อัปเดตด่วน พบช่องโหว่ใน Apache Tomcat AJP สามารถอ่านไฟล์บนเซิร์ฟเวอร์ได้โดยไม่ต้องยืนยันตัวตน (Ghostcat : CVE-2020-1938) 

26 ก.พ.63 (20:29 น.)
เปิดอ่าน 86 ครั้ง


เมื่อวันที่ 20 กุมภาพันธ์ 2563 ทีมวิจัยด้านความมั่นคงปลอดภัยจาก Chaitin Tech ได้รายงานช่องโหว่ใน Apache Tomcat ในส่วน Apache JServ Protocol หรือ AJP ซึ่งเป็นโพรโทคอลที่ถูกออกแบบมาเพื่อใช้รองรับ request ที่ส่งเข้ามายังเว็บเซิร์ฟเวอร์ ฟีเจอร์นี้ถูกติดตั้งและเปิดใช้งานมาเป็นค่าเริ่มต้น (พอร์ต 8009)

ทางทีมวิจัยพบข้อผิดพลาดในกระบวนการทำงานที่ทำให้เมื่อมีการส่ง request บางอย่างเข้ามาจะทำให้สามารถอ่านไฟล์ใดๆ ก็ได้บนเซิร์ฟเวอร์ ข้อผิดพลาดนี้สามารถใช้โจมตีเพื่ออ่านข้อมูลสำคัญ เช่น ไฟล์ที่เกี่ยวข้องกับการตั้งค่าเซิร์ฟเวอร์ได้ นอกจากนี้นักวิจัยยังพบว่าหากมีการตั้งค่าในลักษณะเฉพาะ ผู้ประสงค์ร้ายอาจสามารถอัปโหลดไฟล์อันตรายเข้ามายังเซิร์ฟเวอร์เพื่อให้ประมวลผลไฟล์ดังกล่าวได้

ช่องโหว่นี้ถูกตั้งชื่อว่า Ghostcat รหัส CVE-2020-1938 มีผลกระทบกับ Apache Tomcat ตั้งแต่เวอร์ชัน 6 จนถึง 9 โดยเมื่อวันที่ 24 กุมภาพันธ์ 2563 ทาง Apache ได้ออกแพตช์แก้ไขช่องโหว่นี้แล้ว (มีแพตช์เฉพาะ Tomcat เวอร์ชัน 7 ถึง 9) ผู้ดูแลระบบควรพิจารณาติดตั้งแพตช์โดยเร็ว เนื่องจากถึงแม้จะยังไม่พบรายงานการโจมตีแต่โค้ดสำหรับทดสอบช่องโหว่ได้ถูกเผยแพร่สู่สาธารณะแล้ว

หากยังไม่สามารถติดตั้งแพตช์ได้ ผู้ดูแลระบบอาจพิจารณาตั้งค่าเซิร์ฟเวอร์เพื่อลดผลกระทบ โดยจำกัดไม่ให้ผู้ใช้ที่ไม่ได้รับอนุญาตเข้าถึงพอร์ต AJP หรือใช้ firewall ช่วยป้องกันการโจมตีผ่านช่องทางดังกล่าว

ทั้งนี้ ในประเทศไทยมีรายงานเซิร์ฟเวอร์ประมาณ 410 เครื่องที่อาจได้รับผลกระทบจากช่องโหว่นี้ ไทยเซิร์ตอยู่ระหว่างการตรวจสอบผ่านระบบเฝ้าระวังหน่วยงานในเครือข่าย และยกระดับการเฝ้าระวังหน่วยงานที่มีความเสี่ยง

ที่มา https://www.thaicert.or.th/newsbite/2020-02-26-02.html

RTAF SYMPOSIUM 2020 TOUR

ล่าสุด

พบช่องโหว่บน Zoom สามารถขโมย Windows Credentials ได้
3 เม.ย.63(3 ชั่วโมง) อ่าน 9 ครั้ง
ปฏิบัติการทลายเครือข่าย Necurs botnet มัลแวร์อันตรายที่แพร่กระจายกว่า 9 ล้านเครื่องทั่วโลก
28 มี.ค.63(5 วัน) อ่าน 9 ครั้ง
Microsoft เตือนพบการโจมตีช่องโหว่ Zero-day คาดกระทบ Windows ทุกเวอร์ชัน
25 มี.ค.63(9 วัน) อ่าน 15 ครั้ง
คู่มือ work from home
24 มี.ค.63(9 วัน) อ่าน 1062 ครั้ง
พลอากาศเอก มานัต วงษ์วาทย์ ผู้บัญชาการทหารอากาศ เป็นประธานในพิธีเปิดศูนย์ไซเบอร์กองทัพอากาศ
21 มี.ค.63(13 วัน) อ่าน 131 ครั้ง
ข้อแนะนำด้านความมั่นคงปลอดภัยเมื่อต้องทำงานจากที่บ้าน
20 มี.ค.63(14 วัน) อ่าน 71 ครั้ง
พบช่องโหว่บน WordPress Plugin คาดกระทบผู้ใช้กว่าแสนเว็บไซต์ แนะเร่งอัปเดต
17 มี.ค.63(17 วัน) อ่าน 16 ครั้ง
พลอากาศตรี วิสุทธิ์ สมภักดี ให้การต้อนรับ นายอาลอน เยโฮชัว (Mr. Alon Yehoshua) ผู้ช่วยทูตฝ่ายทหาร ผู้แทนกระทรวงกลาโหมอิสราเอล เพื่อหารือเรื่องความร่วมมือด้านไซเบอร์
13 มี.ค.63(20 วัน) อ่าน 45 ครั้ง
กองบิน ๒ และ ศูนย์ไซเบอร์กองทัพอากาศ(ศซบ.ทอ.) จัดเปิดการอบรม และบรรยายเรื่องการสร้างความตระหนักรู้เกี่ยวกับภัยคุกคามและจิตสำนึกด้านการรักษาความปลอดภัยด้านไซเบอร์
13 มี.ค.63(20 วัน) อ่าน 51 ครั้ง
หลุดช่องโหว่ร้ายแรงใหม่บน SMBv3 ยังไร้วี่แววแพตช์
11 มี.ค.63(22 วัน) อ่าน 16 ครั้ง
Microsoft เผย บัญชีที่ถูกแฮก 99.9% ไม่ได้เปิดใช้การยืนยันตัวตนแบบหลายปัจจัย มีองค์กรแค่ 11% เท่านั้นที่เปิดใช้
9 มี.ค.63(24 วัน) อ่าน 14 ครั้ง
แจ้งเตือน พบการส่งอีเมลแพร่มัลแวร์โจมตีคนไทย อ้างชื่อกระทรวงสาธารณสุขและข่าวไวรัสโคโรน่า
6 มี.ค.63(27 วัน) อ่าน 138 ครั้ง
T-mobile แจ้งเหตุข้อมูลรั่วไหลเพราะถูกแฮ็ก
6 มี.ค.63(27 วัน) อ่าน 13 ครั้ง
อัปเดตเป็น TLS 1.2 หรือ 1.3 ก่อนถูก Browser หลายเจ้าจะแสดงหน้า Error ในสิ้นเดือนนี้
6 มี.ค.63(27 วัน) อ่าน 11 ครั้ง
ข้อแนะนำจาก Microsoft เรื่องการจัดอบรมสร้างความตระหนักด้านความมั่นคงปลอดภัยให้กับพนักงานในองค์กร
5 มี.ค.63(29 วัน) อ่าน 22 ครั้ง