวิจัยให้ชื่อว่า SHELLBIND ได้ใช้ประโยชน์จากช่องโหว่ SambaCry (หรือ EternalRed) ที่เปิดเผยต่อสาธารณในปลายเดือนพฤษภาคม 2017 ช่องโหว่ CVE-2017-7494 มีผลกับซอฟต์แวร์ Samba ทุกเวอร์ชันที่เปิดตัวในช่วงเจ็ดปีที่ผ่านมาตั้งแต่เวอร์ชัน 3.5.0 เป็นต้นไป สองสัปดาห์หลังจากที่ทีม Samba แก้ไขซอฟต์แวร์และรายละเอียดช่องโหว่แก่สาธารณะ มีการใช้ SambaCry เพื่อติดตั้งเซิร์ฟเวอร์ Linux และติดตั้งโปรแกรมเหมืองเงินดิจิทัล EternalMiner
นักวิจัยชี้ SHELLBIND เป็นโทรจันแบ็คดอร์ที่ช่วยให้ผู้โจมตีสามารถใช้ remote shell ที่เครื่องของเหยื่อได้ โทรจันนี้ได้รับการกำหนดค่าให้เปลี่ยนกฎไฟร์วอลล์และเปิดพอร์ต TCP 61422 ดังนั้นผู้โจมตีจึงสามารถเชื่อมต่อกับอุปกรณ์ที่ถูกบุกรุกได้
ที่มา : bleepingcomputer