คลังเก็บป้ายกำกับ: THREATS_UPDATE

FBI เตือน หน่วยงานทางด้านสาธารณสุขอาจถูกโจมตีทาง FTP Server

FBI ได้ออกมาเตือนถึงอาชญากรรมไซเบอร์ในปัจจุบันที่มุ่งเน้นการเข้าถึงข้อมูลทางการแพทย์ที่วางอยู่บนระบบ File Transfer Protocol (FTP) Server

Credit: ShutterStock.com

 

ระบบ FTP Server ที่ไม่ปลอดภัยนี้จะเปิดให้เหล่าอาชญากรไซเบอร์สามารถเข้าถึงข้อมูลส่วนตัวของผู้ป่วยเพื่อนำไปใช้ในการข่มขู่หรือวัตถุประสงค์อื่นๆ ได้ โดยเฉพาะอย่างยิ่ง FTP Server ที่เปิดให้มีการเข้าถึงได้ผ่านทางผู้ใช้งานแบบ anonymous

นอกจากนี้ในรายงาน FTP: The Forgotten Cloud ของ University of Michigan ที่เผยแพร่ออกมาเมื่อปี 2015 นั้น ก็ได้ระบุว่ามี FTP Server เกินกว่า 1 ล้านเครื่องที่ถูกตั้งค่าอย่างไม่ปลอดภัย และเปิดให้ผู้ใช้งานแบบ anonymous สามารถเข้าถึงข้อมูลสำคัญที่ถูกจัดเก็บอยู่ได้ อีกทั้งยังสามารถใช้ FTP Server เหล่านี้เป็นฐานในการจัดเก็บเครื่องมือสำหรับใช้ในการโจมตี เพื่อใช้โจมตีผู้ใช้งานรายอื่นๆ ต่อไปได้อีกด้วย

FBI ออกมาเตือนในครั้งนี้ได้มุ่งเน้นไปที่ระบบทางการแพทย์ที่มักจะมีความล้าสมัยโดยเฉพาะ เพื่อไม่ให้ข้อมูลส่วนตัวสำคัญของผู้ป่วยนั้นหลุดออกไปยังเหล่าผู้ไม่ประสงค์ดีนั่นเอง แต่ในความเป็นจริงแล้วการป้องกัน FTP Server ให้มีความมั่นคงปลอดภัยนั้นก็ถือเป็นสิ่งที่ควรจะทำในทุกๆ ธุรกิจและทุกๆ อุตสาหกรรมอยู่แล้ว

 

ที่มา: https://www.infosecurity-magazine.com/news/fbi-warns-on-ftp-attacks/

from:https://www.techtalkthai.com/fbi-warns-about-ftp-server-attack-in-healthcare-industry/

Advertisements

พบช่องโหว่บน Symantec API เสี่ยงถูกขโมย Private Key

Chris Byrne ที่ปรึกษาด้านความมั่นคงปลอดภัยจาก Cloud Harmonics ออกมาเปิดเผยถึงปัญหาสำคัญในการออกใบรับรอง SSL ของ Symantec จากตัวแทนจำหน่ายและช่องโหว่บน API ในการส่งมอบและบริหารจัดการใบรับรอง SSL ซึ่งช่วยให้แฮ็คเกอร์สามารถขโมยข้อมูล Certificate ออกไปได้ ไม่ว่าจะเป็น Private Key หรือ Public Key รวมไปถึงสามารถออกใบรับรองใหม่และเพิกถอนใบรับรองเหล่านั้นได้

Credit: The Cute Design Studio/ShutterStock

Byrne อธิบายถึงปัญหาที่ค้นพบว่า API ในการร้องขอและส่งมอบใบรับรองของ Symantec ที่ให้ตัวแทนจำหน่ายใช้นั้น เป็นแบบ URI-based UID ซึ่งมีการพิสูจน์ตัวตนที่ไม่ดีเพียงพอ ส่งผลให้แฮ็คเกอร์หรือลูกค้าที่เก่งคอมพิวเตอร์สามารถดักจับอีเมลที่มีลิงค์ที่ API สร้างขึ้น หรือเปลี่ยนพารามิเตอร์บน UID ของตนเพื่อเข้าถึงข้อมูลใบรับรอง SSL ของลูกค้าคนอื่นได้ ผลลัพธ์คือแฮ็คเกอร์สามารถขโมย Private Key, Public Key, เพิกถอนใบรับรอง หรือออกใบรับรองใหม่ได้

Byrne ค้นพบช่องโหว่นี้และรายงานไปยัง Symantec ตั้งแต่ปี 2015 ซึ่งทาง Symantec ก็รับทราบและขอร้องให้ยังไม่เปิดเผยข้อมูลดังกล่าว พร้อมทั้งสัญญาว่าจะแก้ไขปัญหาทั้งหมดภายใน 2 ปี อย่างไรก็ตาม หลังจากที่ Google ออกมาประกาศลดความน่าเชื่อถือของใบรับรอง SSL จาก Symantec บน Google Chrome ลงเมื่อสัปดาห์ที่ผ่านมา เนื่องจากพบปัญหาหลายประการระหว่างบริษัทกับตัวแทนจำหน่าย ทำให้ Byrne ตัดสินใจออกมาเปิดเผยปัญหาดังกล่าว

“จากประสบการณ์และการกระทำของ Google จนถึงตอนนี้ แสดงให้เห็นว่า Symantec ไม่ได้แก้ไขปัญหาอย่างจริงจังตามที่สัญญาไว้” — Byrne ระบุ

อย่างไรก็ตาม Byrne ไม่สามารถยืนยันได้ว่าช่องโหว่ที่เขาค้นพบกับช่องโหว่ที่ Google เจอนั้นเป็นช่องโหว่เดียวกันหรือไม่ และยังไม่มีหลักฐานหรือการ PoC ที่ชัดเจนว่าสามารถโจมตีช่องโหว่ได้จริง

ล่าสุด Symantec ออกมาชี้แจงถึงประเด็นดังกล่าวว่า ช่องโหว่ที่ Byrne กล่าวมาไม่น่าจะสร้างปัญหาหรือเป็นอันตรายต่อการใช้งานจริงแต่อย่างใด แต่ทาง Symantec ยินดีที่จะจัดการปัญหาในกรณีที่มีงานวิจัยหรือมีการ PoC ออกมา และ Symantec ยืนยันว่ายังไม่พบการเข้าถึง Private Key โดยไม่ได้รับอนุญาตแต่อย่างใด

ที่มา: http://thehackernews.com/2017/03/symantec-ssl-certificates.html

from:https://www.techtalkthai.com/symantec-api-flaw-leads-to-certificate-stolen/

ผลวิเคราะห์ชี้เกือบ 97% ของใบรับรอง SSL ที่ออกโดย Let’s Encrypt ถูกใช้บนเว็บ Phishing

Vincent Lynch ผู้เชี่ยวชาญด้านการเข้ารหัสข้อมูลจาก The SSL Store ออกมาเผยผลวิเคราะห์ตัวอย่างเว็บไซต์ที่ใช้ใบรับรอง SSL ฟรีที่ออกโดย Let’s Encrypt รวม 1,000 โดเมน พบว่าประมาณ 96.7% เป็นเว็บไซต์ Phishing ที่แฮ็คเกอร์สร้างขึ้นมาหลอกผู้ใช้ โดยบางเว็บแม้จะมีคำว่า “PayPal” ก็สามารถจดทะเบียนขอใบรับรอง SSL ได้

การวิเคราะห์ของ Lynch ช่วยยืนยันสั่งที่นักวิจัยด้านความมั่นคงปลอดภัยกังวลเกี่ยวกับการให้บริการใบรับรอง SSL ฟรี เนื่องจากแฮ็คเกอร์เจ้าของเว็บ Phishing นักต้มตุ๋นบนอินเทอร์เน็ต และนักพัฒนามัลแวร์สามารถเนียนขอจดทะเบียนใบรับรอง SSL และเปลี่ยนเว็บของตัวเองให้เป็น HTTPS เพื่อเพิ่มความน่าเชื่อถือ ทั้งที่จริงการจดทะเบียนแบบบ Domain Validated (DV) นั้นทำได้ง่ายมาก และไม่มีสิ่งยืนยันว่าเป็นเว็บไซต์เป็นเว็บของผู้ให้บริการจริงหรือเป็นเว็บ Phishing

ครั้งแรกที่ใบรับรองของ Let’s Encrypt ถูกใช้ในแคมเปญ Malvertising ค้นพบโดย Trend Micro เมื่อเดือนมกราคมปี 2016 ที่ผ่านมา หลังจากนั้น ก็พบเคสอื่นๆ แฮ็คเกอร์ใช้ Let’s Encrypt เป็นเครื่องมือในการหลอกลวงผู้ใช้มากมาย ล่าสุด Lynch พบว่าตั้งแต่ต้นเดือนมีนาคมที่ผ่านมา ใบรับรอง SSL รวม 988 ฉบับของ Let’s Encrypt มีคำว่า “PayPal” ประกอบอยู่ แต่มีเพียง 4 ฉบับเท่านั้นที่ถูกใช้เพื่อให้บริการอย่างถูกต้องตามกฎหมาย

แผนภาพด้านล่างแสดงจำนวนโดเมนที่มีคำว่า PayPal ประกอบอยู่ ตั้งแต่เดือนมีนาคม 2016 จนถึงเดือนกุมภาพันธ์ 2017 จะเห็นว่าตั้งแต่ประมาณเดือนพฤศจิกายนเป็นต้นมา เว็บไซต์ Phishing ที่ใช้ธีม PayPal เริ่มปรากฏให้เห็นเป็นจำนวนมาก และบางชื่อโดเมนก็เห็นได้ชัดเลยว่าถูกสร้างขึ้นเพื่อหลอกผู้ใช้

ก่อนหน้านี้ MaYaSeVeN นักวิจัยด้านความมั่นคงปลอดภัยชื่อดังของไทย ก็เคยออกมาโพสต์ใน Blog แจ้งเตือนเกี่ยวกับการดูเว็บ Phishng ว่า “ถ้าเราอยากจะทำเว็บให้เป็น HTTPS ด้วย SSL Certificate แบบ DV นั้นง่ายมากไม่ถึง 5 นาทีก็เสร็จ เพราะ CA จะยืนยันแค่ว่าเราเป็นเจ้าของ domain จริงหรือเปล่าเท่านั้น เป็นสาเหตุให้พวกโจรไปจดชื่อ domain คล้ายๆเช่น paypal-accountinfo.com แล้วมาใช้ SSL Certificate DV ได้ ทำให้ SSL Certificate แบบนี้ความน่าเชื่อถือต่ำสุดและไม่มีชื่อองค์กรบน address bar”

จนถึงต้นเดือนมีนาคมนี้ Let’s Encrypt ออกใบรับรอง SSL ให้ที่มีคำว่า “PayPal” ประกอบอยู่รวมแล้ว 15,270 ฉบับ คาดว่ามากกว่า 14,000 เว็บไซต์เป็นเว็บ Phishing แต่ข่าวดีคือ เว็บไซต์เหล่านี้เฉลี่ยแล้วจะอยู่ได้เพียง 2 วันเท่านั้น ก่อนที่จะโดนเว็บเบราเซอร์ Blacklist ว่าเป็นเว็บอันตราย หรือถูกปิดโดยบริษัทที่ให้บริการโฮสติ้ง (อ้างอิงจาก CYREN)

ดังนั้นแนะนำให้ผู้ใช้อย่าคิดว่า ขอเพียงแค่เห็นสัญลักษณ์รูปแม่กุญแจสีเขียวบน Address Bar และเว็บไซต์เป็น HTTPS จะปลอดภัย ควรพิจารณาชื่อ URL และพฤติกรรมของเว็บไซต์นั้นๆ ว่าจะต้องไม่มีการหลอกถามข้อมูลเกินความจำเป็น ดูวิธีตรวจสอบเว็บ Phishing ได้ที่ “วิธีดูเว็บจริงเว็บปลอมใน 5 วินาทีและประเภทของ SSL Certificates”

ดูผลวิเคราะห์ฉบับเต็ม: https://www.thesslstore.com/blog/lets-encrypt-phishing/

ที่มาและเครดิตรูปภาพ: https://www.bleepingcomputer.com/news/security/14-766-lets-encrypt-ssl-certificates-issued-to-paypal-phishing-sites/

from:https://www.techtalkthai.com/97-percent-of-lets-encrypt-ssl-certificate-used-for-phishing-sites/

เตือนช่องโหว่บน Moodle ระบบ e-Learning ยอดนิยม พบสาเหตุมาจาก “ตรรกะ”​ ผิดพลาด

Netanel Rubin นักวิจัยด้านความมั่นคงปลอดภัยออกมาเปิดเผยถึงช่องโหว่บน Moodle ระบบ CMS สำหรับบริหารจัดการ e-Learning ยอดนิยม ซึ่งช่วยให้แฮ็คเกอร์สามารถเข้าควบคุมเว็บไซต์โดยมีสิทธิ์เป็น Admin รวมไปถึงลอบส่งโค้ด PHP เข้ามารันบน Web Server ได้ แนะนำให้สถานศึกษารีบอัปเดตแพทช์โดยทันที

Moodle เป็นแพลตฟอร์ม Open-source สำหรับให้บริการเว็บไซต์แบบ e-Learning ที่นักศึกษาและคณาจารย์สามารถเชื่อมต่อหากันได้ ส่งผลให้เป็นแพลตฟอร์มที่มหาวิทยาลัย โรงเรียน และสถานศึกษาจากทั่วโลกนิยมใช้ ปัจจุบันนี้มีเว็บไซต์ E-Learning ที่เบื้องหลังเป็น Moodle รวมแล้วมากกว่า 78,000 เว็บจาก 234 ประเทศทั่วโลก และมีผู้ใช้มากกว่า 100 ล้านคน

สัปดาห์ที่ผ่านมา Moodle ได้ออกแพทช์ใหม่สำหรับแพลตฟอร์มหลายเวอร์ชัน ได้แก่ 3.2.2, 3.1.5, 3.0.9 และ 2.7.19 โดยระบุใน Release Note ว่า ได้ทำการแก้ไขปัญหาด้านความมั่นคงปลอดภัยหลายรายการ แต่ไม่ได้ระบุรายละเอียดแต่อย่างใด ส่งผลให้ Rubin ทำการตรวจสอบแพทช์ดังกล่าว และค้นพบช่องโหว่หลายรายการ ถึงแม้ว่าช่องโหว่เหล่านั้นจะไม่ได้มีความรุนแรงมากนัก แต่เมื่อนำมารวมกับกลับช่วยให้แฮ็คเกอร์สามารถสร้างบัญชีระดับ Admin แบบลับๆ และลอบส่งโค้ด PHP เข้ามารันบน Web Server ได้

Rubin ระบุใน Blog ของเขาว่า ช่องโหว่ที่ค้นพบส่วนใหญ่เกิดจากสมมติฐานที่ผิดพลาดของนักพัฒนา ไม่ว่าจะเป็นตรรกะที่มีช่องโหว่, Object Injection, Double SQL Injection และ Dashboard บริหารจัดการที่มีสิทธิ์มากเกินไป ซึ่งตรรกะที่ผิดพลาดนี้เกิดจากการเขียนฟังก์ชันใหม่โดยไม่สนใจการตัดสินใจของฟังก์ชันเดิมที่นักพัฒนาคนอื่นได้ทำไว้ ส่งผลให้ Moodle มีโค้ดมากเกินไป นักพัฒนาที่มากเกินความต้องการ แต่กลับขาดการจัดทำเอกสาร

อย่างไรก็ตาม ถือว่ายังพอโชคดีที่การเจาะช่องโหว่แฮ็คเกอร์จำเป็นต้องมีบัญชีและพิสูจน์ตัวตนเข้าไปก่อน แต่อย่าลืมว่า Moodle เป็นเว็บสำหรับคณาจารย์และนักศึกษาที่มีผู้ใช้ลงทะเบียนเป็นจำนวนมาก การปลอมเป็นนักศึกษาหรือขโมยบัญชีไม่ใช่เรื่องยากเกินความสามารถของแฮ็คเกอร์แต่อย่างใด วิธีการที่ดีที่สุดคือการอัปเดตแพทช์ล่าสุดเพื่ออุดช่องโหว่

อ่านรายละเอียดช่องโหว่เชิงเทคนิค: http://netanelrub.in/2017/03/20/moodle-remote-code-execution/

ที่มา: http://www.csoonline.com/article/3183533/security/flaws-in-moodle-cms-put-thousands-of-e-learning-websites-at-risk.html

from:https://www.techtalkthai.com/moodle-login-flaw/

WikiLeaks เผยเอกสารชุดใหม่ เครื่องมือแฮ็ค Mac และ iPhone

เมื่อวานนี้ WikiLeaks ออกมาเปิดเผยเอกสารลับใหม่อีก 12 ฉบับ ซึ่งระบุรายละเอียดของเครื่องมือและเทคนิคที่พวกเขาอ้างว่า หน่วยข่าวกรองของสหรัฐฯ หรือ CIA ใช้เพื่อแฮ็คอุปกรณ์ของ Apple ไม่ว่าจะเป็น Mac หรือ iPhone

เอกสารเหล่านี้มีโค้ดเนมว่า Dark Matter เป็นส่วนหนึ่งของซีรี่ย์ Vault7 ชุดเครื่องมือแฮ็คที่ WikiLeaks ระบุว่าหลุดมาจากศูนย์ Cyber Intelligence ของ CIA โดยเป็นชุดเอกสารลับต่อจาก Year Zero ที่เปิดเผยไปเมื่อต้นเดือนมีนาคมที่ผ่านมา

Dark Matter ประกอบด้วยเอกสารทั้งหมด 12 ฉบับ ระบุเครื่องมือสำหรับแฮ็คระบบปฏิบัติการ macOS และ iOS รวมไปถึงรายละเอียดการใช้เครื่องมือเหล่านั้น

ยกตัวอย่างเช่น Sonic Screwdriver เป็นเครื่องมือที่เจ้าหน้าที่ CIA สามารถโจมตีอุปกรณ์ผ่านทาง Apple Thunderbolt-to-Ethernet Adapter ซึ่งช่วยให้เจ้าหน้าที่สามารถส่งโค้ดแปลกปลอมเข้าไปรันผ่านทาง USB, CD, DVD หรือ Portable Hard Drive ขณะที่ Mac กำลังเริ่มรันระบบปฏิบัติการได้ ถึงแม้ว่าเครื่อง Mac จะมีการใส่รหัสผ่านไว้ก็ตาม

หรือ NightSkies เป็นชุดเครื่องมือสำหรับใช้แฮ็ค iPhone โดยเอกสารระบุวันที่ว่า ออกเมื่อเดือนกรกฎาคม 2008 หรือ 1 ปีหลังจากที่ iPhone เปิดตัว ซึ่งช่วยให้เจ้าหน้าที่ CIA สามารถอัปโหลด ดาวน์โหลด และสั่งรันมัลแวร์บน Apple iPhone 3G เวอร์ชัน 2.1 ได้

ที่น่ากลัวคือ ถึงแม้ว่าเจ้าหน้าที่ CIA จะต้องเข้าถึงตัวเครื่องเพื่อติดตั้ง NightSkies โดยตรง แต่เมื่อติดตั้งลงไปได้แล้ว NightSkies จะทำงานก็ต่อเมื่อตรวจจับได้ว่าผู้ใช้กำลังเล่นมือถืออยู่ โดยจะซ่อนทราฟฟิกของตนเองไปพร้อมๆ กับทราฟฟิกของผู้ใช้ นอกจากนี้ WikiLeaks อ้างว่า NightSkies ถูกออกแบบมาให้ฝังตัวเองลงบนอุปกรณ์ที่เพิ่งทำเสร็จ ออกจากโรงงานได้อย่างยอดเยี่ยม นั่นหมายความว่า CIA สามารถลอบติดตั้ง NightSkies ผ่านทาง Supply Chain เพื่อคอยสอดแนมและโจมตีแบบ State-sponsor โดยที่ผู้ใช้ไม่รู้ตัวได้ทันที

จนถึงตอนนี้ CIA ยังไม่ได้ออกมายอมรับอย่างเป็นทางการว่าเอกสารที่ WikiLeaks แฉออกมานั้นมาจากทาง CIA จริง

ที่มา: https://www.bleepingcomputer.com/news/government/new-wikileaks-dump-provides-details-on-cias-mac-and-iphone-hacking-tools/

from:https://www.techtalkthai.com/wikileaks-dark-matter-mac-iphone-hacking-tools/

แฮ็ค iCloud เรียกค่าไถ่ Apple ขู่พร้อมลบ iPhone 300 ล้านเครื่อง

กลุ่มแฮ็คเกอร์นาม “Turkish Crime Family” ออกมาประกาศเรียกค่าไถ่จาก Apple เป็นเงินกว่า 2.6 ล้านบาท หลังอ้างว่าสามารถแฮ็ค iCloud ของผู้ใช้รวมแล้วกว่า 300 ล้านรายชื่อ และพร้อมลบข้อมูลส่วนตัวของผู้ใช้เหล่านั้นทิ้งถ้า Apple ไม่ทำตามข้อเรียกร้อง

เว็บไซต์ Motherboard ออกมาเปิดเผยเรื่องดังกล่าวเมื่อวันอังคารที่ผ่านมา หลังจากบุคคลที่อ้างว่าเป็นหนึ่งในกลุ่มแฮ็คเกอร์ ส่ง Screenshot ของอีเมลที่ระบุว่าเป็นการสนทนาระหว่างแฮ็คเกอร์กับทีมความมั่นคงปลอดภัยของ Apple โดยเนื้อหาในอีเมลระบุ “เราแค่ต้องการเงิน และคิดว่านี่น่าจะเป็นการรายงานที่น่าสนใจที่ลูกค้าหลายรายของ Apple จะสนใจอ่านหรือฟัง”

Screenshot ของอีเมลที่แฮ็คเกอร์ส่งมานั้น แสดงให้เห็นว่าทีมความมั่นคงปลอดภัยของ Apple ร้องขอให้แสดงตัวอย่างรายชื่อผู้ที่ถูกแฮ็คเพื่อยืนยันคำกล่าวอ้างดังกล่าว ซึ่งกลุ่มแฮ็คเกอร์ก็ได้ส่งวิดีโอ YouTube สาธิตการเข้าถึงหนึ่งในรายชื่อที่แฮ็คได้ และทำการลบข้อมูลทั้งหมดให้ดูเป็นตัวอย่าง พร้อมเรียกร้องให้ Apple จ่ายค่าไถ่ $75,000 ในรูปของ Bitcoin หรือ Ethereum ภายในวันที่ 7 เมษายนนี้ มิเช่นนั้นจะลบข้อมูลผู้ใช้ทิ้งทั้งหมด

อย่างไรก็ตาม คำกล่าวอ้างนี้มีข้อผิดสังเกตอยู่ กล่าวคือ ในอีเมลระบุจำนวนบัญชี iCloud ที่แฮ็คได้มี 300 ล้านรายชื่อ แต่บนบัญชี Twitter ของแฮ็คเกอร์กลับระบุจำนวนเพียงแค่ 200 ล้านเท่านั้น และในอีเมลอีกฉบับหนึ่งกลับระบุว่ามีจำนวน 559 ล้านรายชื่อ

จนถึงตอนนี้ เป็นเรื่องยากที่จะระบุว่าคำกล่าวอ้างของแฮ็คเกอร์เป็นจริงหรือไม่ ซึ่งทาง Apple ได้ออกมาเตือนกลุ่มแฮ็คเกอร์ว่า บริษัทไม่มีนโยบายในการให้รางวัลแก่อาชญากรไซเบอร์ที่ทำผิดกฏหมาย และเรียกร้องให้แฮ็คเกอร์ลบวิดีโอดังกล่าวทิ้งไปซะ

เพื่อปกป้อง iCloud ของตนเองให้มั่นคงปลอดภัย Apple แนะนำให้ผู้ใช้ทุกคนเปลี่ยนรหัสผ่านของ iCloud ใหม่ให้แข็งแรงยิ่งขึ้นทันที และเปิดใช้งานการพิสูจน์ตัวตนแบบ 2-Factor Authentication

ที่มา: http://thehackernews.com/2017/03/hacking-apple-icloud-account.html

from:https://www.techtalkthai.com/hackers-ask-apple-to-pay-ransom/

พบช่องโหว่ Zero-day บน Apache เสี่ยงถูกโจมตีแบบ Remote Code Execution

สัปดาห์ที่ผ่านมา Talos ทีมนักวิจัยด้าน Threat Intelligence ของ Cisco ออกมาเปิดเผยถึงช่องโหว่ Zero-day บน Apache Struts2 ซึ่งช่วยให้แฮ็คเกอร์สามารถโจมตีแบบ Remote Code Execution (RCE) ผ่านทางพารามิเตอร์ Content-Type ได้ ล่าสุดนักวิจัยจาก HPE ขยายผลช่องโหว่ พบว่าสามารถโจมตีผ่านพารามิเตอร์อื่นได้ด้วยเช่นกัน

ช่องโหว่ดังกล่าวมีรหัส CVE-2017-5638 เป็นช่องโหว่บน Jakarta Multipart Parser Library ใน Apache Struts2 เวอร์ชัน 2.3.x (2.3.5 – 2.3.31) และ 2.5.x (ก่อน 2.5.10.1) ซึ่งช่วยให้แฮ็คเกอร์สามารถลอบส่งคำสั่งหลากหลายประเภทให้เข้ามารันผ่านทางพารามิเตอร์ Content-Type ได้ ตั้งแต่คำสั่ง “whoami” ไปจนถึงชุดคำสั่งสำหรับดาวน์โหลด ELF Executable มารันบน Web Server

ล่าสุด I-SECURE ผู้ให้บริการ Managed Security Services ชื่อดัง ออกมาโพสต์อัปเดตช่องโหว่ดังกล่าวว่า @Alvaro_munoz นักวิจัยจาก HPE ได้ทำการค้นคว้าช่องโหว่เพิ่มเติม พบว่า Apache Struts2 ไม่ได้มีช่องโหว่ที่พารามิเตอร์ Content-Type เพียงอย่างเดียว แต่ยังพบในส่วนของพารามิเตอร์ Content-Disposition ซึ่งเป็นส่วน Upload Body Data อีกด้วย โดยเงื่อนไขการเกิดช่องโหว่ คือ

  • มีการใช้งาน JakartaStreamMultipartRequest Library ซึ่งไม่ใช่ Default Library ที่จะนำมาใช้งาน (<constant name=”struts.multipart.parser” value=”jakarta-stream” />)
  • ขนาดของ Content-Length มากกว่าค่าสูงสุดที่ Apache Struts2 กำหนดในการอัปโหลด (Default คือ 2 GB)
  • ชื่อไฟล์มีลักษณะเป็น OGNL (ภาษาสำหรับการดึงค่าหรือการกำหนดของ Java Setting )

หากครบทุกเงื่อนไขตามที่กำหนดก็จะทำให้แฮ็คเกอร์สามารถโจมตีแบบ Remote Code Execution ได้ทันที

“ตอนนี้ช่องโหว่บน Apache Struts2 มีโค้ด POC ออกมาให้ทดสอบเรียบร้อย แนะนำให้ผู้ใช้ Jakarta Multipart Parser อัปเกรด Apache Struts2 ไปเป็นเวอร์ชัน 2.3.32 หรือ 2.5.10.1 โดยเร็ว” — I-SECURE ระบุ

อย่างไรก็ตาม สำหรับองค์กรที่ไม่สามารถอัปเดตแพทช์ได้ทันที สามารถติดต่อทีมงาน I-SECURE หรือ UIH เพื่อเรียกใช้บริการ Managed WAF สำหรับทำ Policy Tuning และ Virtual Patching บน Imperva Web Application Firewall เพื่ออุดช่องโหว่ดังกล่าวได้ทันที

รายละเอียดเพิ่มเติม: http://blog.talosintelligence.com/2017/03/apache-0-day-exploited.html และ
https://community.hpe.com/t5/Security-Research/Struts2-046-A-new-vector/ba-p/6949723#.WNDOFxKGNgf

from:https://www.techtalkthai.com/apache-zero-day-leads-to-remote-code-execution/