แจ้งเตือนช่องโหว่บน CMS สัญชาติไทย เว็บไซต์หน่วยงานรัฐรั่วเพียบ

By: pe3z

on 3 June 2015 - 13:40 Tags:

Topics:

Security

Thailand

Government

เมื่อวานนี้ (2 มิ.ย. 2558) มีการเผยแพร่ช่องโหว่ ที่อ้างว่าเป็นของเว็บแอพพลิเคชันซึ่งถูกพัฒนาและใช้กันมากในหน่วยงานรัฐ สถาบันการศึกษาและหน่วยงานอื่นๆ โดยเป็นช่องโหว่ประเภท SQL injection และกลุ่มแฮกเกอร์ชาวอินเดียเป็นผู้ประกาศช่องโหว่และวิธีการโจมตี

ช่องโหว่นี้จะเป็นการสร้างคำสั่ง SQL ไปยังพารามิเตอร์ &id_sub_menu= ในไฟล์ /core_main/module/web/blog/blog.php ซึ่งส่งผลให้ผู้โจมตีเข้าถึงข้อมูลในระบบได้โดยไม่ได้รับอนุญาต และในกรณีที่เว็บไซต์นั้นมีความปลอดภัยอยู่ในระดับต่ำ ความเสียหายของการโจมตีจะยิ่งร้ายแรงมากขึ้น จากการตรวจสอบพบว่ามีเว็บไซต์ที่มีช่องโหว่นี้อยู่ถึง 53,100 ราย ทางที่ดีที่สุดคือควรหยุดใช้งานในทันทีครับ

แก้ไข: จากความคิดเห็นของผู้อ่าน คาดว่า CMS ตัวนี้มีชื่อว่า OBECLMS ครับ

ที่มา - Thailand Gov Custom Blog WebApp SQL Injection

Hiring! บริษัทที่น่าสนใจ

AISCB

Joint-venture between AIS&SCB with the goal to improve lives of millions though financial innovation

Unilever Thai Trading

Unilever Thai Group of Companies is a fast-moving consumer goods company.

Fillgoods Technology Co., Ltd.

Thailand's E-commerce Solution Platform with Operations and Logistics Services for Online Stores.

Comments

By: btssky

on 3 June 2015 - 14:17 #817311

CMS สัญชาติไทย ชื่อ??

By: pe3z

on 3 June 2015 - 14:45 #817318 Reply to:817311

ไม่มีชื่อระบุไว้เลยจากการดูเบื้องต้นครับ ถ้าตรงนี้มีข้อมูลเพิ่มเติมจะแก้ไขให้นะครับ

By: samaboon on 3 June 2015 - 14:54 #817325 Reply to:817311

เอา path ไปหา google น่าเป็น cms ให้โรงเรียนต่างๆ ใครรู้ชื่อไรช่วยบอกบ้างครับ

By: iCyLand

on 3 June 2015 - 15:03 #817329 Reply to:817325

น่าจะ http://www.ops****.co.th/ มาร์คไว้หน่อยครับ

By: mix5003

on 3 June 2015 - 15:03 #817330 Reply to:817311

น่าจะ OBECLMS ผมลองเอา "core_main/module/web/blog/blog" ไปหา เจอบางเว็บ error ที่ path นี้แล้วมีลิงค์ไป http://www.opstech.co.th/index.php ครับ เลยคิดว่าน่าจะใช่

By: sariarty

on 3 June 2015 - 14:30 #817314

ถึงจะไม่ใช่ CMS นี้

เว็บหน่วยงานรัฐก็รั่วกระจายอยู่แล้ว

ข้าขอทรยศต่อคนทั้งโลก ดีกว่าให้ใครมาทรยศข้า

By: AmidoriA

on 3 June 2015 - 15:47 #817352

แถมตัว CMS มีให้โหลดไปแงะโค้ดกันเองได้ด้วย ยิ่งแฮคกันสบายเลยหละครับ

By: mahadoang

on 3 June 2015 - 15:50 #817355

CMS ตัวนี้ มีช่องโหว่เพียบเลย เลิกใช้เป็นดีที่สุด

By: btssky

on 3 June 2015 - 16:14 #817362

ลองเข้าไปดูแบบสุ่มๆแล้วเจอผลงานที่ hacker ฝากไว้

By: Aoun

on 3 June 2015 - 18:07 #817409 Reply to:817362

ผู้ดูแล เขารู้ยังนี่
1. ยังไม่รู้ ไม่ค่อยเข้ามาดู ทำไปงั้นๆ
2. ยังไม่รู้ ไม่มีใครแจ้ง ไม่ค่อยมีใครเข้าไปดู
3. รู้แล้ว แต่แก้ไมได้ ทำไปตามที่สั่งมา
4. รู้แล้ว แต่ช่างมัน ไม่ว่าง
5. ฯลฯ

By: mr_tawan

on 3 June 2015 - 19:51 #817435 Reply to:817409

หลังหกโมง น่าจะเลิกงานแล้วล่ะครับ

9tawan.net บล็อกส่วนตัวฮับ

By: cwt

on 4 June 2015 - 01:31 #817520 Reply to:817435

ผู้ดูแลรับทราบและกำลังแก้ไขอยู่ครับ

By: puzateam

on 3 June 2015 - 20:16 #817450

น่าจะเป็นงั้นนะครับ ไม่ใช่ว่าโรงเรียนชอบใช้นะ แต่เขานำเสนอมาให้อย่างนี้ก็ใช้ตามๆกันไป
คนที่รู้เรื่องมีไม่ค่อยเยอะหรอกครับ อันที่จริงเขานำเสนอให้ใช้เป็น intranet แต่ส่วนมากเอามาใช้ internet
แต่ถึงยังไงส่วนมากมันก็ไม่ได้มีอะไรมากมายนะเท่าที่ผมเห็น ข้อมูลพื้นฐานทั่วๆไป
เดี๋ยวนี้เห็นกลับมาฮิต wordpress กับ GoogleSite อีกละ ^^

Main menu