คลังเก็บป้ายกำกับ: APPLICATION_SECURITY

Linux Foundation ออกรายงานศึกษาช่องโหว่ในซอฟต์แวร์โอเพ่นซอร์ส

Linux Foundation’s Core Infrastructure Initiative (CII) และ Labotary for Innovation of Science จากฮาร์วาร์ดได้ร่วมกันออกรายงานวิเคราะห์ช่องโหว่ในซอฟต์แวร์โอเพ่นซอร์สหรือ Census II โดยศึกษาถึงปัจจัยของช่องโหว่ที่เกิดขึ้นและแพ็กเกจโอเพ่นซอร์สที่ได้รับความนิยมซึ่งถูกนำไปใช้เป็นส่วนประกอบในแอปพลิเคชันจริง

Credit: ShutterStock.com

ต้องบอกว่า Census II เป็นรายงานผลการศึกษาในเฟสสอง (ยังไม่จบ) ซึ่งพาร์ทแรก Census I จะศึกษาเกี่ยวกับว่าแพ็กเกจซอฟต์แวร์ไหนใน Debian ที่มีผลกระทบสำคัญต่อการทำงานของ Kernel ซึ่งในผลการศึกษาใน Census II จะศึกษาว่าส่วนประกอบโอเพ่นซอร์สไหนเป็นส่วนประกอบในแอปพลิเคชันจริงที่ถูกใช้บ่อยและมีความเสี่ยงจากช่องโหว่อย่างไร

โดยนิยามของ Free and Open Source Software (FOSS) ไม่ได้หมายถึงโปรแกรมโอเพ่นซอร์สอย่าง MySQL, Apache หรือ Linux แต่หมายถึงไลบรารีหรือส่วนประกอบเล็กๆ ที่นักพัฒนานำเข้ามาใช้ในโปรเจ็คโดยส่วนใหญ่อาจจะมีโค้ดแค่ไม่กี่ร้อยบรรทัด ซึ่งแม้ว่าจะเป็นส่วนประกอบเล็กๆ แต่ก็สร้างจุดอ่อนได้อย่างมีนัยสำคัญดังเช่นที่เกิดขึ้นกับบั๊ก Heartbleed ที่เกิดขึ้นในไลบรารี OpenSSL

สำหรับผลการศึกษากว่า 200 โปรเจ็คโอเพ่นซอร์สพบว่ามีโปรเจ็ค JavaScript ยอดนิยมคือ Async, Inherits, Isarray, Kind-of, Lodash, Minimist, Natives, QS:A, Readable-stream และ String_decoder ส่วนโปรเจ็คที่ไม่ใช่ JavaScript ที่ได้รับความนิยมคือ Com.fasterxml.jackson.core:jackson-core, Com.fasterxml.jackson.core:jackson-databind, Com.google.guava:guava, Commons-codec, Commons-io, Httpcomponents-client, Httpcomponents-core, Logback-core, Org.apache.commons:commons-lang3 และ Slf4j เป็นต้น ทั้งหมดนี้อาจจะดูไม่คุ้นสำหรับคนที่ไม่ใช่โปรแกรมเมอร์

ปัญหาที่ทีมนักวิจัยค้นพบว่าเป็นความเสี่ยงให้เกิดช่องโหว่มีดังนี้

  • ไม่มีมาตรฐานกลางในการตั้งชื่อส่วนประกอบซอฟต์แวร์เหล่านั้น ซึ่งทำให้เกิดความซับซ้อนต่อการป้องกันด้านความมั่นคงปลอดภัยตามมา โดย NIST เองพยายามแก้ปัญหามาระยะใหญ่แล้ว
  • 7 ใน 10 ของโปรเจ็คโอเพ่นซอร์สมาจากบัญชีนักพัฒนาส่วนบุคคล นั่นหมายความว่าการป้องกันยังอาจไม่เข้มงวดเท่ากับโปรเจ็คจากบริษัทยักษ์เช่น Microsoft, Google หรือ IBM เป็นต้น ทำให้เป็นไปได้ว่าเมื่อบัญชีเหล่านั้นถูกแฮ็ก อาจส่งผลกระทบในวงกว้างด้วยความนิยมของส่วนประกอบนั้นๆ
  • นักพัฒนายังไม่ยอมปรับเปลี่ยนแพ็กเกจใหม่ๆ แทนของเดิมในแอป อาจเพราะกลัวเรื่องบั๊กหรือด้วยเหตุผลใดก็ตาม ทั้งที่แพ็กเกจใหม่ก็ทำงานฟังก์ชันเดียวกัน ดังนั้นส่วนแอปพลิเคชันที่ใช้งานจริงจึงมีความเสี่ยงต่อช่องโหว่จากแพ็กเก็จเก่านั่นเอง ทั้งนี้การเขียนแอปใหม่อาจดูน่าสนุกกว่าอัปเดตโค้ดเดิมแต่ก็เป็นเรื่องจำเป็น

ผู้สนใจสามารถติดตามรายงานได้ที่ ‘Vulnerabilities in the Core, a preliminary report and Census II of open-source software

ที่มา :  https://www.zdnet.com/article/the-linux-foundation-identifies-the-most-important-open-source-software-components-and-their-problems/ และ  https://www.securitymagazine.com/articles/91752-the-linux-foundation-harvards-lab-for-innovation-science-release-census-for-open-source-software-security

from:https://www.techtalkthai.com/linux-foundation-report-census-ii-study-opensource-software-vulnerabilities/

รายงานชี้มีสนามบินนานาชาติแค่ 3 แห่งที่ผ่านการประเมินเรื่อง Security พื้นฐาน

ImmuniWeb ได้จัดทำรายงานที่ประเมินเรื่อง Security ของสนามบินระดับนานาชาติ 100 ลำดับแรก พบว่ามีเพียง 3 แห่งเท่านั้นที่ผ่านการประเมินขั้นพื้นฐาน

ImmuniWeb ได้ชื่นชม 3 สนามบินที่เป็นตัวอย่างที่ดีให้แก่ทุกภาคอุตสาหกรรมประกอบด้วย Amsterdam Schiphol Airport จากเนเธอแลนด์ Helsinki Vantaa Airport จากฟินแลนด์และ Dublin International Airport จากไอร์แลนด์ โดยทั้ง 3 ได้ผ่านการประเมินคือ ตรวจสอบจากเว็บไซต์สาธารณะของสนามบิน แอปพลิเคชันมือถือ และข้อมูลสำคัญของสนามบินหรือผู้โดยสารที่รั่วไหลจากบริการคลาวด์ Repository ที่เปิดเผยต่อสาธารณะ และ Dark Web โดยกล่าวอย่างเจาะจงคือ

  • การใช้งาน HTTPS
  • อีเมลเซิร์ฟเวอร์ของสนามบินรองรับ SPF, DKIM และ DMARC หรือไม่
  • เว็บไซต์ CMS รันซอฟต์แวร์เวอร์ชันล่าสุดหรือมีช่องโหว่
  • ทดสอบด้าน PCI DSS, NIST และข้อปฏิบัติของ HIPAA
  • มีการใช้ WAF หรือไม่
  • การตั้งค่าผิดพลาดใน Header, Cookies และที่เกี่ยวข้องกับเรื่อง Security
  • ช่องโหว่ในแอปพลิเคชันมือถือ
  • การพึ่งพาใช้งาน Framework จาก Third-party ในแอปพลิเคชันมือถือ
  • แอปมือถือมีการกำหนดค่าด้าน Security พื้นฐานอย่างไรและวิธีการเขียนโค้ดอย่างมั่นคงปลอดภัย
  • มีข้อมูลที่เกี่ยวข้องกับสนามบินปรากฏบน Public Cloud Storage, Hosting, Dark Web หรือกลุ่มสังคมของแฮ็กเกอร์อื่นๆ หรือไม่

จากการประเมินเว็บไซต์หลักรายงานพบว่า

  • 97% พบมีการใช้ซอฟต์แวร์ล้าสมัย
  • 24% มีช่องโหว่ที่ถูกพบแล้ว
  • 76% ไม่คอมไพล์ตาม GDPR และ 73% ไม่คอมไพล์ตาม PCI DSS
  • 24% ไม่เข้ารหัสด้วย SSL หรือยังใช้เวอร์ชันเก่าอย่าง SSLv3
  • 55% ได้รับการปกป้องด้วย WAF

จากการประเมินแอปพลิเคชันมือถือรายงานพบว่า

  • แอปทั้งหมดมีการใช้ Framework จากคนอื่นอย่างน้อย 5 ตัว
  • แอปทั้งหมดพบช่องโหว่อย่างน้อย 2 รายการ
  • พบปัญหาเรื่องความมั่นคงปลอดภัยหรือ Privacy 15 รายการโดยเฉลี่ยต่อแอป
  • ทราฟฟิคของแอปกว่า 33.7% ไม่ได้เข้ารหัส

จากการประเมินข้อมูลสำคัญที่ถูกเปิดเผยตามที่ต่างๆ รายงานพบว่า

  • สนามบินกว่า 66% ถูกพบได้ใน Dark Web
  • ข้อมูลกว่า 72 รายการที่ถูกเปิดเผยจาก 325 เป็นสิ่งร้ายแรง
  • 87% ของสนามบินมีข้อมูลรั่วไหลบน Repository สาธารณะ
  • สนามบินประมาณ 3% ไม่ปกป้องข้อมูลสำคัญบน Public Cloud 

ผู้สนใจสามารถศึกษาข้อมูลเพิ่มเติมได้ที่นี่

ที่มา :  https://www.zdnet.com/article/only-three-of-the-top-100-international-airports-pass-basic-security-checks/

from:https://www.techtalkthai.com/report-of-top-100-international-airports-security-checkup/

พบช่องโหว่ WhatsApp สามารถใช้เข้าถึงไฟล์ของระบบได้

Facebook ได้ทำการแพตช์แก้ไขให้ WhatsApp ที่ช่วยให้ผู้โจมตีสามารถอ่านไฟล์ระบบบนเครื่องเหยื่อได้ โดยกระทบกับผู้ใช้ Windows และ macOS

credit : Gal Weizman

CVE-2019-18428 (8.2/10) เป็นช่องโหว่ที่สามารถใช้ผ่านทางไกลได้แต่ต้องอาศัยการปฏิสัมพันธ์จากเหยื่อ โดยจาก Advisory ชี้ว่า “ช่องโหว่เกิดขึ้นเมื่อจับคู่ระหว่าง WhatsApp for iPhone และ WhatsApp Desktop ที่ทำให้เกิด XSS และ Local File Reading” ทั้งนี้เวอร์ชันของซอฟต์แวร์ WhatsApp Desktop ที่ได้รับผลกระทบคือก่อน 0.3.9309 เมื่อจับคู่กับ iPhone เวอร์ชันก่อน 2.20.10

Gal Weizman ผู้เชี่ยวชาญจาก PerimeterX ได้พบช่องว่างของ Content Security Policy (CSP) ของ WhatsApp ที่นำไปสู่การโจมตีแบบ XSS ต่อแอปบน Desktop ซึ่งแฮ็กเกอร์สามารถหลอกล่อเหยื่อเพื่อใช้ช่องโหว่ได้ด้วยการประดิษฐ์โค้ด JavaScript อันตรายและส่งไปหาเหยื่อให้คลิก นอกจากนี้ Weizman ยังได้สาธิตการใช้งานช่องโหว่ที่ช่วยให้เขาสามารถเข้าถึงไฟล์ C:\Windows\System32\drivers\etc\hosts ได้

ที่มา :   https://www.bleepingcomputer.com/news/security/whatsapp-bug-allowed-attackers-to-access-the-local-file-system/

from:https://www.techtalkthai.com/whatsapp-cve-2019-18428-allowed-read-local-files-system/

ศิลปินชาวเยอรมันป่วน Google Maps ด้วยการเดินลากกระเป๋ามือถือ 99 เครื่อง

เป็นที่ทราบกันดีว่า Google Maps จะอาศัยข้อมูลจะมือถือของเราเพื่อคาดเดาปริมาณรถบนท้องถนนได้ ด้วยเหตุนี้เอง Simon Weckert ศิลปินชาวเยอรมันจึงได้ทดสอบสร้างให้ถนนโล่งกลายเป็นสีแดงใน Maps ด้วยการเดินช้าๆ พร้อมกับมือถืออีก 99 เครื่อง

Weckert ได้เดินเท้ารอบกรุงเบอร์ลินประเทศเยอรมันด้วยกระเป๋าลากโดยใส่มือถือไว้ 99 เครื่องที่เชื่อมต่อกับบริการและพบว่าเขาสามารถสร้าง Virtual Maps ของ Google ให้เป็นถนนรถติดได้ (ผู้สนใจสามารถชมคลิปได้ตามด้านบน) นี่เป็นข้อพิสูจน์ให้เราเห็นว่า Google Maps ก็สามารถถูกป่วนได้ไม่ยากนัก

ที่มา :  https://www.bleepingcomputer.com/news/software/hack-creates-fake-google-maps-traffic-jams-with-99-cell-phones/

from:https://www.techtalkthai.com/german-artist-manipulates-google-maps-by-carry-99-cell-phones/

พบ 25 แอปพลิเคชันบน Android แอบเก็บเงินค่าบริการหลังพ้นช่วงทดลองใช้

เมื่อหลายวันก่อน Sophos ได้รายงานเกี่ยวกับการค้นพบ 25 แอปพลิเคชันที่แอบเก็บค่าบริการผู้ใช้งานเมื่อไม่ทำการกดยกเลิกช่วงทดลอง โดยจากตัวเลขสถิติมีผู้ดาวน์โหลดรวมกันกว่า 600 ล้านครั้ง

credit : Sophos, รายชื่อแอปพลิเคชันที่ค้นพบ

ปกติแล้วแอปพลิเคชันบน Android จะสามารถนำเสนอช่วงทดลอง (Trial) ให้ผู้ใช้ลงชื่อลองเล่นได้ อย่างไรก็ตามประเด็นคือมีกลเม็ดที่ว่าถ้าผู้ใช้งานไม่ปฏิบัติตามขั้นตอนเพื่อยกเลิกอย่างถูกต้อง (อารมณ์เหมือนหลอกสมัครโฆษณาทาง SMS แล้วยกเลิกยากๆ) อาจถูกคิดเงินค่าบริการต่อไปโดยอัตโนมัติ ซึ่งผู้ใช้งานหลายคนคิดว่าแค่ลบแอปทิ้งก็จบแต่ความจริงแล้วไม่ใช่เลยเพราะไม่ถือเป็นการยกเลิกบริการ ทั้งนี้ Sophos ได้ให้คำจำกัดความแก่แอปเหล่านั้นว่า ‘fleeceware’

ประเด็นคือเมื่อไม่นานนี้ทาง Sophos ได้ค้นพบแอปพลิเคชัน 25 ตัวที่มีพฤติกรรมดังกล่าว แต่มีเพียงไม่กี่แอปเท่านั้นที่มียอดดาวน์โหลดเกิด 100 ล้านครั้ง นอกจากนี้ยังเชื่อว่าคนร้ายได้มีการใช้บริการปั่นยอดดาวน์โหลด ให้คะแนน และสร้างรีวิวปลอมด้วย รวมถึงเตือนให้ผู้ใช้งานระวังกลเม็ดของแอปที่แสดงย่อยราคาให้ต่ำด้วย เช่น คิดเป็นรายสัปดาห์แต่พอรวมยอดรายปีเป็นเงินกว่าหลายร้อยดอลล่าร์ฯ เป็นต้น

สำหรับการป้องกัน Sophos ได้ให้แนวคิดว่า

  • หลีกเลี่ยงแอปที่เสนอ ‘free trial’
  • อ่านเงื่อนไขใน free trial ทั้งหมดอย่างละเอียด
  • อ่านรีวิวให้ดีและจำไว้ว่ายอดโหลดหรือคอมเม้นต์สร้างขึ้นมาได้ เช่น คอมเม้นต์สั้นๆ ที่ดูไม่มีสาระอะไร
  • ต้องปฏิบัติตามเงื่อนไขการยกเลิกการทดลองโดยเคร่งครัด บางครั้งอาจต้องมีการส่งอีเมลเพื่อร้องขอ หรืออาจมีเงื่อนไขดูยุ่งยากแต่ก็ต้องทำ
  • เก็บหลักฐานทั้งหมดเป็นหลักฐานเพื่อร้องแก่ Google หากยังเกิดปัญหาภายหลัง 
  • ใช้แอปอื่นที่ตอบสนองความต้องการเหมือนกันแต่น่าเชื่อถือและปลอดภัยมากกว่า

ที่มา :  https://www.zdnet.com/article/more-than-600-million-users-installed-android-fleeceware-apps-from-the-play-store/ และ  https://news.sophos.com/en-us/2020/01/14/fleeceware-apps-persist-on-the-play-store/

from:https://www.techtalkthai.com/sophos-warns-25-fleeceware-app-on-android/

Microsoft ออกเตือนช่องโหว่ Zero-day บน IE ที่ถูกใช้โจมตีแล้ว

Microsoft ได้ออก Advisory เพื่อบรรเทาปัญหาช่องโหว่ Zero-day ที่นำไปสู่การโจมตี RCE บน Internet Explorer (IE) โดยมีรายงานว่าถูกใช้โจมตีแล้ว จึงแนะนำให้ผู้ใช้งานปฏิบัติตามอย่างเคร่งครัด

แม้จะยังไม่มีแพตช์อย่างเป็นทางการกับช่องโหว่ CVE-2020-0674 แต่ก็คาดว่า Microsoft จะออกแพตช์ฉุกเฉินมาในเร็วๆ นี้ โดยความร้ายแรงก็คือเป็นช่องโหว่ที่สามารถใช้เพื่อลอบรันโค้ดจากทางไกล (RCE) ที่เกิดขึ้นจากกลไกของสคิร์ปต์ที่จัดการ Object ในหน่วยความจำของ IE ซึ่งความผิดพลาดของหน่วยความจำอาจนำไปสู่การลอบรันโค้ดในบริบทของผู้ใช้งาน ดังนั้นหากผู้ใช้งานมีสิทธิ์ระดับผู้ดูแลแฮ็กเกอร์ก็จะได้สิทธิ์เหล่านั้นโดยสมบูรณ์ สำหรับการใช้งานบนเว็บเพียงแค่แฮ็กเกอร์สร้างเว็บไซต์อันตรายขึ้นมาและลวงให้เหยื่อเข้าชมเว็บไซต์นั้นก็สามารถโจมตีช่องโหว่ได้ เช่น ส่งเมลที่แนบลิงก์เว็บไปหาเหยื่อ

ขั้นตอนการบรรเทาปัญหาจาก Microsoft โดยใช้คำสั่งใน Administrative Prompt ทำได้ดังนี้

ผู้ใช้งาน 32 บิต

  • takeown /f %windir%\system32\jscript.dll
  • cacls %windir%\system32\jscript.dll /E /P everyone:N

ผู้ใช้งาน 64 บิต

  • takeown /f %windir%\syswow64\jscript.dll
  • cacls %windir%\syswow64\jscript.dll /E /P everyone:N
  • takeown /f %windir%\system32\jscript.dll
  • cacls %windir%\system32\jscript.dll /E /P everyone:N

สำหรับผู้สนใจสามารถติดตามเพิ่มเติมได้ที่นี่

ที่มา :  https://www.bleepingcomputer.com/news/security/microsoft-issues-mitigation-for-actively-exploited-ie-zero-day/ และ  https://www.zdnet.com/article/microsoft-warns-about-internet-explorer-zero-day-but-no-patch-yet/

from:https://www.techtalkthai.com/microsoft-warning-ie-zero-day-explioted-cve-2020-0674/

CNCF เปิดโครงการ Bug Bounty ให้กับ Kubernetes

หลังจากจบขั้นตอนการ Security Audit ให้โปรเจ็ค Kubernetes ตอนนี้ CNCF ก็ได้เปิดโครงการ Bug Bounty เพื่อรับการทดสอบจากผู้เชี่ยวชาญภายนอกแล้ว

Credit: Kubernetes

โปรแกรม Bug Bounty จะอยู่กับ HackerOne ซึ่ง CNCF เผยว่าจะพยายามดำเนินการตอบรับช่องโหว่ที่ถูกส่งเข้ามาภายในวันทำการ คัดแยกและตรวจสอบภายใน 10 วันและจ่ายเงินภายใน 10 วันหลังตรวจสอบ โดยเงินรางวัลสูงสุดของ Kubernetes ส่วน Core หลักที่ขนาดว่าไปแก้โค้ดหรือ DoS ได้อยู่ระหว่าง 100 – 10,000 ดอลล่าร์สหรัฐฯ ในขณะที่ไม่ใช่ส่วนหลักสูงสุดที่ 5,000 ดอลล่าร์สหรัฐฯ และสุดท้ายช่องโหว่ใน Infrastructure หรือฟีเจอร์หลักใน Core สูงสุดที่ 2,500 ดอลล่าร์สหรัฐฯ

โดยกรรมการก็เป็นใครไปไม่ได้คือ Google, Red Hat และ Shopify นั่นเอง สำหรับผู้สนใจสามารถเข้าไปดูรายละเอียดได้ที่นี่

ที่มา :  https://www.securityweek.com/public-bug-bounty-program-launched-kubernetes

from:https://www.techtalkthai.com/cncf-%e0%b9%80%e0%b8%9b%e0%b8%b4%e0%b8%94%e0%b9%82%e0%b8%84%e0%b8%a3%e0%b8%87%e0%b8%81%e0%b8%b2%e0%b8%a3-bug-bounty-%e0%b9%83%e0%b8%ab%e0%b9%89%e0%b8%81%e0%b8%b1%e0%b8%9a-kubernetes/