28/03/2567

พบข้อมูล plaintext password รั่วไหลกว่า 19 ล้านรายการ จาก Firebase instance ที่ตั้งค่าไม่ปลอดภัย


    ผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์รายงานการค้นพบ Plaintext password กว่า 19 ล้านรหัส ที่ถูกเปิดเผยบนอินเทอร์เน็ตจาก Firebase instance ที่ตั้งค่าแบบไม่ปลอดภัย โดย Firebase เป็นแพลตฟอร์มของ Google สำหรับการโฮสต์ฐานข้อมูล 
  การประมวลผลแบบคลาวด์ และการพัฒนาแอป ซึ่งผู้เชี่ยวชาญได้ทำการสแกนโดเมนมากกว่า 5 ล้านโดเมน และพบเว็บไซต์ 916 แห่ง จากองค์กรที่ไม่ได้เปิดใช้งานมาตรการด้านความปลอดภัย หรือตั้งค่าไม่ถูกต้องโดยข้อมูล plaintext password ที่รั่วไหลประกอบไปด้วย ข้อมูลผู้ใช้ที่มีความสำคัญมากกว่า 125 ล้านรายการ รวมถึงอีเมล ชื่อ รหัสผ่าน หมายเลขโทรศัพท์ และข้อมูลการเรียกเก็บเงินพร้อมรายละเอียดธนาคาร


ข้อมูล Plaintext password ที่รั่วไหล
    ผู้เชี่ยวชาญ (Logykk ,xyzeva/Eva และ MrBruh) ได้ค้นหาเว็บสาธารณะเพื่อหาข้อมูลส่วนบุคคล (PII) ที่ถูกเปิดเผยผ่าน Firebase instance ที่มีช่องโหว่ ซึ่งไม่มีการตั้งค่าความปลอดภัยเลย หรือมีการกำหนดค่าไม่ถูกต้อง และอนุญาตให้เข้าถึงฐานข้อมูลแบบ read access ได้
    สำหรับตัวอย่าง database ที่รั่วไหล ถูกแสดงโดยคริปต์ของ Eva ซึ่งเป็น Catalyst ที่มีไว้เพื่อตรวจสอบประเภทของข้อมูลที่พบ และแยกตัวอย่าง 100 รายการ

รายละเอียดของข้อมูล plaintext password ที่รั่วไหล จากการตั้งค่าไม่ปลอดภัย ประกอบไปด้วย:
ชื่อ : 84,221,169 รายการ
อีเมล์: 106,266,766 รายการ
หมายเลขโทรศัพท์: 33,559,863 รายการ
รหัสผ่าน: 20,185,831 รายการ
ข้อมูลการเรียกเก็บเงิน (รายละเอียดธนาคาร ใบแจ้งหนี้ ฯลฯ): 27,487,924 รายการ
ซึ่งรหัสผ่านจำนวน 98% หรือ 19,867,627 รายการ เป็น plaintext password ทำให้มีความเสี่ยงที่จะถูกนำข้อมูลไปใช้ในการโจมตีได้

    ทั้งนี้ผู้เชี่ยวชาญระบุว่าบริษัทต่าง ๆ ควรต้องหลีกเลี่ยงการจัดเก็บรหัสผ่านในรูปแบบ plaintext เนื่องจาก Firebase มี end-to-end identity solution ที่เรียกว่า Firebase Authentication โดยเฉพาะ สำหรับกระบวนการลงชื่อเข้าใช้ที่ปลอดภัย ซึ่งจะไม่เปิดเผยรหัสผ่านของผู้ใช้ใน record หนึ่งในวิธีการรั่วไหลของของรหัสผ่านผู้ใช้ใน Firestore database คือการที่ผู้ดูแลระบบสร้างฟิลด์ 'password' ที่จะจัดเก็บข้อมูลในรูปแบบ plaintext

การแจ้งเตือนไปยังเจ้าของเว็บไซต์
    หลังจากวิเคราะห์ข้อมูลจากตัวอย่างแล้ว ผู้เชี่ยวชาญได้พยายามแจ้งเตือนไปยังบริษัทที่ได้รับผลกระทบทั้งหมดเกี่ยวกับ Firebase instance ที่มีการรักษาความปลอดภัยที่ไม่เหมาะสม โดยส่งอีเมล 842 ฉบับในระยะเวลา 13 วัน แม้ว่าจะมีเจ้าของเว็บไซต์เพียง 1% ตอบกลับอีเมลดังกล่าว แต่พบว่าหนึ่งในสี่ของผู้ดูแลระบบเว็บไซต์ที่ได้รับแจ้งเตือน ได้ทำการแก้ไขการกำหนดค่าที่ไม่ถูกต้องในแพลตฟอร์ม Firebase ของตน รวมถึงผู้เชี่ยวชาญยังได้รับการเยาะเย้ยจากเว็บไซต์การพนันของอินโดนีเซีย 9 รายการ ที่ผู้เชี่ยวชาญได้รายงานปัญหา และแนะนำแนวทางในการแก้ไขปัญหา ซึ่งบริษัทเดียวกันนี้ มีจำนวนบันทึกบัญชีธนาคารที่ถูกเปิดเผยมากที่สุด (8 ล้านรายการ) และรหัสผ่านแบบ plaintext (10 ล้านรายการ)


ข้อมูลที่รั่วไหลทั้งหมด 223 ล้านรายการ
    ผู้เชี่ยวชาญได้ทำการสแกนโดยใช้สคริปต์ Python ที่สร้างโดย MrBruh เพื่อตรวจสอบเว็บไซต์ หรือชุด JavaScript เพื่อหาตัวแปรในการกำหนดค่า Firebase ซึ่งการสแกนอินเทอร์เน็ต แยกวิเคราะห์ข้อมูลดิบ และการจัดระเบียบใช้เวลาประมาณหนึ่งเดือน
    การใช้หน่วยความจำขนาดใหญ่ทำให้สคริปต์ไม่เหมาะสมกับงาน จึงได้เปลี่ยนไปใช้ตัวแปรใน Golang ที่เขียนโดย Logykk ซึ่งใช้เวลามากกว่าสองสัปดาห์ในการสแกนอินเทอร์เน็ตให้เสร็จสิ้น
    โดยสคริปต์ใหม่ได้สแกนโดเมนมากกว่า 5 ล้านโดเมนที่เชื่อมต่อกับแพลตฟอร์ม Firebase ของ Google สำหรับบริการคอมพิวเตอร์คลาวด์แบ็กเอนด์ และการพัฒนาแอปพลิเคชัน ในการตรวจสอบสิทธิ์การอ่านใน Firebase โดยอัตโนมัติ นอกจากนี้ทีมงานยังได้ใช้สคริปต์อื่นจาก Eva ที่จะรวบรวมข้อมูลเว็บไซต์หรือ JavaScript เพื่อเข้าถึง Firebase collections (Cloud Firestore NoSQL databases)
    จำนวนข้อมูลทั้งหมดที่ผู้เชี่ยวชาญค้นพบใน database ที่กำหนดค่าไม่ถูกต้องคือ 223,172,248 รายการ ในจำนวนนี้มีข้อมูลบันทึก 124,605,664 รายการที่เกี่ยวข้องกับผู้ใช้ ส่วนที่เหลือแสดงข้อมูลที่เกี่ยวข้องกับองค์กร และการทดสอบ

จุดเริ่มต้นการค้นพบ
    การสแกนอินเทอร์เน็ตเพื่อหาข้อมูล Personally Identifiable Information in Domain Name System (PII) ที่เปิดเผยจาก Firebase instance ที่กำหนดค่าไม่ถูกต้องเป็นการติดตามผลของอีกโครงการหนึ่งที่ผู้เชี่ยวชาญดำเนินการเมื่อสองเดือนที่แล้ว ซึ่งเป็นโครงการที่ได้รับสิทธิ์ของผู้ดูแลระบบ และสิทธิ์ผู้ดูแลระบบขั้นสูงใน Firebase instance ใช้โดย Chattr ซึ่งเป็นโซลูชันซอฟต์แวร์การจ้างงานที่ขับเคลื่อนด้วย AI
Chattr ถูกใช้โดยร้านอาหารฟาสต์ฟู้ดขนาดใหญ่หลายแห่งในสหรัฐอเมริกา เช่น KFC, Wendy's, Taco Bell, Chick-fil-A, Subway, Arby's, Applebee's และ Jimmy John's เพื่อจ้างพนักงาน
    แม้ว่าบทบาทผู้ดูแลระบบใน Firebase dashboard ของ Chattr จะทำให้สามารถดูข้อมูลที่มีความสำคัญ ที่เกี่ยวข้องกับบุคคลที่พยายามหางานในอุตสาหกรรมอาหารฟาสต์ฟู้ดได้ แต่บทบาท "ผู้ดูแลระบบขั้นสูง" ให้สิทธิ์เข้าถึงบัญชีของบริษัท และดำเนินการในนามของบริษัทสำหรับงานบางอย่าง รวมถึงการตัดสินใจจ้างงานด้วย ทั้งนี้ผู้เชี่ยวชาญได้เปิดเผยช่องโหว่ดังกล่าวต่อ Chattr ซึ่งเป็นผู้แก้ไขช่องโหว่ดังกล่าว


27/03/2567

วิธีแก้ไข Log Wazuh ไม่เข้า

สาเหตุเกิดจาก shards open เกิน 1000 โดยมีวิธีแก้ไขดังนี้

1. Login Web wazuh

2. กดที่แถบเมนูด้านซ้าย และไปยังหัวข้อ Management >> Dev Tools

3. คำสั่งเช็คจำนวน shards open
    GET /_cat/shards?v=true  >> กด Run

4. พิมพ์คำสั่งเพื่อลบ
    DELETE wazuh-alerts-4.x-2023.06*   >> กด Run
    จากตัวอย่างจะเป็นการลบไฟล์ของเดือน 6/2023 ทั้งหมด 

5. ลองตรวจสอบดูใหม่ ว่ามี Log เข้ามาหรือไม่

26/03/2567

QNAP แจ้งเตือนช่องโหว่ Auth Bypass ระดับ Critical บนอุปกรณ์ NAS


    NAP ผู้ผลิตอุปกรณ์ Network Attached Storage (NAS) ของไต้หวัน แจ้งเตือนช่องโหว่ 3 รายการในผลิตภัณฑ์ NAS software ซึ่งรวมถึง QTS, QuTS hero, QuTScloud และ myQNAPcloud ที่อาจทำให้ผู้ไม่ประสงค์ดีสามารถเข้าถึงอุปกรณ์ได้ ผ่านการ authentication bypass, command injection และ SQL injection

ช่องโหว่ 3 รายการทีได้รับการแก้ไขมีดังต่อไปนี้ :
  •     CVE-2024-21899 (คะแนน CVSS 9.8/10 ความรุนแรงระดับ Critical) ช่องโหว่การตรวจสอบสิทธิ์ที่ไม่เหมาะสมทำให้ผู้ใช้ที่ไม่ได้รับอนุญาตสามารถเข้าถึงระบบจากระยะไกลได้
  •     CVE-2024-21900 (คะแนน CVSS 4.3/10 ความรุนแรงระดับ Medium) ช่องโหว่นี้อาจทำให้ผู้ใช้ที่ผ่านการตรวจสอบสิทธิ์สามารถรันคำสั่งที่สร้างขึ้นเองบนระบบ ซึ่งอาจนำไปสู่การเข้าถึง หรือเข้าควบคุมระบบโดยไม่ได้รับอนุญาต
  •     CVE-2024-21901 (คะแนน CVSS 4.7/10 ความรุนแรงระดับ Medium) ช่องโหว่นี้อาจทำให้ผู้ดูแลระบบที่ผ่านการตรวจสอบสิทธิ์สามารถโจมตีแบบ SQL injection ซึ่งอาจส่งผลต่อความถูกต้องของฐานข้อมูล และการจัดการเนื้อหาได้
  •     ในขณะที่ CVE-2024-21900 และ CVE-2024-2190 จำเป็นต้องให้ผู้ไม่ประสงค์ดีผ่านการตรวจสอบสิทธิ์บนระบบเป้าหมายก่อน ทำให้ช่วยลดความเสี่ยงได้อย่างมาก แต่ CVE-2024-21899 สามารถดำเนินการจากระยะไกลได้โดยไม่ต้องผ่านการตรวจสอบสิทธิ์ และระบุว่าการโจมตีทำได้ง่าย จึงถือว่าเป็นช่องโหว่ที่อันตรายมาก
    ช่องโหว่ดังกล่าวส่งผลกระทบต่อระบบปฏิบัติการของ QNAP เวอร์ชันต่างๆ รวมถึง QTS 5.1.x, QTS 4.5.x, QuTS hero h5.1.x, QuTS hero h4.5.x, QuTScloud c5.x และบริการ myQNAPcloud 1.0.x

แนะนำให้ผู้ใช้อัปเกรดเป็นเวอร์ชันต่อไปนี้ เพื่อแก้ไขช่องโหว่ดังกล่าว :
  • QTS 5.1.3.2578 รุ่น 20231110 และใหม่กว่า
  • QTS 4.5.4.2627 รุ่น 20231225 และใหม่กว่า
  • QuTS hero h5.1.3.2578 รุ่น 20231110 และใหม่กว่า
  • QuTS hero h4.5.4.2626 รุ่น 20231225 และใหม่กว่า
  • QuTScloud c5.1.5.2651 และใหม่กว่า
  • myQNAPcloud 1.0.52 (24/11/2023) และใหม่กว่า
    ในการอัปเดตสำหรับ QTS, QuTS hero และ QuTScloud ผู้ใช้จะต้องเข้าสู่ระบบในฐานะผู้ดูแลระบบ โดยไปที่ Control Panel > System > Firmware Update,' และคลิก 'Check for Update' เพื่อเปิดกระบวนการติดตั้งอัตโนมัติ
    หากต้องการอัปเดต myQNAPcloud ให้เข้าสู่ระบบในฐานะผู้ดูแลระบบ เปิด App Center,' คลิกที่ search box และพิมพ์ "myQNAPcloud" + ENTER การอัปเดตควรปรากฏในผลลัพธ์ คลิกที่ปุ่ม 'Update' เพื่อเริ่มต้น
    อุปกรณ์ NAS มักจะจัดเก็บข้อมูลสำคัญจำนวนมากสำหรับธุรกิจ และบุคคล รวมถึงข้อมูลส่วนบุคคลที่มีความสำคัญ ทรัพย์สินทางปัญญา และข้อมูลทางธุรกิจอื่น ๆ ซึ่งโดยส่วนมากมักจะไม่ได้ถูกตรวจสอบอย่างเข้มงวด ซึ่งยังคงเชื่อมต่อ และเข้าถึงอินเทอร์เน็ตอยู่เสมอ และอาจใช้ระบบปฏิบัติการ/เฟิร์มแวร์ที่ล้าสมัย
อุปกรณ์ QNAP จึงมักตกเป็นเป้าหมายของการโจมตีเพื่อโจรกรรมข้อมูล และการขู่กรรโชกจากกลุ่มผู้ไม่ประสงค์ดีและกลุ่ม ransomware ต่าง ๆ เช่น DeadBolt, Checkmate, และ Qlocker โดยกลุ่มเหล่านี้มักโจมตีโดยมุ่งเป้าหมายไปยังอุปกรณ์ QNAP เพื่อโจมตีด้วย zero-day และช่องโหว่ต่าง ๆ
    คำแนะนำที่ดีที่สุดสำหรับผู้ดูแลระบบ NAS คือคอยอัปเดตซอฟต์แวร์อยู่เสมอ และที่สำคัญกว่านั้นคืออย่าให้อุปกรณ์ประเภทนี้เปิดให้เข้าถึงได้บนอินเทอร์เน็ต ซึ่งจะกลายเป็นเป้าหมายในการโจมตีได้

Fortinet แจ้งเตือนช่องโหว่ RCE ระดับ Critical บน Endpoint Management Software


    Fortinet ได้แก้ไขช่องโหว่ระดับ Critical ในซอฟต์แวร์ FortiClient Enterprise Management Server (EMS) ที่ทำให้ผู้ไม่ประสงค์ดี สามารถเรียกใช้คำสั่งที่เป็นอันตรายจากระยะไกล (RCE) บนเซิร์ฟเวอร์ที่มีช่องโหว่ได้
    FortiClient EMS ช่วยให้ผู้ดูแลระบบสามารถจัดการอุปกรณ์ที่เชื่อมต่อกับเครือข่ายองค์กร และยังช่วยให้สามารถ deploy ซอฟต์แวร์ FortiClient และกำหนดโปรไฟล์ด้านความปลอดภัยบน Windows
CVE-2023-48788 (คะแนนCVSS 9.8/10 ความรุนแรงระดับ Critical)
    เป็นช่องโหว่ SQL injection ใน DB2 Administration Server (DAS) component ซึ่งถูกค้นพบ และรายงานโดย National Cyber Security Center (NCSC) ของสหราชอาณาจักร และ Thiago Santana นักพัฒนาของ Fortinet
    โดยช่องโหว่ดังกล่าวทำให้ผู้ไม่ประสงค์ดีสามารถเรียกใช้คำสั่งที่เป็นอันตรายจากระยะไกล (RCE) บนเซิร์ฟเวอร์ที่มีช่องโหว่ได้ โดยมีความซับซ้อนต่ำ และไม่ต้องมีการโต้ตอบจากผู้ใช้ ซึ่งส่งผลกระทบต่อ FortiClient EMS เวอร์ชัน
7.0 (7.0.1 ถึง 7.0.10)
7.2 (7.2.0 ถึง 7.2.2)
ทั้งนี้ทาง Fortinet ยังไม่ได้เปิดเผยว่ามีหลักฐานการโจมตีของช่องโหว่ CVE-2023-48788 เกิดขึ้นจริงแล้วหรือไม่
    ทีม Horizon3 ได้ออกมายืนยันถึงความรุนแรงของช่องโหว่ดังกล่าว พร้อมทั้งประกาศว่าจะเปิดเผยชุดสาธิตการโจมตี หรือ proof-of-concept exploit (PoC) ในสัปดาห์หน้า
    นอกจากนี้ทาง Fortinet ได้แก้ไขช่องโหว่ out-of-bounds write ระดับ Critical ( CVE-2023-42789 ) ใน FortiOS และ FortiProxy captive Portal ที่อาจทำให้ผู้ไม่ประสงค์ดีที่อยู่ภายในเครือข่าย ที่ไม่ต้องผ่านการตรวจสอบสิทธิ์สามารถรันโค้ด หรือคำสั่งที่ไม่ได้รับอนุญาตจากระยะไกลบนเซิร์ฟเวอร์ที่มีช่องโหว่ได้ โดยใช้ HTTP requests ที่เป็นอันตราย
    รวมถึงช่องโหว่ที่มีระดับความรุนแรงสูงอีก 2 รายการ ได้แก่ ช่องโหว่ improper access control (CVE-2023-36554) ใน FortiWLM MEA สำหรับ FortiManager และ CSV injection (CVE-2023-47534) ใน FortiClient EMS ที่ทำให้ผู้ไม่ประสงค์ดีสามารถเรียกใช้คำสั่ง หรือ code บนระบบที่มีช่องโหว่ได้
    โดยในเดือนกุมภาพันธ์ 2024 Fortinet ได้แก้ไขช่องโหว่การเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกล (CVE-2024-21762) ระดับ critical ในระบบปฏิบัติการ FortiOS และ FortiProxy secure web proxy ซึ่งทาง CISA ได้ยืนยันว่าช่องโหว่ดังกล่าวกำลังถูกใช้ในการโจมตี และได้สั่งให้หน่วยงานรัฐบาลกลางอัปเดตแพตซ์ช่องโหว่อุปกรณ์ FortiOS และ FortiProxy ภายในเจ็ดวัน
    ทั้งนี้ช่องโหว่ Fortinet มักถูกใช้เพื่อโจมตีเครือข่ายองค์กรในการโจมตีด้วย ransomware และ zero-day ตัวอย่างเช่น ในเดือนกุมภาพันธ์ 2024 Fortinet พบกลุ่ม Volt Typhoon ของจีน ได้ใช้ช่องโหว่ FortiOS SSL VPN 2 รายการ (CVE-2022-42475 และ CVE-2023-27997) เพื่อใช้มัลแวร์ Coathanger remote access trojan (RAT) ในการวาง backdoor บนเครือข่ายทหารของกระทรวงกลาโหมเนเธอร์แลนด์

19/03/2567

Microsoft ยกระดับความปลอดภัยด้วยการยกเลิกคีย์ RSA ต่ำกว่า 2048 bits

    ไมโครซอฟท์ประกาศยกเลิกการใช้งานคีย์ RSA ที่มีความยาวน้อยกว่า 2048 bits ในระบบ Windows Transport Layer Security (TLS) เพื่อเพิ่มความปลอดภัยให้กับข้อมูลและการสื่อสาร

RSA คืออะไร

    RSA ย่อมาจาก Rivest–Shamir–Adleman เป็นระบบเข้ารหัสแบบ public-key encryption เพื่อเข้ารหัสและถอดรหัสข้อมูล ความปลอดภัยของระบบ RSA ขึ้นอยู่กับความยาวของคีย์ คีย์ที่ยาวขึ้นจะยากต่อการถอดรหัสมากขึ้น

    Microsoft  ยกเลิกคีย์  RSA  ต่ำกว่า  2048  บิต ซึ่งคีย์  RSA  1024  บิต ซึ่งใช้กันมานานตั้งแต่ปี 2013 มีความปลอดภัยไม่เพียงพอแล้ว เทคโนโลยีใหม่ ๆ สามารถถอดรหัสคีย์ 1024 บิตได้ง่ายขึ้น คีย์  RSA  2048 บิตมีความปลอดภัยมากกว่า 4 พันล้านเท่า คาดว่าจะยังปลอดภัยไปจนถึงปี 2030

ผลกระทบของการเปลี่ยนแปลงนี้

    อุปกรณ์เก่าที่ใช้คีย์ RSA 1024 บิต จะไม่สามารถเชื่อมต่อกับ Windows server ได้
    องค์กรที่ใช้ซอฟต์แวร์รุ่นเก่าหรืออุปกรณ์ที่ต่อกับเครือข่าย เช่น เครื่องพิมพ์ จำเป็นต้องอัปเกรดคีย์ RSA เป็น 2048 บิต

ระยะเวลา

    ไมโครซอฟท์ยังไม่ได้ระบุแน่ชัดว่าการยกเลิกการใช้งานจะเริ่มต้นเมื่อใด
    คาดว่าจะมีการประกาศอย่างเป็นทางการ และประกาศเวลาที่สามารถใช้งานได้ชั่วคราวก่อนยกเลิก

แนวทางปฏิบัติ

    ไมโครซอฟท์แนะนำให้องค์กรเปลี่ยนไปใช้คีย์ RSA 2048 บิตหรือมากกว่า
    การเปลี่ยนไปใช้คีย์ RSA 2048 บิต เป็นส่วนหนึ่งของแนวทางปฏิบัติด้านความปลอดภัยที่ดีที่สุด

ข้อควรระวัง

    การเปลี่ยนแปลงนี้อาจส่งผลต่อระบบงานบางระบบ
    ควรทำการทดสอบก่อนใช้งานจริง


Ref : bleepingcomputer