สรุปย่อ
เมื่อสัปดาห์ที่ผ่านมา ทีมนักวิจัยซึ่งประกอบด้วยนักวิจัยจาก Münster University of Applied Sciences, Ruhr University Bochum และ KU Leuven ได้ร่วมกันเปิดเผยช่องโหว่ใหม่ภายใต้ชื่อช่องโหว่ว่า EFAIL โดยช่องโหว่ดังกล่างนั้นเป็นช่องโหว่ที่อาจทำให้เกิดการรั่วไหลของข้อมูลเมื่ออีเมลถูกเข้ารหัสด้วยเทคโนโลยีอย่าง OpenPGP และ S/MIME ซึ่งจำเป็นต้องอาศัยการดักจับและแก้ไขข้อมูลรวมไปถึงปัญหาในโปรแกรมอ่านอีเมลด้วยได้

เมื่อถูกโจมตีโดยช่องโหว่นี้นั้น ทันทีที่ผู้ใช้งานทำการเปิดอีเมลและถอดรหัสอีเมลที่ทำการเข้ารหัสด้วยวิธีการตามที่ระบุพร้อมทั้งมีปัจจัยที่จะทำให้ถูกโจมตีครบถ้วน ผู้โจมตีจะสามารถเข้าถึงข้อมูลซึ่งถูกเข้ารหัสได้ทันทีจากระยะไกล

ช่องโหว่ EFAIL นั้นเกิดขึ้นจากปัญหาด้านความปลอดภัยหลายปัจจัย โดยในบล็อกนี้นั้นทีมตอบสนองการโจมตีและภัยคุกคามจะมาอธิบายปัญหาดังกล่าวซึ่งนำไปสู่การเกิดขึ้นของช่องโหว่ ข้อเท็จจริงของช่องโหว่ พร้อมทั้งวิธีการลดผลกระทบจากช่องโหว่ให้ได้ทำความเข้าใจกันครับ
รายละเอียดช่องโหว่
ช่องโหว่ EFAIL นั้นเกิดขึ้นได้เนื่องจากปัญหาด้านความปลอดภัยหลัก 2 ประการดังต่อไปนี้

ปัญหาจากการทำงานในโปรแกรมรับ-ส่งอีเมล (E-mail Client) ซึ่งทำให้เกิดการประมวลผลข้อมูลที่มาในรูปแบบของ HTML ในลักษณะที่เป็นอันตรายได้
ปัญหาในกระบวนการเข้ารหัสของ OpenPGP และ S/MIME ซึ่งส่งผลให้ผู้โจมตีสามารถควบคุมและกำหนดลักษณะของข้อมูลเมื่อถูกถอดรหัสออกมาแล้วด้วยการแก้ไขข้อมูลที่ถูกเข้ารหัสอยู่ได้ โดยไม่จำเป็นต้องถอดรหัสข้อมูลหรือรู้กุญแจหรือใบรับรองในการเข้ารหัสข้อมูลได้

ปัญหาจากการทำงานโปรแกรมรับ-ส่งอีเมล
สำหรับปัญหาแรกที่ทำให้เกิดช่องโหว่ EFAIL ได้นั้นมีที่มาจากโปรแกรมรับ-ส่งอีเมลที่เราใช้กันอยู่ทุกวันซึ่งแตกต่างกันไปในแต่ละโปรแกรม โดยพฤติกรรมของโปรแกรมที่ทำให้เกิดปัญหานั้นคือวิธีการในแสดงผล HTML ที่มากับอีเมล

ในโปรแกรมรับ-ส่งอีเมลบางโปรแกรมนั้น เมื่อผู้ใช้งานทำการเปิดอีเมลซึ่งมีเนื้อหาประกอบด้วยโค้ดในภาษา HTML โปรแกรมจะพยายามทำการแสดงผลตามโค้ด HTML ที่มีอยู่โดยอัตโนมัติ ซึ่งรวมไปถึงการพยายามดึงรูปจากแหล่งอื่นซึ่งถูกฝังมากับแท็กอย่าง <img>

ผู้โจมตีสามารถอาศัยพฤติกรรมของโปรแกรมในลักษณะนี้นั้นในการขโมยเนื้อหาที่อยู่อีเมล (ที่ยังไม่ถูกเข้ารหัส) ออกมาได้โดยการเพิ่มหรือแก้ไขโค้ด HTML ซึ่งมีอยู่แล้วในอีเมล โดยตัวอย่างหนึ่งในการแก้ไขเพื่อให้ขโมยข้อมูลออกมาได้ถูกแสดงตามรูปภาพด้านล่าง (เนื้อหาของอีเมลจะถูกเน้นเป็นตัวเข้ม)

หากสังเกตตามโค้ดซึ่งปรากฎตามรูปภาพด้านบน อาจจะสังเกตได้ว่าแท็ก <img> ไม่ได้ถูกใช้งานในการแสดงผลรูปภาพอย่างถูกต้อง เพราะในการใช้งานโดยทั่วไปนั้นพารามิเตอร์ src จะถูกชี้ไปยังไฟล์รูปภาพที่อยู่ในแหล่งอื่นๆ คำถามสำคัญก็คือหากผู้ใช้งานมีการเปิดอีเมลที่มีเนื้อหาตามรูปภาพด้านบนแล้วจะเกิดอะไรขึ้น?

ในกรณีที่อีเมลนี้ถูกเปิดด้วยโปรแกรมรับ-ส่งอีเมลซึ่งพยายามแสดงผลเนื้อหาที่อยู่ในรูปแบบของโค้ด HTML โดยอัตโนมัติ สิ่งที่จะเกิดขึ้นคือโปรแกรมรับ-ส่งอีเมลจะพยายามเรียกหารูปตามที่ระบุอยู่ในแท็ก HTML แต่จะระบุข้อมูลปลายทางตามรูปภาพด้านล่าง

จะสังเกตเห็นว่าเนื้อหาที่ถูกระบุอยู่ในอีเมลซึ่งก็คือส่วนที่เป็น Secret Meeting.

สรุปย่อ
หลังจากโครงการ Drupal ประกาศพบช่องโหว่ร้ายแรงรหัส CVE-2018-7600 หรือ SA-CORE-2018-002 ซึ่งเป็นช่องโหว่ประเภท Remote Code Execution (RCE) ที่มีผลกระทบโดยตรงกับ Drupal เวอร์ชั่น 7.x, 8.3.x, 8.4.x และ 8.5.x เมื่อวันที่ 28 มีนาคมที่ผ่านมานั้น ในตอนนี้โค้ดสำหรับโจมตีช่องโหว่ดังกล่าวก็ได้มีการถูกเผยแพร่ออกสู่สาธารณะและถูกนำมาใช้ในการโจมตีจริงแล้ว ทีมผู้เชี่ยวชาญด้านความปลอดภัยบนเว็บแอปพลิเคชันจาก บริษัท ไอ-ซีเคียว จำกัด จึงจะขอนำช่องโหว่และโค้ดสำหรับโจมตีช่องโหว่มาอธิบายเพื่อสร้างความตระหนักรู้ซึ่งจะนำไปสู่การควบคุมและจัดการความเสี่ยงที่จะถูกโจมตีโดยช่องโหว่นี้ครับ

Drupal เป็นโครงการซอฟต์แวร์แบบโอเพนซอร์สในรูปแบบของตัวจัดการเนื้อหาบนเว็บไซต์ (Content Management System - CMS) ซึ่งได้รับความนิยมและถูกใช้งานมากมายทั่วโลก สำหรับช่องโหว่ล่าสุดคือ Drupalgeddon2 นั้น ที่มาที่แท้จริงยังคงเกิดจากปัญหายอดนิยมคือประเด็นของการตรวจสอบข้อมูลนำเข้า (input) ที่ถูกส่งมายัง Form API ซึ่งไม่สมบูรณ์มากพอ ทำให้เกิดช่องโหว่ด้านความปลอดภัยที่ผู้ประสงค์ร้ายสามารถรันโค้ดที่เป็นอันตรายได้
ทำความรู้จัก Form API
Form API เป็น API รูปแบบหนึ่งใน Drupal ซึ่งมีการใช้งานรูปแบบการเก็บข้อมูลที่เรียกว่า Renderable Arrays โดยรูปแบบการเก็บข้อมูลชนิดนี้นั้นเป็นส่วนเสริมที่สร้างขึ้นมาเพื่อใช้ในการแสดงโครงสร้างรวมไปถึงส่วนประกอบต่าง ๆ ของ Drupal

ข้อมูลใน Renderable Arrays นั้นจะถูกเก็บอยู่ในรูปแบบของอาเรย์ที่มี key และ value ซึ่งจะถูกเรียกใช้ในแต่ละครั้งที่มีการพยายามแสดงผล (render) จาก API ข้อมูลในส่วนของ key ภายในอาเรย์นั้นจะถูกระบุโดยมีการใช้เครื่องหมาย # (hash) นำหน้าค่าของ key เสมอ

Form API นั้นมีการใช้งานโดยทั่วไปใน Drupal ในรูปแบบของฟอร์มสำหรับกรอกข้อมูล แต่สำหรับ Drupal ซึ่งพึ่งมีการติดตั้งใหม่นั้น ฟอร์มสำหรับกรอกข้อมูลจุดหนึ่งที่มีการใช้งาน Form API และมักจะถูกใช้งานโดยผู้ใช้เว็บไซต์เสมอนั้นคือฟอร์มสำหรับกรอกข้อมูลเพื่อสมัครสมาชิกในการเข้าสู่ระบบของเว็บไซต์

ด้วยลักษณะของฟอร์มกรอกข้อมูลที่สามารถเข้าถึงสาธารณะ ช่องโหว่ Drupalgeddon2 จึงอาศัยฟอร์มกรอกข้อมูลและปัญหาของการไม่ตรวจสอบข้อมูลนำเข้าที่ผู้ใช้งานส่งเข้าไปในรูปแบบ Renderable Arrays เพื่อควบคุมและสั่งการให้เกิดการประมวลผลที่ส่งผลกระทบต่อความปลอดภัยได้
การโจมตีช่องโหว่
อ้างอิงจากบทวิเคราะห์ช่องโหว่จาก CheckPoint และ Dofinity พร้อมโค้ดสำหรับโจมตีช่องโหว่ Drupalgeddon2 ซึ่งถูกเผยแพร่ออกมานั้น หนึ่งในตัวอย่างของการโจมตีช่องโหว่สามารถทำได้โดยผ่าน curl อ้างอิงจาก @IamSecurity ในรูปแบบดังนี้
$ curl -s -X 'POST' --data 'mail[%23post_render][]=exec&mail[%23children]=pwd&form_id=user_register_form' 'http://drupal.

ทีมงาน Drupal ประกาศออกแพตช์แก้ไขช่องโหว่ระดับความรุนแรงสูง SA-CORE-2018–002 (CVE-2018-7600) เป็นช่องโหว่ประเภท Remote Code Execution หรือช่องโหว่ที่สามารถรันคำสั่งใดๆ บนเครื่องเว็บเซิฟเวอร์ที่ติดต้ัง Drupal ได้โดยไม่ต้องพิสูจน์ตัวตน มีผลกระทบโดยตรงกับ Drupal เวอร์ชั่น 7.x, 8.3.x, 8.4.x และ 8.5.x

รายละเอียดช่องโหว่
ในแพตช์ซึ่งถูกเผยแพร่ออกมาพร้อมกับเวอร์ชั่นใหม่ของ Drupal แพตช์มีการเพิ่มไฟล์ขึ้นมาหนึ่งไฟล์คือ request-sanitizer.

แพตช์ประจำเดือนของแอนดรอยด์หรือ Android Security Bulletin ประจำเดือนมีนาคม 2018 ถูกประกาศออกมาแล้ว โดยภายในเดือนนี้นั้นมีช่องโหว่ระดับร้ายแรงสูงสุด (critical) จำนวน 11 จากทั้งหมด 37 ช่องโหว่ที่ถูกแพตช์ ซึ่งส่วนมากเป็นช่องโหว่ที่ทำให้ผู้โจมตีสามารถรันโค้ดที่เป็นอันตรายได้จากระยะไกล

สำหรับช่องโหว่ที่ร้ายแรงที่สุดในรอบนี้ก็ยังหนีไม่พ้นที่จะมาจากตำแหน่งโดยกับที่ช่องโหว่ Stagefright เคยอยู่คือส่วนของ Media Framework การโจมตีช่องโหว่ดังกล่าวสามารถทำได้โดยการส่งไฟล์มีเดียที่ถูกสร้างแบบพิเศษไปให้ผู้ใช้งานเปิด เมื่อการโจมตีช่องโหว่สำเร็จ ผู้โจมตีจะสามารถรันโค้ดอันตรายได้ด้วยสิทธิ์เดียวกับโปรเซสที่ถูกโจมตี

ที่มา : Threatpost

กลุ่มนักวิจัยด้านความปลอดภัยจากบริษัท Devcore ได้มีการเปิดเผยการค้นพบช่องโหว่บนซอฟต์แวร์ Exim หลังจากมีการปล่อยแพตช์ช่องโหว่ดังกล่าวออกมา โดยแพตช์ดังกล่าวนั้นถูกยืนยันว่า *กระทบ Exim ทุกเวอร์ชัน* ซึ่งทำให้ผู้โจมตีสามารถรันโค้ดที่เป็นอันตรายได้จากระยะไกลก่อนจะมีการพิสูจน์ตัวตน (Pre-auth Remote Code Execution)

ช่องโหว่ดังกล่าวนั้นเกิดขึ้นจากการคำนวณขนาดของ buffer เมื่อมีการถอดรหัสข้อมูลจากอัลกอริธึม Base64 ที่ผิดพลาด ส่งผลให้เกิดช่องโหว่แบบ one-byte heap overflow หรือ off-by-one ซึ่งอาจส่งผลให้เกิดการนำไปใช้งานเพื่อทำให้เกิดเงื่อนไขที่ผู้โจมตีสามารถทำการรันโค้ดได้จากระยะไกลจากปกติที่เกิดเพียงแค่การเขียนข้อมูลทับข้อมูลอื่นในหน่วยความจำ

Recommendation : ช่องโหว่ดังกล่าวส่งผลกระทบ Exim ในทุกๆ เวอร์ชัน แนะนำให้อัปเดตเป็นเวอร์ชันที่มีการแพตช์แล้วคือ 4.90.1 หรือใหม่กว่าโดยด่วน

Affected Platform : Exim ทุกเวอร์ชัน

ที่มา : Andreafortuna

สรุปย่อ
นักวิจัยด้านความปลอดภัย Jann Horn จาก Google Project Zero และคณะวิจัยร่วมจากมหาวิทยาลัยและบริษัทด้านความปลอดภัยได้ประกาศการค้นพบช่องโหว่ใหม่ที่มีความร้ายแรงสูง โดยมีที่มาจากกระบวนการทำงานที่อยู่ในหน่วยประมวลผลกลาง (CPU) ซึ่งส่งผลกระทบต่อคอมพิวเตอร์เกือบทุกเครื่องที่มีการใช้ซีพียูในรุ่นที่มีช่องโหว่ รวมไปถึง คอมพิวเตอร์ส่วนบุคคล, อุปกรณ์พกพาและระบบคลาวด์

ผลกระทบจากช่องโหว่ดังกล่าวทำให้ผู้โจมตีสามารถเข้าถึงข้อมูลที่กำลังประมวลผลอยู่ในระบบได้โดยไม่สนว่าโปรแกรมใดจะเป็นเจ้าของโปรแกรมนั้น หรือมีสิทธิ์/การป้องกันใดที่ปกป้องข้อมูลดังกล่าวอยู่
รายละเอียดของช่องโหว่

สำหรับช่องโหว่ Meltdown (CVE-2017-5754 หรือ Variant 3) นั้น มีที่มาในเบื้องต้นจากกระบวนการทำงานหนึ่งของซีพียูที่เรียกว่า speculative execution ซึ่งเป็น "การทำงานล่วงหน้า" ในชุดคำสั่งใดๆ ไปก่อนจนกว่าจะมีการพิสูจน์จากเงื่อนไขที่ควบคุมชุดคำสั่งนั้นๆ ว่าเงื่อนไขถูกต้องจริง โดยมีพฤติกรรมในการนำข้อมูลเข้าและออกจากจากหน่วยความจำอย่างไม่มีการควบคุมและข้ามผ่านกระบวนการใดๆ ที่คอยควบคุมการเข้าถึงข้อมูลอยู่

ด้วยพฤติกรรมดังกล่าว ผู้โจมตีสามารถบังคับให้เกิด "การทำงานล่วงหน้า" ซึ่งเข้าถึงข้อมูได้ไม่จำกัดไปซ้ำๆ ซึ่งถูกแม้ว่าข้อมูลที่ถูกโหลดมาจะถูกนำออกไปจากหน่วยความจำแล้วเนื่องจากเงื่อนไขในการทำงานไม่เป็นจริง แต่ก็มีพฤติกรรมบางอย่างของซีพียูที่ทำให้ผู้โจมตีสามารถค้นหาและเข้าถึงข้อมูลที่ยังหลงเหลืออยู่ได้

ในส่วนของช่องโหว่ Spectre นั้น ตัวช่องโหว่เองก็มีการใช้ประโยชน์จาก speculative execution แต่ด้วยลักษณะที่ต่างออกไป 2 ลักษณะ

ลักษณะที่ 1 (Variant 1): ฟีเจอร์ speculative execution จะถูกใช้ในลักษณะที่คล้ายกับ Meltdown แต่มีเป้าหมายอยู่เพียงในระดับโปรเซส ซึ่งทำให้เกิดการเข้าถึงข้อมูลเกินขอบเขตที่ได้รับอนุญาตให้เข้าถึงได้
ลักษณะที่ 2 (Variant 2): ด้วยการทำงานของฟีเจอร์ speculative execution ผู้โจมตีสามารถบังคับให้เกิด "การทำงานหน้าล่วงหน้า" ในโค้ดของโปรเซสใดๆ ที่มีการทำงานอยู่ในหน่วยซีพียูเดียวกัน แล้วใช้วิธีการใน Variant 1 เพื่อเข้าถึงข้อมูลของโปรเซสอื่นๆ ที่กำลังประมวลผลอยู่ได้

ผลกระทบ
ทั้งช่องโหว่ Meltdown และ Spectre ส่งผลให้โปรเซสซึ่งมีการทำงานที่ต่ำสามารถเข้าถึงข้อมูลของโปรเซสอื่นๆ รวมไปถึงข้อมูลที่กำลังถูกประมวลผลอยู่ซึ่งอาจมีข้อมูลที่มีความอ่อนไหวสูงได้ โดยทั้งสองช่องโหว่ต่างมีความจำเป็นที่จะต้องมีการรันโค้ดที่เป็นอันตรายในระบบเพื่อโจมตีช่องโหว่

อย่างไรก็ตามช่องโหว่ Meltdown และ Spectre ไม่ได้ส่งผลกระทบที่ทำให้เกิดการเปลี่ยนแปลงข้อมูลที่เข้าถึงได้ สามารถถูกใช้ได้เพียงแค่การเข้าถึงและอ่านได้เพียงอย่างเดียวเท่านั้น

ในขณะนี้ไม่มีการตรวจพบการใช้ช่องโหว่ดังกล่าวในการโจมตีจริง
อุปกรณ์/ระบบที่ได้รับผลกระทบ
อุปกรณ์และระบบที่ได้รับผลกระทบนั้นสามารถแย่งตามช่องโหว่ได้ดังนี้

ช่องโหว่ Meltdown จะมีอยู่ในอุปกรณ์ที่ใช้ซีพียู Intel ที่ถูกผลิตตั้งแต่ปี 1995 (ยกเว้น Intel Intanium และ Intel Atom ก่อนหน้าปี 2013) รวมไปถึงซีพียู ARM ในบางรุ่น อย่างไรก็ตามในเวลานี้ยังไม่มีความแน่ชัดว่าซีพียู AMD นั้นได้รับผลกระทบจากช่องโหว่นี้หรือไม่
ช่องโหว่ Spectre จะมีอยู่ในอุปกรณ์ทุกอุปกรณ์ที่ใช้ซีพียู Intel, AMD และ ARM

ขั้นตอนแนะนำและแผนในการตอบสนองการเกิดขึ้นของช่องโหว่

ตรวจสอบผลกระทบของช่องโหว่กับอุปกรณ์ที่มีอยู่ โดยสำหรับผู้ใช้งานระบบปฏิบัติการวินโดวส์สามารถใช้โปรแกรม SpecuCheck หรือโมดูลของ powershell ชื่อ SpeculationControl เพื่อตรวจสอบการมีอยู่ของช่องโหว่ได้ และสำหรับผู้ใช้งานระบบปฏิบัติการลินุกซ์ก็สามารถใช้โปรแกรม spectre-meltdown-checker ในการตรวจสอบการมีอยู่ของช่องโหว่ได้เช่นเดียวกัน  
หากไม่แน่ใจว่าได้รับผลกระทบจากช่องโหว่หรือไม่ หรือไม่สามารถใช้โปรแกรมในการตรวจสอบการมีอยู่ของช่องโหว่ได้ ให้ทำการตรวจสอบจากประกาศของผู้ผลิตฮาร์ดแวร์และบริการตามรายการดังต่อไปนี้  
ดำเนินการแพตช์ช่องโหว่โดยพิจารณาตามความจำเป็น เนื่องจากแพตช์ของช่องโหว่อาจส่งผลต่อประสิทธิภาพการทำงานของระบบที่น้อยลงและอาจไม่ได้ช่วยป้องกันการโจมตีช่องโหว่ในทุกกรณี
ติดตามข่าวสารด้านความปลอดภัยเพื่อตรวจสอบแพตช์ในรุ่นใหม่ๆ ซึ่งอาจมีการแก้ปัญหาในเรื่องของประสิทธิภาพการทำงานและการป้องกันช่องโหว่

แหล่งอ้างอิง

Google Online Security Blog.

พบช่องโหว่ส่งผลกระทบต่อ Embedded web server ใน อุปกรณ์ IoT หลายแสนรายการ

Embedthis Software LLC บริษัทผู้ผลิต Software สำหรับอุปกรณ์ Embedded จากประเทศสหรัฐอเมริกา รวมทั้งเป็นผู้ให้บริการ GoAhead ซึ่งเป็นเว็บเซิร์ฟเวอร์ขนาดเล็กที่ทำงานบนอุปกรณ์ที่มีทรัพยากรจำกัด เช่น อุปกรณ์ Internet of Things (IoT), Routers, printers และอุปกรณ์เครือข่ายอื่น ๆ โดยปัจจุบันเป็นที่นิยมอย่างมากในผู้จัดจำหน่ายฮาร์ดแวร์

ล่าสุดนักวิจัยด้านความปลอดภัยจาก บริษัท Elttam ของออสเตรเลียพบวิธีการรันโค้ดที่เป็นอันตรายได้จากระยะไกลบนอุปกรณ์ที่ใช้แพ็คเกจเว็บเซิร์ฟเวอร์จาก GoAhead ซึ่งจากหน้าเว็ปไซต์ของ Embedthis พบว่ามีการนำไปใช้ในผลิตภัณฑ์ของบริษัทที่มีชื่อเสียงขนาดใหญ่หลายรายการ เช่น Comcast, Oracle, D-Link, ZTE, HP, Siemens, Canon และอื่น ๆ ช่องโหว่นี้ได้รับรหัส CVE-2017-17562 ทำให้ผู้โจมตีสามารถใช้ช่องโหว่นี้ได้หากมีการเปิดใช้งาน CGI และ CGI เป็นแบบ dynamically linked ซึ่งเป็นการตั้งค่าทั่วไป

Elttam ได้รายงานช่องโหว่ไปยัง Embedthis และได้มีการปล่อยแพทช์ออกมาเรียบร้อยแล้ว โดยคาดว่าเว็บเซิร์ฟเวอร์ของ GoAhead ทุกเวอร์ชันก่อนหน้า 3.6.5 จะได้รับผลกระทบทั้งหมด แม้ว่าปัจจุบัน Embedthis ได้ทำการออกแพทซ์ส่วนของตนเองแล้ว แต่ในส่วนการอัพเดท Firmware บนอุปกรณ์ของผู้ผลิตแต่ละรายที่นำไปใช้นั้น อาจต้องใช้สักระยะเวลาหนึ่งในการออกอัพเดท รวมถึงอุปกรณ์เก่าอื่นๆ ที่ end-of-life ไปแล้วอาจจะไม่ได้รับการอัพเดทเพื่ออุดช่องโหว่ดังกล่าว ทั้งนี้จากการค้นหาด้วย Shodan พบว่ามีอุปกรณ์ออนไลน์อยู่ 500,000 ถึง 700,000 ชิ้นที่ได้รับผลกระทบ

ที่มา : bleepingcomputer

แจ้งเตือนช่องโหว่ใน DNS resolver ของ systemd ยิงระบบค้างได้

นักวิจัยและพัฒนาช่องโหว่ William Gamazo Sanchez จาก TrendMicro ได้มีการเปิดเผยการค้นพบช่องโหว่พร้อมทั้งรายละเอียดล่าสุดวันนี้โดยช่องโหว่ที่มีการค้นพบนั้นเป็นช่องโหว่รหัส CVE-2017-15908 ซึ่งอยู่ในฟังก์ชันการทำ DNS resolve ของ systemd ซึ่งปัจจุบันมีการใช้งานอยู่ในระบบปฏิบัติการลินุกซ์หลายดิสโทร

การโจมตีช่องโหว่นี้จะเกิดขึ้นเมื่อเซิร์ฟเวอร์ที่ให้บริการ DNS ที่มีช่องโหว่ทำการรีเควสต์เพื่อร้องขอข้อมูลไปยังเซิร์ฟเวอร์ที่ให้บริการ DNS ที่ถูกควบคุมโดยผู้โจมตี โดยเซิร์ฟเวอร์ที่ให้บริการ DNS ที่ถูกควบคุมโดยผู้โจมตีจะมีการส่งข้อมูลตอบรับแบบพิเศษมาส่งผลให้เซิร์ฟเวอร์ที่ให้บริการ DNS ทีมีช่องโหว่เมื่อได้รับแพ็คเกตดังกล่าวแล้วจะทำการวนการทำงานแบบไม่มีสิ้นสุด ใช้ทรัพยากรของระบบจนหมดและทำให้ระบบไม่สามารถให้บริการได้
Recommendation ในตอนนี้ช่องโหว่นี้ได้มีแพตช์ออกมาเป็นที่เรียบร้อยแล้ว ทาง TrendMicro แนะนำให้ผู้ดูแลระบบทำการตรวจสอบแพตช์เฉพาะดิสโทรของตัวเองโดยทันที อย่างไรก็ตามหากระบบไม่สามารถทำการแพตช์ได้ TrendMicro แนะนำให้ผู้ดูแลระบบทำการบล็อคแพ็คเกต DNS แบบพิเศษที่สามารถโจมตีช่องโหว่ได้ (ดูเพิ่มเติมใน RFC 4034 ส่วนที่ 4 หรือ NSEC record) เพื่อป้องกันระบบในเบื้องต้น

ที่มา : Trendmicro

ConnMan คือ Network Manager ที่ถูกพัฒนาขึ้นมาไว้ใช้กับอุปกรณ์ต่างๆ ที่มีการลง Operating System เอาไว้ในตัว ซึ่งถูกใช้อย่างแพร่หลายในอุปกณ์ IoT ConnMan ถูกพบว่ามีช่องโหว่ร้ายแรงในฟังก์ชัน DNS-Proxy เวอร์ชันที่ได้รับผลกระทบคือ ConnMan 1.34 และรุ่นก่อนหน้า ช่องโหว่ดังกล่าวมีความเสี่ยงต่อการเกิด Buffer Overflow ซึ่งอาจทำให้เกิด DoS และ Remote Code Execution ช่องโหว่นี้สามารถถูกทำให้เกิดซ้ำๆได้ ตราบเท่าที่ผู้โจมตีสามารถนำไปพัฒนาต่อเพื่อใช้ในการโจมตีเป้าหมายที่ต้องการ
ข้อแนะนำ ให้อัพเดท ConnMan เป็นเวอร์ชัน 1.35 ขึ้นไป และไม่ควรเชื่อมต่อปุกรณ์ IoT กับ Network ที่ไม่มีความน่าเชื่อถือ เช่น Free Access Point

ที่มา : NRI-SECURE

Apple เปิดตัว iOS 10.3.3 ในวันที่ 19/07/2017 ซึ่งทำหน้าที่แก้ไขช่องโหว่หลายช่องโหว่รวมทั้งบั๊ก BroadPwn ที่ทำให้ผู้โจมตีสามารถควบคุมอุปกรณ์ iOS ที่กำหนดเป้าหมายไว้ได้ นอกจากนี้ยังมีการแก้ไขปัญหาของโปรแกรม tvOS , iTunes , Safari browser , watchOS , macOS Sierra และแก้ปัญหาเรื่องหน่วยความจำในส่วนประกอบ CoreAudio ของระบบปฏิบัติการ ปัญหาเรื่องความจำประมวลผลพลาดถือเป็นปัญหาที่กระทบระบบของ Apple หลายระบบ
WebKit ซึ่งเป็น Web Browser แบบ Open Source ของ Apple ก็มีช่องโหว่ที่อนุญาตให้ผู้โจมตีใช้งานเว็บไซต์ที่เป็นอันตรายซึ่งอาจทำให้เกิดการโจมตีแบบใช้ Address ปลอม ปัญหาความเสียหายของหน่วยความจำของ WebKit ทำให้ผู้โจมตีที่แอบอยู่บนเว็บไซต์ปลอมสามารถเรียกใช้โค้ดโดยไม่ได้รับอนุญาตบนอุปกรณ์ iOS ที่หลงเข้าเว็บไซน์ปลอมและสั่งให้โปรแกรมทำงานได้จากในระยะไกล
แอปเปิ้ลยังได้เปิดตัว iCloud for Windows 6.2.2 ซึ่งกล่าวถึง CVEs เกือบสิบแห่งที่เชื่อมโยงกับข้อผิดพลาดที่พบโดยนักวิจัยของ Google Project Zero และ Bug ข้อบกพร่องของหน่วยความจำถูกแก้ใน tvOS เช่นกัน เพราะอาจนำไปสู่การถูกยึดครองโดยผู้โจมตีหากมีการเล่นไฟล์ภาพยนตร์ที่สร้างขึ้นโดยมีเจตนาร้ายบนอุปกรณ์

threatpost