นักวิจัยด้านความปลอดภัยจาก Patchstack แจ้งเตือนปลั๊กอิน WordPress 'Advanced Custom Fields' และ 'Advanced Custom Fields Pro' ซึ่งมีการติดตั้งไปแล้วหลายล้านครั้ง มีความเสี่ยงต่อการถูกโจมตีแบบ cross-site scripting (XSS) โดยปลั๊กอินทั้งสองนี้เป็นหนึ่งใน WordPress custom field plugin ที่ได้รับความนิยมมากที่สุดของ WordPress โดยมีการติดตั้งที่ใช้งานอยู่กว่า 2,000,000 ครั้ง บนเว็บไซต์ทั่วโลก (more…)

มีการเปิดเผยช่องโหว่ด้านความปลอดภัยที่มีระดับความรุนแรงสูงสองรายการบน Jenkins open source automation server ที่อาจนำไปสู่การเรียกใช้งานโค้ดที่เป็นอันตรายบนระบบของเป้าหมายได้

โดยช่องโหว่ดังกล่าวมีหมายเลข CVE-2023-27898 และ CVE-2023-27905 ส่งผลกระทบต่อกับเซิร์ฟเวอร์ Jenkins และ Update Center ทุกเวอร์ชันก่อนหน้า 2.319.2 ซึ่งบริษัทรักษาความปลอดภัยบนระบบคลาวด์ Aqua ได้ตั้งชื่อแคมเปญว่า CorePlague

โดย Aqua ระบุในรายงานว่า “การใช้ประโยชน์จากช่องโหว่นี้ทำให้ผู้โจมตีที่ไม่ผ่านการตรวจสอบสิทธิ์สามารถเรียกใช้คำสั่งที่เป็นอันตรายบนเซิร์ฟเวอร์ Jenkins ของเหยื่อ ซึ่งอาจนำไปสู่การเข้าควบคุมเซิร์ฟเวอร์ Jenkins ได้อย่างสมบูรณ์ในที่สุด"

ช่องโหว่ดังกล่าวเป็นผลมาจากวิธีการที่ Jenkins ประมวลผลปลั๊กอินที่มีใน Update Center จึงอาจทำให้ผู้ไม่หวังดีสามารถอัปโหลดปลั๊กอินที่มีเพย์โหลดที่เป็นอันตราย และทำการโจมตีแบบ cross-site scripting (XSS) ได้

"เมื่อเหยื่อเปิด 'Available Plugin Manager' บนเซิร์ฟเวอร์ Jenkins ของพวกเขา XSS จะถูกเรียกใช้งาน ทำให้ผู้โจมตีสามารถเรียกใช้โค้ดที่เป็นอันตรายบนเซิร์ฟเวอร์ Jenkins โดยใช้ Script Console API" Aqua ระบุในรายงาน

เนื่องจาก XSS นั้นจะมีการแทรกโค้ดที่เป็น JavaScript ลงในเซิร์ฟเวอร์ของเหยื่อทำให้ช่องโหว่นี้สามารถเปิดใช้งานได้โดยไม่ต้องติดตั้งปลั๊กอิน หรือไม่ต้องไปที่ URL ของปลั๊กอินตั้งแต่แรก

ปัญหาคือช่องโหว่นี้อาจส่งผลกระทบต่อ self-hosted Jenkins เซิร์ฟเวอร์ และอาจถูกโจมตีได้แม้จะเป็นเซิร์ฟเวอร์ที่ไม่สามารถเข้าถึงได้ผ่านทางอินเทอร์เน็ตก็ตาม เนื่องจาก public Jenkins Update Center อาจถูกโจมตีโดยผู้ไม่หวังดี

อย่างไรก็ตาม การโจมตีนั้นขึ้นอยู่กับข้อกำหนดเบื้องต้นว่าปลั๊กอินปลอมนั้นสามารถเข้ากันได้กับเซิร์ฟเวอร์ Jenkins ของเหยื่อหรือไม่ โดยจะมีการแจ้งเตือนขึ้นในหน้าฟีดหลักว่า "Available Plugin Manager"

Aqua ระบุว่าสิ่งนี้สามารถถูกผู้ไม่หวังดีแก้ไขได้โดยการอัปโหลดปลั๊กอินยอดนิยมที่เป็นของปลอม หรืออัปโหลดปลั๊กอินปลอมที่มี Keyword ยอดนินยมในคำอธิบายเพื่อให้เหยื่อค้นหาเจอได้ง่ายขึ้น หรือการเพิ่มยอดดาวน์โหลดปลั๊กอินปลอมเพื่อให้มีความน่าเชื่อถือ

หลังจากได้มีการออกมาแสดงความรับผิดชอบในวันที่ 24 มกราคม 2023 ทาง Jenkins ได้ออกแพตช์สำหรับ Update Center และเซิร์ฟเวอร์ แนะนำให้ผู้ใช้งานอัปเดตเซิร์ฟเวอร์ Jenkins เป็นเวอร์ชันล่าสุดที่มีอยู่เพื่อลดความเสี่ยงที่อาจเกิดขึ้น

 

ที่มา : thehackernews

นักวิจัยภายในเครือ KU Leuven ซึ่งประกอบไปด้วย Yana Dimova, Gunes Acar, Wouter Joosen, Tom Van Goethem และ Lukasz Olejnik ได้ออกเอกสารการวิจัยซึ่งได้พบว่า บริษัทเทคโนโลยีด้านการโฆษณากำลังพยายามติดตามข้อมูลการใช้งานและข้อมูลอื่น ๆ ผ่านทางเบราว์เซอร์โดยใช้เทคนิคทางด้าน DNS มาใช้เพื่อหลบเลี่ยงการป้องกันจากผู้พัฒนาเบราว์เซอร์และรุกล้ำความเป็นส่วนตัวของผู้ใช้

เทคนิคดังกล่าวถูกเรียกว่า CNAME Cloaking ซึ่งจะถูกนำเสนอในเดือนกรกฎาคมที่จะถึงนี้ในงาน Privacy Enhancing Technologies Symposium ครั้งที่ 21 (PETS 2021) เทคนิคดังกล่าวเป็นเทคนิคการติดตามผู้ใช้โดยใช้ประโยชน์จาก CNAME record บน Subdomain เพื่อให้เบราว์เซอร์มองเว็บไซต์จาก Subdomain เป็นเว็บไซต์เดียวกันเพื่อสร้างความน่าเชื่อถือและเพื่อ Bypass การป้องกันการบล็อกคุกกี้ของผู้ใช้ที่เยื่ยมชมจากแอปพลิเคชัน Third-party ที่ถูกใช้โดยผู้ใช้หรือจากเบราว์เซอร์เอง

นอกจากนี้นักวิจัยยังพบอีกว่าการติดตามผู้ใช้ด้วย CNAME ทำให้เกิดช่องโหว่ด้านความปลอดภัยสองรายการในการใช้งาน โดยผู้ประสงค์ร้ายสามารถทำให้เว็บไซต์มีความเสี่ยงต่อการโจมตีจากเทคนิค Session fixation และเทคนิค XSS กับผู้ที่เยื่ยมชมเว็บไซต์ด้วย

ทั้งนี้ผู้พัฒนาเบราว์เซอร์อย่าง Google Chrome, Firefox, Safari, Brave กำลังพยายามแก้ไขปัญหาและคาดว่าจะมีการปล่อยการแก้ไขออกมาในลักษณะของแพตช์ด้านความปลอดภัยในเร็ววันนี้

ที่มา: thehackernews, theregister

พบช่องโหว่ XSS บน WordPress ปลั๊กอินที่จะช่วยให้ผู้โจมตีสามารถยึดครองเว็บไซต์ได้

นักวิจัยจาก Sucuri Labs ได้ทำการค้นพบช่องโหว่นี้เป็นช่องโหว่ประเภท XSS บน WordPress ปลั๊กอินที่ชื่อ ”WP Product Review Lite” ที่ทำให้ผู้โจมตีสามารถยึดครองเว็บไซต์ได้ โดยพบว่าในขณะนี้มีเว็บไซต์ติดตั้งปลั๊กอินนี้มีจำนวน 40,000 เว็บไซต์

ปลั๊กอิน “WP Product Review Lite” เป็นปลั๊กอินที่จะช่วยให้ผู้ใช้งานทำการสร้างเนื้อหาและบทความอัตโนมัติโดยใช้เทมเพลตที่กำหนดไว้

ช่องโหว่เกิดจากการบายพาสพารามิเตอร์ถูกตั้งค่าภายในแอตทริบิวต์ HTML ซึ่งจะทำให้ผู้โจมตีสามารถส่งสคริปต์ที่เป็นอันตรายไปเพื่อทำการจัดเก็บข้อมูลในฐานข้อมูลของเว็บไซต์เป้าหมายหรือเพื่อทำการรีไดเร็คผู้ใช้งานไปเว็ปไซต์ที่เป็นอันตรายเพื่อขโมยคุกกี้เซสชันและตรวจสอบสิทธิ์ เมื่อได้ข้อมูลครบแล้วผู้โจมตีสามารถยึดครองเว็บไซต์ที่เป้นเป้าหมายได้

ผู้ใช้ควรทำการอัปเดตปลั๊กอิน ”WP Product Review Lite” เป็นเวอร์ชัน 3.7.6 เพื่อป้องกันการใช้ประโยชน์จากช่องโหว่ ทำการโจมตีเพื่อเข้ายึดเว็บไซต์และการรีไดเร็คผู้เยี่ยมชมหรือผู้ดูแลระบบไปยังเว็บไซต์ที่เป็นอันตราย

ที่มา: securityaffairs

พบช่องโหว่ XSS CVE-2018-15605 ใน phpMyAdmin เป็นช่องโหว่ในส่วน file import ทำให้ผู้โจมตีสามารถใส่คำสั่ง Payload เพื่อโจมตีผู้ใช้ผ่านทางไฟล์ที่สร้างขึ้นเป็นพิเศษด้วยการ import ไฟล์นั้น โดยความความรุนแรงของช่องโหว่นี้อยู่ในระดับปานกลางและมีผลกับ phpMyAdmin เวอร์ชันเก่ากว่า 4.8.3

อัปเดตเป็น phpMyAdmin รุ่น 4.8.3 หรือใหม่กว่า หรือสามารถแพตช์ช่องโหว่นี้ได้โดยดูรายละเอียดจาก
github

ที่มา : phpmyadmin

สำหรับผู้ใช้งานทั่วไป ให้ทำการตรวจสอบการดำเนินการเพื่อป้องกันการโจมตีดังนี้
- ในกรณีที่ผู้ใช้งานมีการใช้ Drupal 8 ให้ทำการดาวโหลดไปเป็น Drupal 8.5.2 ถึง 8.4.7
- สำหรับ Drupal 7.x ที่ใช้งาน CKEditor ในเวอร์ชัน 7.x-1.18 จาก CDN โดยตรงจะไม่ได้รับผลกระทบจากช่องโหว่นี้ อย่างไรก็ตามหากมีการติดตั้งไลบรารีจากช่องทางอื่น และ CKEditor ที่ติดตั้งเองนั้นอยู่ในช่องรุ่น 4.5.11 - 4.9.1 ให้ทำการอัปเดตไปเป็น CKEdit 4.9.2 โดยทันที
Recommendation Drupal ออกประกาศเตือนช่องโหว่ XSS ความรุนแรงระดับ "เกือบ" วิกฤติ

Drupal ได้มีการประกาศแพตช์ด้านความปลอดภัยรหัส SA-CORE-2018-003 ซึ่งเป็นช่องโหว่ XSS ในไลบรารี CKEditor ที่ความรุนแรงระดับสูง (moderately critical) ช่องโหว่ XSS สามารถช่วยให้ผู้โจมตีเข้าถึงข้อมูลในการยืนยันตัวตนและปลอมแปลงเป็นผู้ใช้งานอื่นได้

ที่มา:drupal

นักวิจัยด้านความปลอดภัย Logan Kipp จาก SIteLock ได้มีการรายงานการค้นพบช่องโหว่ XSS บนส่วนเสริม Product Vendors เวอร์ชัน 2.0.35 และก่อนหน้าของปลั๊กอิน WooCommerce ซึ่งถูกใช้งานในเว็บไซต์ขายของออนไลน์กว่า 28% ซึ่งส่งผลให้ผู้โจมตีอาจสามารถใช้ช่องโหว่ดังกล่าวในการเข้าถึงข้อมูลที่เป็นความลับของระบบได้

Logan Kipp กล่าวว่าช่องโหว่ในลักษณะ reflected XSS นี้อาจนำไปสู่การบังคับรันสคริปต์ที่เป็นอันตรายโดยที่ผู้ใช้งานไม่รู้ตัวได้ อีกทั้งอาจทำให้ผู้โจมตีได้รับสิทธิ์ของผู้ดูแลเว็บไซต์ที่สามารถจัดการการตั้งค่าต่างๆ ของเว็บไซต์ได้

ผู้พัฒนาเว็บไซต์สามารถลดความเสี่ยงจากช่องโหว่นี้ได้โดยการเปิดใช้งานฟีเจอร์ Automatic Updates ซึ่งจะช่วยในการอัพเดตปลั๊กอินต่างๆ ให้เป็นเวอร์ชันล่าสุดโดยอัตโนมัติ

ที่มา : threatpost

Curesec Research Team บริษัทวิจัยด้านความปลอดภัย ได้มีการประกาศการค้นพบช่องโหว่จำนวน 3 ช่องโหว่บน pfsense เวอร์ชัน 2.3.2 โดยมีช่องโหว่ความร้ายแรงสูง
สำหรับช่องโหว่แรกเป็นช่องโหว่ CSRF ส่งผลให้ผู้โจมตีสามารถสร้างหรือลบการตั้งค่าของไฟร์วอลล์ได้ผ่านทางการส่งรีเควสต์ CSRF ไปที่หน้า easyrule.

Yann Cam นักวิจัยด้านความปลอดภัยประเทศฝรั่งเศส พบช่องโหว่ Reflected XSS ในหน้าเข้าสู่ระบบของ Fortinet (login.fortinet.

Facebook ได้ปิดช่องโหว่ various cross-site scripting (XSS) ที่ค้นพบโดยบริษัท Break Security ซึ่งเป็นบริษัทที่ให้บริการเกี่ยวกับการทดสอบความปลอดภัยของปรแกรม โดยช่องโหว่ที่พบนั้นพบในระบบ Messenger และระบบ Check in ของ Facebook เนื่องจาก Facebook ไม่มีการตรวจสอบค่าที่พิมพ์เข้าไป ทำให้แฮกเกอร์สามารถฝังโค้ด Java Script ลงไปใน Chat Box ได้ เมื่อเหยื่อเปิดอ่านข้อความที่ฝัง Java Script ไว้ก็จะเป็นการสั่งรันโค้ดบนเครื่องของเหยื่อโดยอัติโนมัติ และในระบบ Check in แฮกเกอร์สามารถฝังโค้ด Java Script เข้าไปในสถานที่ที่แฮกเกอร์สร้างขึ้นมาได้เช่นกัน

ที่มา: h-online