คลังเก็บป้ายกำกับ: VULNERABILITY

ข้อมูลเซิร์ฟเวอร์ GoDaddy กว่า 31,000 รายการรั่วสู่สาธารณะ

ตามกระแสกันมาเป็นพรวนสำหรับบริษัทที่นิ่งนอนใจเอาข้อมูลโคตรสำคัญไปฝากไว้บนบั๊กเก็ตของ Amazon S3 แบบไม่ได้เซ็ตความปลอดภัยอย่างเพียงพอ ไม่เว้นแม้แต่บริการรับจดโดเมนรุ่นใหญ่ตั้งแต่สมัยพ่ออย่าง GoDaddy ที่มีลูกค้าถึงปัจจุบันกว่า 18 ล้านราย

โดยนักวิเคราะห์ความเสี่ยงจากบริษัทด้านความปลอดภัยทางไซเบอร์ UpGuardพบไฟล์ที่มีข้อมูลความลับของ GoDaddy เปิดแผ่หลาบนบั๊กเก็ต S3 โดยเป็นข้อมูลอย่างละเอียดของเซิร์ฟเวอร์ที่อยู่เบื้องหลังการให้บริการของGoDaddy กว่า 31,000 รายการ ซึ่งฐานข้อมูลนี้ถูกตั้งชื่อว่า “abbottgodaddy”

ข้อมูลความลับทางการค้าที่ถูกเปิดให้เข้าถึงอย่างอ้าซ่านี้ได้แก่ รายละเอียดด้านสถาปัตยกรรมเกือบทั้งหมด รวมไปถึงการตั้งค่าขั้นสูงของแต่ละเซิร์ฟเวอร์ นอกจากนี้ยังมีสูตรการคิดราคาและส่วนลดสำหรับลูกค้าในหลายกรณี รวมทั้งรายละเอียดยิบย่อยของเซิร์ฟเวอร์อย่างไฟล์ตั้งค่าโฮสต์เนม, สเปกซีพียู, โอเอสที่ใช้ เป็นต้น

ผู้เชี่ยวชาญชี้ว่า จากหลายกรณีที่ข้อมูลรั่วบน AWS S3 ต่อเนื่องรัวๆ ไม่ว่าจะเป็นกรณีของ Verizon, Dow Jones, หรือแม้แต่บริษัทใกล้ตัวอย่างทรูในประเทศไทยเองนั้น สาเหตุล้วนมาจากการตั้งค่าของมนุษย์ที่ผิดพลาด ชนิดว่าแค่ติ๊กเช็คบ็อกส์ผิดไปตัวเดียวก็ชีวิตเปลี่ยนได้ ดังนั้นองค์กรทั้งหลายที่คิดฝากหม้อข้าวหม้อแกงบน IaaS ควรใช้เทคโนโลยีความปลอดภัยเพิ่มเติมควบคุมอีกชั้นด้วย อย่างแอมะซอนตอนนี้ก็มีบริการชื่อ Macie ที่ช่วยค้นหาและปกป้องข้อมูลอ่อนไหวบน AWS ให้แล้ว เป็นต้น

ที่มา : Hackread

from:https://www.enterpriseitpro.net/sensitive-data-on-godaddy-servers-exposed/

Advertisements

เตือนการโจมตีบนช่องโหว่ Oracle WebLogic Server หลังโค้ด PoC เจาะระบบถูกเปิดเผย

พบการโจมตีช่องโหว่บน Oracle WebLogic Server ที่ไม่ได้ทำการอัปเดตแพตช์ด้านความมั่นคงปลอดภัยล่าสุด หลังมีนักวิจัยด้านความมั่นคงปลอดภัยหลายรายเปิดเผยโค้ด PoC สำหรับเจาะช่องโหว่ดังกล่าว เสี่ยงถูกแฮ็กเกอร์เข้าควบคุมระบบ Server แม้ไม่รู้รหัสผ่านได้

ช่องโหว่บน Oracle WebLogic Server นี้มีรหัส CVE-2018-2893 เป็นช่องโหว่บนส่วนประกอบหนึ่งของ Oracle WebLogic Middleware ซึ่งช่วยให้แฮ็กเกอร์สามารถเข้าควบคุม Server จากระยะไกลได้โดยไม่จำเป็นต้องทราบรหัสผ่าน ช่องโหว่ดังกล่าวส่งผลกระทบต่อ Oracle WebLogic เวอร์ชัน 10.3.6.0, 12.1.3.0, 12.2.1.2 และ 12.2.1.3 มีความรุนแรงระดับ Critical และมีคะแนน CVSSv3 9.8/10 แสดงให้เห็นว่าเป็นช่องโหว่ที่โจมตีได้ง่ายและส่งผลกระทบอย่างรุนแรง

Oracle ได้ออกแพตช์เพื่ออุดช่องโหว่นี้เมื่อวันที่ 18 กรกฎาคมที่ผ่านมา โดยไม่ได้เปิดเผยรายละเอียดเกี่ยวกับช่องโหว่เนื่องจากกลัวถูกนำไปใช้ในทางที่ผิด อย่างไรก็ตาม 3 วันหลังจากที่แพตช์ออกมา พบว่ามีโค้ด PoC สำหรับเจาะช่องโหว่ดังกล่าวถูกเผยแพร่ออนไลน์หลายแห่ง จากการตรวจสอบพบว่ามีไม่น้อยกว่า 3 รายการ ส่งผลให้แฮ็กเกอร์หรือผู้ไม่ประสงค์ดีหลายคนเริ่มนำโค้ดเหล่านี้ไปใช้โจมตี Oracle WebLogic Server ไปทั่วโลก

นักวิจัยด้านความมั่นคงปลอดภัยจาก ISC SANS และ Qihoo 360 Netlab ได้ทำการติดตามการโจมตีผ่านช่องโหว่นี้ พบว่ามีกลุ่มแฮ็กเกอร์ไม่น้อยกว่า 2 กลุ่มที่เริ่มนำระบบอัตโนมัติเข้ามาใช้โจมตีช่องโหว่ Oracle WebLogic เป็นวงกว้าง จึงแนะนำให้ผู้ดูแลระบบรีบอัปเดตแพตช์ Oracle CPU ประจำเดือนกรกฎาคม 2018 โดยด่วน

ที่มา: https://www.bleepingcomputer.com/news/security/attacks-on-oracle-weblogic-servers-detected-after-publication-of-poc-code/

from:https://www.techtalkthai.com/oracle-weblogic-servers-attacked-in-the-wild-after-poc-code-appeared-online/

พบช่องโหว่บน Apache Tomcat เสี่ยงถูกขโมยข้อมูลและโจมตีแบบ DoS

Apache Software Foundation (ASF) ออกมาแจ้งเตือนถึงช่องโหว่หลายรายการบน Apache Tomcat หนึ่งในนั้นคือช่องโหว่ความรุนแรงระดับ Important ที่ช่วยให้แฮ็กเกอร์สามารถขโมยข้อมูลสำคัญจากระยะไกลได้ แนะนำให้ผู้ดูแลระบบรีบอัปเดตแพตช์โดยเร็ว

ช่องโหว่ระดับ Important มี 2 รายการ ได้แก่

  • CVE-2018-8037 เป็นช่องโหว่ Information Disclosure มีสาเหตุมาจากบั๊กในการติดตามการปิดการเชื่อมต่อ ซึ่งช่วยให้แฮ็กเกอร์สามารถใช้เซสชันของผู้ใช้ซ้ำได้ในการเชื่อมต่อใหม่ ช่องโหว่นี้ส่งผลกระทบบน Apache Tomcat เวอร์ชัน 8.5.5 ถึง 8.5.311 และ 9.0.0.M9 ถึง 9.0.9 แนะนำให้อัปเดตเป็นเวอร์ชัน 8.5.32 และ 9.0.10 ตามลำดับ
  • CVE-2018-1336 เป็นช่องโหว่บน UTF-8 Decoder ซึ่งมีสาเหตุมาจากการจัดการกับ Overflow ไม่ดีเพียงพอ ก่อให้เกิดลูปไม่สิ้นสุดซึ่งเป็นเงื่อนไขของการโจมตีแบบ DoS ได้ ช่องโหว่นี้ส่งผลกระทบบน Apache Tomcat เวอร์ชัน 7.0.x, 8.0.x, 8.5.x และ 9.0.x แนะนำให้อัปเดตเป็นเวอร์ชัน 7.0.90, 8.0.52, 8.5.32 และ 9.0.7 ตามลำดับ

นอกจากนี้ ASF ยังได้ออกแพตช์สำหรับอุดช่องโหว่การบายพาสกลไกลความมั่นคงปลอดภัย (CVE-2018-8034) บน Apache Tomcat เวอร์ชันล่าสุดอีกด้วย ซึ่งมีสาเหตุมาจากการลืมยืนยัน Hostname เมื่อใช้ TLS กับ WebSocket Client

จนถึงตอนนี้ ASF ยังไม่พบการโจมตีเพื่อเจาะระบบผ่านช่องโหว่ดังกล่าว แต่แนะนำให้ผู้ใช้ Apache Tomcat ทุกคนรีบอัปเดตแพตช์ทั้งหมดเพื่ออุดช่องโหว่โดยเร็ว

ที่มา: https://thehackernews.com/2018/07/apache-tomcat-server.html

from:https://www.techtalkthai.com/information-disclosure-and-dos-vulns-found-in-apache-tomcat/

เตือนช่องโหว่บน Oracle Solaris เสี่ยงถูก Privilege Escalation ระดับ Kernel

Trustwave ผู้ให้บริการโซลูชันด้านความมั่นคงปลอดภัยชื่อดังออกมาแจ้งเตือนถึงช่องโหว่ความรุนแรงระดับสูงบนระบบปฏิบัติการ Solaris 10 และ 11 ซึ่งช่วยให้แฮ็กเกอร์สามารถแก้ไขโค้ดบนหน่วยความจำและโจมตีเพื่อเข้าควบคุมอุปกรณ์ด้วยสิทธิ์ของ Root ได้

ช่องโหว่ดังกล่าวมีรหัส CVE-2018-2892 เป็นช่องโหว่ Privilege Escalation ซึ่งส่งผลกระทบบน Oracle Solaris 10 และ 11 ที่รัน StorageTek Availability Suite (AVS) สำหรับ Filesystem ซึ่งอาจถูกแฮ็กเกอร์ใช้เข้าถึง User หรือ Service Account ระดับต่ำ ก่อนที่จะยกระดับสิทธิ์ตัวเองเป็น Root เพื่อเข้าควบคุมระบบปฏิบัติการทั้งหมดได้

ช่องโหว่นี้มีสาเหตุมาจาก Memory Corruption ซึ่งเป็นปัญหาตั้งแต่ปี 2007 โดยถูกค้นพบและแก้ไขครั้งแรกในปี 2009 อย่างไรก็ตาม นักวิจัยด้านความมั่นคงปลอดภัยของ Trustwave ได้ตรวจสอบโค้ดนี้อีกครั้งหนึ่งแล้วพบว่าปัญหาถูกแก้ไขเพียงบางส่วน ส่งผลให้ยังคงมีวิธีเจาะผ่านช่องโหว่เพื่อโจมตีระบบปฏิบัติการได้

ช่องโหว่นี้ถูกใช้โจมตีบ่อยครั้งในช่วงปี 2007 แต่ไม่มีการยืนยันแน่ชัดว่าหลังจากอัปเดตแพตช์ (ไปบางส่วน) ในปี 2009 แล้ว ช่องโหว่นี้ยังคงตกเป็นเป้าหมายของแฮ็กเกอร์หรือไม่ Trustwave ก็ได้รายงานช่องโหว่นี้ไปยัง Oracle ซึ่งก็ได้ทำการออกแพตช์สำหรับอุดช่องโหว่เป็นที่เรียบร้อย

รายละเอียดเชิงเทคนิค: https://www.trustwave.com/Resources/SpiderLabs-Blog/CVE-2018-2892—Kernel-Level-Privilege-Escalation-in-Oracle-Solaris/

ที่มา: https://www.zdnet.com/article/oracle-fixes-solaris-vulnerability-could-allow-kernel-level-privilege-escalation/

from:https://www.techtalkthai.com/privilege-escalation-vulnerability-found-in-oracle-solaris/

3 เทคนิคการให้ความรู้ด้าน Cyber Security แก่ยูสเซอร์

ปัจจุบันนี้ ความปลอดภัยไม่เพียงอยู่ในรูปกายภาพเท่านั้น ความปลอดภัยทางไซเบอร์ หรือ cyber security ก็กลายเป็นสิ่งสำคัญที่รักษาความมั่นคงทั้งทางธุรกิจและตัวพนักงานเองด้วย

แต่ตัวบริษัทเองมักไม่ได้ชำนาญในเรื่องนี้ จึงเป็นการยากที่จะสื่อสารไปยังพนักงานให้มีความตระหนักอย่างเพียงพอ ดังนั้น ทาง HackRead.com จึงได้แนะนำวิธีสอนพนักงานที่น่าจะง่ายและสะดวกที่สุดดังต่อไปนี้

การอบรมเชิงปฏิบัติที่ควรทำ

แทนที่จะจัดอบรมในห้องแบบเดิมที่แสนน่าเบื่อ เนื่องจากทำให้พนักงานเข้าใจเรื่องความปลอดภัยได้อย่างค่อยเป็นค่อยไป รวมทั้งไปศึกษาต่อด้วยตนเองได้ นอกจากนี้ยังสามารถติดตามความคืบหน้าของการเรียนรู้ ไปจนถึงการฝังเรื่องการสอนนี้อยู่ในงานที่ต้องปฏิบัติเป็นประจำ

การทำเป็นวิดีโอ

ทำให้พนักงานรับรู้และเข้าใจง่ายกว่าอ่านตัวอักษรเป็นพรืด และสร้างทัศนคติที่ดี ทำให้ไม่น่าเบื่อที่จะเรียนรู้ อาจใช้บริการทำวิดีโอสำหรับองค์กรอย่างมืออาชีพเช่น http://www.working-beautifully.co.uk/ รวมทั้งเปิดให้พนักงานสามารถเข้าถึงวิดีโอได้ตลอดเวลา

ติดป้ายเตือนในสำนักงาน

เช่น ติดป้ายหรือโปสเตอร์ตามตำแหน่งต่างๆ เกี่ยวกับข้อควรระวังด้านความปลอดภัย เหมือนกับที่ติดเรื่องของการประหยัดกระดาษ การอย่าลืมปิดไฟก่อนกลับบ้าน เป็นต้น หรืออาจใช้ระบบส่งข้อความไปยังพนักงานทั้งตอนเริ่มงานและเลิกงาน อย่างการตั้งค่าแชตบอทผ่าน Facebook Messenger แบบตัวอย่างนี้ เป็นต้น

ที่มา : Hackread

from:https://www.enterpriseitpro.net/cybersecurity-3-tips-user/

พบช่องโหว่ Spectre 1.1 และ 1.2 Intel มอบเงินรางวัลให้ 3.3 ล้านบาท

2 นักวิจัยด้านความมั่นคงปลอดภัย ออกมาแจ้งเตือนถึงช่องโหว่ Spectre (CVE-2017-5753) แบบใหม่ โดยตั้งชื่อว่า Spectre 1.1 และ Spectre 1.2 ซึ่งตอนนี้ยังไม่มีแพตช์สำหรับอุดช่องโหว่ ในขณะที่ Intel มอบเงินรางวัล $100,000 (ประมาณ 3,300,000 บาท) ให้กับคนทั้งสองที่ช่วยค้นหาช่องโหว่ให้

เช่นเดียวกับช่องโหว่ Meltdown และ Spectre หลากหลายเวอร์ชันก่อนหน้านี้ ช่องโหว่ Spectre ใหม่ที่ค้นพบนี้ยังคงใช้ประโยชน์จากฟีเจอร์ Speculative Execution ซึ่งเป็นเทคนิคการเพิ่มประสิทธิภาพของ CPU สมัยใหม่โดยทำการคำนวณข้อมูลล่วงหน้า เพื่อเตรียมข้อมูลให้พร้อมใช้งาน และค่อยทิ้งข้อมูลเหล่านั้นไปในกรณีที่ไม่ได้ใช้

นักวิจัยทั้งสองระบุว่า Spectre 1.1 ใช้ Speculative Execution ในการลอบส่งโค้ดเข้ามาทำ Buffer Overflow บน CPU Store Cache เพื่อทำการเขียนและรันโค้ดแปลงปลอมซึ่งช่วยให้แฮ็กเกอร์สามารถดึงข้อมูลออกมาจาก CPU Memory ที่ได้รับการปกป้องก่อนหน้านี้ได้ เช่น รหัสผ่าน กุญแจที่ใช้เข้ารหัส หรือข้อมูลความลับอื่นๆ ช่องโหว่ดังกล่าวค่อนข้างคล้ายคลึงกับ Spectre Variant 1 และ 4 แต่นักวิจัยระบุว่า จนถึงตอนนี้ ยังไม่มีการทำ Static Analysis หรือ Compiler Instrumentation ใดที่สามารถตรวจจับและรับมือกับ Spectre 1.1 ได้

สำหรับ Spectre 1.2 นั้น นักวิจัยระบุว่า เป็นช่องโหว่สำหรับบายพาส Read/Write PTE Flags ซึ่งช่วยให้แฮ็กเกอร์สามารถ Overwrite ข้อมูล Read-only Data Memory, Code Metadata และ Code Pointers เพื่อหลบเลี่ยง Sandbox ได้

นักวิจัยทั้งสองได้แจ้งช่องโหว่ทั้งสองรายการนี้ไปยัง Intel และ AMD ซึ่งก็ได้ออกมายอมรับว่า มี CPU บางรุ่นที่มีช่องโหว่ Spectre 1.1 ในขณะที่ Spectre 1.2 นั้น ทางนักวิจัยยังไม่ได้เปิดเผยว่ามี CPU ใดที่ได้รับผลกระทบบ้าง แต่ทั้งสองช่องโหว่ที่กล่าวมานี้ ยังไม่มีแพตช์สำหรับอุดช่องโหว่แต่อย่างใด นอกจากนี้ Microsoft, Oracle และ Red Hat เอง ก็ได้ออกแถลงการณ์ ระบุกำลังตรวจสอบว่า Spectre 1.1 ส่งผลกระทบต่อผลิตภัณฑ์ของตนหรือไม่ รวมไปถึงเตรียมหาวิธีรับมือในระดับซอฟต์แวร์

สุดท้าย Intel ได้ทำการมอบเงินรางวัล $100,000 (ประมาณ 3,300,000 บาท) ให้แก่นักวิจัยทั้งสองคนที่ค้นพบช่องโหว่ Spectre 1.1 และ Spectre 1.2 ตาม Bug Bounty Program ที่ได้เคยประกาศไว้ นับว่าเป็นหนึ่งในรางวัลที่ใหญ่ที่สุดที่ Intel เคยมอบให้จนถึงตอนนี้

อ่านงานวิจัยฉบับเต็มได้ที่: https://people.csail.mit.edu/vlk/spectre11.pdf

ที่มา: https://www.bleepingcomputer.com/news/security/new-spectre-11-and-spectre-12-cpu-flaws-disclosed/ และ https://thehackernews.com/2018/07/intel-spectre-vulnerability.html

from:https://www.techtalkthai.com/new-spectre-1-1-and-spectre-1-2-cpu-flaws-disclosed/

เตือนช่องโหว่บน HPE iLO 4 Server บายพาสการพิสูจน์ตัวตนได้ด้วยการพิมพ์ A 29 ตัว

ประกาศแจ้งเตือนผู้ใช้ HPE Integrated Lights-Out 4 (iLO 4) Servers รีบอัปเดตแพตช์ล่าสุดเพื่ออุดช่องโหว่โดยด่วน หลังพบว่ามีการเผยแพร่รายละเอียดและโค้ดโจมตีช่องโหว่ความรุนแรงระดับ Critical ซึ่งช่วยให้แฮ็กเกอร์สามารถเข้าถึงข้อมูลสำคัญขององค์กรได้

Credit: ShutterStock.com

ช่องโหว่ดังกล่าวถูกค้นพบโดยทีมนักวิจัยด้านความมั่นคงปลอดภัย 3 คนเมื่อปีที่ผ่านมา มีรหัส CVE-2017-12542 และมีคะแนนความรุนแรง CVSS ระดับ 9.8/10 เป็นช่องโหว่บน iLO Card ซึ่งทำหน้าที่ช่วยให้ผู้ดูแลระบบสามารถติดตั้งเฟิร์มแวร์ รีเซ็ตเซิร์ฟเวอร์ เข้าถึงคอนโซล อ่าน Log และอื่นๆ จากระยะไกลได้

ช่องโหว่นี้ช่วยให้แฮ็กเกอร์สามารถบายพาสการพิสูจน์ตัวตนและเข้าถึงหน้าคอนโซลของ HPE iLO เพื่อขโมยรหัสผ่าน ลอบรันโค้ดแปลกปลอม หรือลงเฟิร์มแวร์อันตรายทับของเดิมได้ นอกจากสามารถโจมตีจากระยะไกลผ่านอินเทอร์เน็ตได้แล้ว ช่องโหว่ดังกล่าวยังง่ายต่อการโจมตี กล่าวคือ เพียงแค่ใช้คำสั่ง CURL ตามด้วยอักษร A 29 ตัวเท่านั้น

curl -H "Connection: AAAAAAAAAAAAAAAAAAAAAAAAAAAAA”

ดูตัวอย่าง POC บายพาสการพิสูจน์ตัวตนบน iLO Card และขโมยรหัสผ่านผู้ใช้ในรูปของ Cleartext ได้จากรูปด้านล่าง

อย่างไรก็ตาม ทีมนักวิจัยได้รายงานช่องโหว่นี้ไปยัง HPE ซึ่งก็ได้ออกแพตช์ iLO 4 เฟิร์มแวร์เวอร์ชัน 2.54 เพื่ออุดช่องโหว่เรียบร้อยตั้งแต่เดือนสิงหาคม 2017 ที่ผ่านมา สำหรับผู้ที่อัปเดตแพตช์เป็นประจำจะได้รับการป้องกันเป็นที่เรียบร้อย ช่องโหว่นี้ส่งผลกระทบบน iLO 4 Servers ที่รันเฟิร์มแวร์เวอร์ชัน 2.53 หรือก่อนหน้านั้นเท่านั้น iLO 3 และ iLO 5 ต่างไม่ได้รับผลกระทบ

คาดว่าสาเหตุที่ทำให้ช่องโหว่นี้เริ่มตกเป็นเครื่องมือช่องแฮ็กเกอร์มาจากการที่ทีมนักวิจัยไปนำเสนอสิ่งที่ตนเองค้นพบในงานสัมมนาด้านความมั่นคงปลอดภัยต่างๆ เช่น ReCon Brussels หรือ SSTIC 2018 พร้อมมีการเปิดเผยรายละเอียดเกี่ยวกับช่องโหว่และโค้ด POC สู่สาธารณะ เมื่อแฮ็กเกอร์เห็นว่าสามารถเจาะระบบได้ง่ายจึงได้นำมาเป็นเครื่องมือโจมตีในขณะนี้

ที่มา: https://www.bleepingcomputer.com/news/security/you-can-bypass-authentication-on-hpe-ilo4-servers-with-29-a-characters/

from:https://www.techtalkthai.com/hpe-ilo-4-server-authentication-bypass/