Security

PHP ถูกแฮกเซิร์ฟเวอร์ Git ใส่ช่องโหว้รันโค้ดจาก HTTP header

By lew

on 29 March 2021 - 16:32 Tag: PHP, Security

PHP

โครงการ PHP ถูกแฮกเซิร์ฟเวอร์ Git ส่ง commit เข้ามาในระบบได้สองครั้ง โดยโค้ดที่คนร้ายยิงเข้ามาเป็นโค้ดที่ตรวจสอบค่า User Agent จาก HTTP header หากพบว่าขึ้นต้นด้วยคำว่า "zerodium" ก็จะรันโค้ดด้านในสตริง

ตอนนี้ทีมงาน PHP ยังสอบสวนอยู่ว่าโค้ดนี้ถูกส่งเข้าเซิร์ฟเวอร์ได้อย่างไร แต่ทีมงานก็ตัดสินใจว่าไม่สามารถดูแลเซิร์ฟเวอร์ Git เองได้อีกต่อไปแล้ว และตัดสินใจย้าย repository ไปใช้ GitHub เป็นหลักแทน

เดิม PHP ใช้ GitHub เป็น repository สำรองเพื่อสำเนาข้อมูลจากเซิร์ฟเวอร์ของตัวเองเท่านั้น การย้ายเซิร์ฟเวอร์มาเป็น GitHub ครั้งนี้ทำให้นักพัฒนาบางส่วนต้องขอสิทธิ์ commit กันใหม่

IETF ประกาศ TLS 1.0/1.1 หมดอายุในเอกสาร RFC8996

By lew

on 28 March 2021 - 18:04 Tag: IETF, Security

IETF

IETF ผู้วางมาตรฐานอินเทอร์เน็ต ออกเอกสาร RFC8996 ให้มาตรฐาน TLS 1.0/1.1 รวมถึง DTLS 1.0 หมดอายุการใช้งาน (deprecated) อย่างเป็นทางการ หลังจากมีรายงานถึงการโจมตีกระบวนการเข้ารหัสของ TLS ทั้งสองเวอร์ชั่นได้หลายครั้ง

ช่องโหว่ของ TLS 1.0 เช่น กระบวนการเข้ารหัสแบบ cipher block chaining (CBC) อาจถูกโจมตี แม้จะแก้ไขไปแล้วแต่ทั้ง TLS 1.0/1.1 ก็ยังรองรับการแฮชแบบ SHA-1 ที่ตอนนี้เหลือระดับความยุ่งเหยิงเพียง 77 บิต เปิดทางให้คนร้ายสามารถสร้างข้อความปลอมที่แฮชตรงกันได้

เซิร์ฟเวอร์ Exchange ทั่วโลกอุดช่องโหว่แล้ว 92%, ไมโครซอฟท์อธิบายกระบวนการโจมตี

By mk

on 28 March 2021 - 10:28 Tag: Exchange, Microsoft, Security

Exchange

จากกรณีช่องโหว่ Microsoft Exchange ที่ถูกใช้โจมตีเป็นวงกว้าง จนไมโครซอฟท์ต้องออกแพตช์ย้อนหลังให้ถึง Exchange 2013 และออกตัวช่วย อื่นๆ เพื่อบรรเทาผลกระทบ

ล่าสุดไมโครซอฟท์ออกมาเผยสถิติว่า 92% ของเซิร์ฟเวอร์ Exchange ทั่วโลกได้รับแพตช์หรือบรรเทาช่องโหว่เรียบร้อยแล้ว รวมถึงออกมาอธิบายวิธีการโจมตีของแฮ็กเกอร์ผ่านช่องโหว่ชุดนี้ด้วย

กูเกิลตั้งกลุ่ม Android Ready SE พัฒนากุญแจรถ-ใบขับขี่ดิจิทัล เก็บในชิป Secure Element

By mk

on 26 March 2021 - 06:42 Tag: Android, Google, Security

Android

กูเกิลประกาศตั้งกลุ่มพันธมิตร Android Ready SE Alliance พัฒนาเทคโนโลยีความปลอดภัยฝั่งฮาร์ดแวร์ (เก็บคีย์ไว้ในโมดูลฮาร์ดแวร์แยกเฉพาะที่ปลอดภัย เช่น Titan M ของ Pixel 3 แต่รวมถึงชิป Secure Element หรือ SE ยี่ห้ออื่นๆ ได้ด้วย)

กลุ่ม Android Ready SE Alliance ตั้งขึ้นเพื่อผลักดันให้เกิดการใช้งานชิป Secure Element และแพลตฟอร์มซอฟต์แวร์ StrongBox ของ Android (นับรวม Android TV, Android Auto, Wear OS) ในด้านต่างๆ เช่น กุญแจรถ-กุญแจบ้านดิจิทัล, ใบขับขี่, บัตรประจำตัวประชาชน, พาสปอร์ต, บริการด้านการเงิน

Chrome เปลี่ยนนโยบาย หากผู้ใช้ไม่พิมพ์โปรโตคอลจะถือว่าเป็น HTTPS เสมอ

By lew

on 24 March 2021 - 00:26 Tag: Chrome, Security, Internet, HTTPS, Browser

Chrome

Chrome ประกาศเปลี่ยนนโยบายตั้งแต่เวอร์ชั่น 90 (ปัจจุบันเป็นเบต้า) ว่าหากผู้ใช้พิมพ์เฉพาะโดเมน จะถือว่าผู้ใช้กำลังเข้าเว็บแบบ HTTPS เสมอ เบราว์เซอร์จะไม่พยายามเข้า HTTP ที่ไม่เข้ารหัสเป็นค่าเริ่มต้นอีกต่อไป

Microsoft อัพเดต Defender ช่วยบรรเทาช่องโหว่ของ Exchange

By nutmos

on 21 March 2021 - 16:08 Tag: Microsoft Defender, Exchange, Microsoft, Security

Microsoft Defender

ก่อนหน้านี้ Microsoft เริ่มพบการโจมตีผ่านช่องโหว่ CVE-2021-26855 ของ Exchange ซึ่งมีผลกระทบเป็นวงกว้าง ทำให้ทางบริษัทต้องออกตัวช่วยบรรเทาผลกระทบย้อนไปจนถึงเวอร์ชัน 2013 ล่าสุดท่าทีจาก Microsoft คือจะปล่อยอัพเดตให้ Microsoft Defender Antivirus ช่วยป้องกันการโจมตีผ่านช่องโหว่นี้อีกทาง

เฟซบุ๊กรองรับการล็อกอินด้วยกุญแจ FIDO บนโทรศัพท์มือถือ

By lew

on 18 March 2021 - 21:24 Tag: Facebook, FIDO, Security

Facebook

เฟซบุ๊กประกาศรองรับการล็อกอินขั้นตอนที่สองด้วยกุญแจ FIDO บนโทรศัพท์มือถือ จากเดิมที่ใช้งานบนเว็บมาตั้งแต่ปี 2017

เฟซบุ๊กรองรับการล็อกอินขั้นตอนที่สองต่อจากรหัสผ่านทั้งหมด 4 วิธี ได้แก่ แอปล็อกอิน (เช่น Google Authenticator, Microsoft Authenticator), กุญแจ FIDO หรือ Security Key, ข้อความ SMS, รหัสผ่านกู้คืนบัญชี เป็นรหัสตายตัวจดใส่กระดาษไว้ใช้งานภายหลัง แต่ที่ผ่านมาการล็อกอินบนโทรศัพท์มือถือนั้นไม่รองรับกุญแจ FIDO

Twitter เตรียมให้ใช้กุญแจ FIDO ทำ 2FA โดยไม่ต้องเปิดวิธีอื่น, หนึ่งบัญชีใช้ได้หลายชิ้น

By mheevariety

on 17 March 2021 - 10:14 Tag: Twitter, Security, FIDO

Twitter

Twitter เปิดให้ใช้กุญแจ FIDO (Twitter เรียกว่า Security Key) ที่เป็นอุปกรณ์ยืนยันตัวตนเชื่อมต่อผ่าน USB, Bluetooth,หรือ NFC สำหรับยืนยันตัวตนสองขั้นตอนได้ตั้งแต่เดือนมิถุนายน ปี 2018 แต่ก่อนหน้านี้ผู้ใช้จะต้องมีวิธีอื่น เช่นการรับรหัสทาง SMS เผื่อไว้ด้วย ไม่สามารถใช้แค่ Security Key ได้ และใช้ Security Key ได้หนึ่งชิ้นต่อหนึ่งบัญชีเท่านั้น

ล่าสุด Twitter อัพเดตให้ผู้ใช้สามารถใช้ Security Key มากกว่าหนึ่งชิ้นต่อหนึ่งบัญชีได้แล้ว รวมถึงระบุว่าเตรียมให้ผู้ใช้ ใช้เพียง Security Key เพื่อยืนยันตัวตน โดยไม่ต้องเปิดใช้วิธีอื่นได้เร็วๆ นี้ ซึ่งจะทำให้ผู้ใช้ไม่ต้องระบุข้อมูลส่วนตัวเพิ่มเติม เช่นเบอร์โทรศัพท์ เพื่อใช้การยืนยันตัวตนสองขั้นตอน เพิ่มความปลอดภัย และความเป็นส่วนตัวอีกระดับ

ไมโครซอฟท์ออกตัวช่วยบรรเทาช่องโหว่ Exchange ใช้ได้ย้อนไปถึงเวอร์ชัน 2013

By mk

on 16 March 2021 - 08:44 Tag: Exchange, Microsoft, Security

Exchange

ประเด็นร้อนในโลกความปลอดภัยสัปดาห์ที่แล้วคือ ช่องโหว่ Microsoft Exchange ที่ถูกโจมตีเป็นวงกว้าง จนไมโครซอฟท์ต้องยอมออกแพตช์ให้ Exchange 2019 เวอร์ชันที่ติดตั้งอัพเดตตัวเก่า เพื่อเปิดโอกาสให้แพตช์กันง่ายขึ้น

แต่เท่านั้นดูยังไม่พอ เพราะการติดตั้งแพตช์อาจยังเป็นเรื่องยากเกินไปสำหรับองค์กรขนาดเล็ก ที่ไม่มีแอดมินหรือไม่มีความเชี่ยวชาญ ล่าสุดไมโครซอฟท์จึงออกเครื่องมือ Microsoft Exchange On-Premises Mitigation เพื่อช่วยบรรเทาปัญหาลงแบบง่ายๆ เพียงคลิกเดียว

กูเกิลสร้างเว็บดึงข้อมูลจากเบราว์เซอร์ด้วยช่องโหว่ Spectre

By lew

on 15 March 2021 - 19:18 Tag: Meltdown, Google, Security, Browser

Meltdown

ช่องโหว่ Spectre/Meltdown ถูกเปิดเผยตั้งแต่ต้นปี 2018 และเปิดทางให้แฮกเกอร์ที่สามารถรันโค้ดในเครื่องของเหยื่อได้ สามารถอ่านข้อมูลในหน่วยความจำส่วนที่ไม่ได้รับอนุญาตได้ ล่าสุดกูเกิลสร้างเว็บ leaky.page เพื่อสาธิตการดึงข้อมูลออกจากเบราว์เซอร์

Linux Foundation เปิดโครงการช่วยยืนยัน "ความแท้" ของซอฟต์แวร์ ไม่ถูกยัดไส้กลางทาง

By mk

on 10 March 2021 - 22:09 Tag: Linux Foundation, Security, Open Source

Linux Foundation

กรณีการแฮ็ก SolarWinds ทำให้คนหันมาสนใจเรื่องความปลอดภัย supply chain ของซอฟต์แวร์กันมากขึ้น แต่ปัญหานี้ไม่ใช่เรื่องใหม่ของวงการ เมื่อไม่นานนี้เพิ่งมีนักวิจัยความปลอดภัยลองสร้างไลบรารีปลอม และมีบริษัทชื่อดังหลายแห่งดาวน์โหลดไปใช้งาน

GitHub พบบั๊กล็อกอินกลายเป็นคนอื่น รีเซ็ตล็อกอินผู้ใช้ทุกคน

By lew

on 9 March 2021 - 11:06 Tag: GitHub, Security

GitHub

GitHub พบบั๊ก race condition ในระบบหลังบ้านทำให้ผู้ใช้เข้าเว็บแล้วพบว่าล็อกอินกลายเป็นผู้ใช้คนอื่นในระบบ

ทาง GitHub ระบุว่าบั๊กเริ่มปรากฎตั้งแต่ 5 กุมภาพันธ์ที่ผ่านมาจนทางบริษัทแก้ไขในวันที่ 8 มีนาคม โดยรวมแล้วมีผู้ใช้ได้รับผลกระทบน้อยกว่า 0.001% ของผู้ใช้ที่ล็อกอินทั้งหมด

ทาง GitHub รีเซ็ตล็อกอินผู้ใช้ทุกคนหลังแก้ไขบั๊กแล้ว โดยทั่วไปผู้ใช้ไม่ต้องทำอะไรนอกจากล็อกอินใหม่อีกครั้ง

ที่มา - GitHub

ไมโครซอฟท์แจ้งเตือน ช่องโหว่ Exchange Server ถูกโจมตีเป็นวงกว้าง ควรแพตช์ด่วนที่สุด

By lew

on 8 March 2021 - 11:48 Tag: Exchange, Security

Exchange

เมื่อสัปดาห์ที่ผ่านมาไมโครซอฟท์ออกแพตช์ Microsoft Exchange 2013 ขึ้นไปหลังพบว่ามีช่องโหว่รันโค้ดระยะไกลทำให้แฮกเกอร์เข้ายึดเซิร์ฟเวอร์และอ่านอีเมลบนเซิร์ฟเวอร์ได้ ตอนนี้ไมโครซอฟท์ยืนยันว่ากลุ่มที่ใช้ช่องโหว่นี้ขยายตัวออกไปหลายกลุ่ม สร้างผลกระทบเป็นวงกว้าง

เว็บไซต์ Krebs On Security อ้างแหล่งข่าวไม่เปิดเผยตัวระบุว่าตอนนี้มีองค์กรในสหรัฐฯ กว่า 30,000 แห่งถูกแฮกเซิร์ฟเวอร์ไปแล้ว โดยหลังจากแฮกเกอร์เจาะตัว Exchange ได้จะทิ้ง webshell เป็นช่องทางส่งคำสั่งเข้าเซิร์ฟเวอร์ในอนาคต

บริษัทความปลอดภัยไซเบอร์ Qualys ถูกแฮกเกอร์เจาะเซิร์ฟเวอร์ขโมยไฟล์ แฮกเกอร์เริ่มโพสไฟล์ตัวอย่างแล้ว

By lew

on 4 March 2021 - 02:14 Tag: Qualys, Security, Ransomware

Qualys

Qualys บริษัทความปลอดภัยไซเบอร์ที่เป็นที่รู้จักจากบริการ SSL Labs ถูกแฮกเกอร์กลุ่ม CLOP ransomware เจาะเซิร์ฟเวอร์ Accellion FTA ด้วยช่องโหว่ zero-day ทำให้แฮกเกอร์ได้ไฟล์ออกไป และเริ่มโพสตัวอย่างไฟล์บางส่วนในเว็บ Tor เป็นไฟล์เอกสารสั่งซื้อ, เอกสารภาษี, และข้อตกลงการใช้งานกับลูกค้าของ Qualys

ไมโครซอฟท์ออกแพตช์ Exchange นอกรอบหลังพบแฮกเกอร์จากจีนโจมตี อ่านเมล, รันโค้ดได้โดยไม่ต้องล็อกอิน

By lew

on 3 March 2021 - 17:06 Tag: Exchange, Security, Microsoft

Exchange

ไมโครซอฟท์ออกแพตช์ฉุกเฉินอุกช่องโหว่ CVE-2021-26855, CVE-2021-26857, CVE-2021-26858, และ CVE-2021-27065 กระทบเซิร์ฟเวอร์ Microsoft Exchange 2013 ขึ้นมาทั้งหมด หลังจาก Volexity ตรวจพบว่ามีแฮกเกอร์โจมตีเซิร์ฟเวอร์ชั่นแต่ต้นเดือนมกราคมที่ผ่านมา

ช่องโหว่ชุดนี้เปิดทางให้แฮกเกอร์สามารถเข้าถึงอีเมลในเซิร์ฟเวอร์โดยไม่ต้องล็อกอิน สามารถดาวน์โหลดอีเมลออกไปจากเซิร์ฟเวอร์ รวมถึงสามารถยิงโค้ดขึ้นไปรันบนเซิร์ฟเวอร์ได้

ภาษา Go มาแรงในหมู่อาชญากรไซเบอร์ เหตุผลเพราะใช้เขียนมัลแวร์ง่าย ตรวจจับยาก

By mk

on 1 March 2021 - 10:59 Tag: Go, Programming, Malware, Security

บริษัทความปลอดภัยไซเบอร์ Intezer ออกรายงานว่า Go กลายเป็นภาษายอดนิยมของอาชญากรไซเบอร์ โดยมัลแวร์ที่เขียนด้วย Go เติบโตขึ้นถึง 2,000% ภายในเวลาเพียงไม่กี่ปี

มัลแวร์ Go ตัวแรกถูกค้นพบในปี 2012 แต่ก็ใช้เวลาอีกนานกว่าความนิยมจะเพิ่มขึ้น จนมาพุ่งแรงในช่วงไม่กี่ปีที่ผ่านมา ด้วยเหตุผลว่า Go เป็นภาษาที่เขียนง่าย เขียนทีเดียวทำงานได้ข้ามแพลตฟอร์ม ทำให้ผู้สร้างมัลแวร์เริ่มย้ายภาษาจาก C/C++ มาเป็น Go แทน

ไมโครซอฟท์เผยเทคนิค CodeQL ที่ใช้ตรวจหามัลแวร์ SolarWinds ในซอร์สโค้ด เปิดเป็นโอเพนซอร์ส

By mk

on 1 March 2021 - 09:40 Tag: Microsoft, Security, SolarWinds, Open Source

Microsoft

กรณีการแฮ็ก SolarWinds ที่เป็นระดับ supply chain attack ถือว่ามีความซับซ้อนสูงมาก ตรวจเจอได้ยากมาก ทำให้เกิดคำถามตามมาว่า เราจะป้องกันเหตุการณ์ลักษณะเดียวกันได้อย่างไร

องค์กรที่เกี่ยวข้องกับการแฮ็กคือ FireEye ซึ่งตรวจเจอมัลแวร์เป็นรายแรก เคยออกมาแชร์ชุดเครื่องมือตรวจสอบมัลแวร์แบบนี้แล้ว เทคนิคของ FireEye เป็นการตรวจสอบพฤติกรรมของคอนฟิกในระบบว่ามีการเปลี่ยนแปลงที่ผิดปกติหรือไม่

SolarWinds ชี้แจง ตั้งรหัสผ่าน solarwinds123 แล้วโพสต์ออกอินเทอร์เน็ต "เป็นฝีมือเด็กฝึกงาน"

By mk

on 28 February 2021 - 16:50 Tag: SolarWinds, Security, Password

SolarWinds

จากกรณีการแฮ็ก SolarWinds ครั้งประวัติศาสตร์ ที่ส่งผลให้หน่วยงานภาครัฐในหลายประเทศโดนแฮ็กตามไปด้วย ทำให้คณะกรรมาธิการด้านความมั่นคงของสภาผู้แทนราษฎรสหรัฐ เรียกผู้บริหารของ SolarWinds มาชี้แจง

ประเด็นหนึ่งที่น่าสนใจคือความอ่อนแอของระบบความปลอดภัย SolarWinds เอง โดยในปี 2019 มีนักวิจัยด้านความปลอดภัยค้นพบรหัสผ่าน "solarwinds123" ถูกโพสต์อยู่ในอินเทอร์เน็ตสาธารณะตั้งแต่ปี 2017 และพบว่าเป็นรหัสผ่านเข้าเซิร์ฟเวอร์ภายในของบริษัท (กรณีนี้ไม่เกี่ยวกับ SolarWinds ถูกแฮ็กโดยตรง แต่สะท้อนว่าบริษัทไม่ค่อยระวัง)

VMware ปล่อยแพตช์ vCenter แก้ช่องโหว่ระดับวิกฤติ แฮกเกอร์ยิงโค้ดเข้ามารันได้

By lew

on 26 February 2021 - 13:57 Tag: VMware, Security

VMware

VMware ปล่อยแพตช์แก้ช่องโหว่ CVE-2021-21972 แก้ไขช่องโหว่ที่เปิดให้แฮกเกอร์สามารถอัพโหลดไฟล์ขึ้นมารันบน vCenter ได้โดยไม่ต้องล็อกอิน

ช่องโหว่เกิดจากโค้ดส่วนหน้าจอ UI ที่ API เชื่อมต่อหลังบ้านไม่ต้องล็อกอิน และมี API หนึ่งสำหรับการอัพโหลดไฟล์ ไม่ตรวจสอบชื่อไฟล์ ทำให้นักวิจัยจาก Positive Technology สามารถอัพโหลดไฟล์ JSP ขึ้นไปรันบนเซิร์ฟเวอร์ได้สำเร็จ

ช่องโหว่มีคะแนน CVSSv3 ที่ 9.8 คะแนน กระทบ vCenter Server 6.5, 6.7, และ 7.0 ทาง VMware ออกแพตช์เรียบร้อยแล้ว

Hungry Hub ข้อมูลผู้ใช้รั่ว 135,000 รายการ บริษัทรีเซ็ตรหัสผ่านแล้ว

By lew

on 25 February 2021 - 19:24 Tag: Data Breach, Security

Data Breach

Hungry Hub บริการจองร้านอาหารล่วงหน้า ประกาศพบข้อมูลรั่วไหล และได้แจ้งให้ผู้ใช้เปลี่ยนรหัสผ่านเพื่อความปลอดภัย

ข้อมูลที่รั่วไป ได้แก่ ชื่อ, อีเมล, รหัสผ่าน (แฮชแบบ bcrypt), หมายเลขไอพี, วันเกิด, หมายเลขโทรศัพท์, หมายเลขประจำตัวผู้ใช้ฟซบุ๊ก, หมายเลขประจำอุปกรณ์ โดยไม่มีข้อมูลบัตรเครดิตแต่อย่างใด

ทาง Hungry Hub ได้รีเซ็ตรหัสผ่านผู้ใช้ที่ได้รับผลกระทบและแจ้งผ่าน SMS

ที่มา - Facebook: Hungry Hub

Subscribe to Security