Breaking News

เตือนช่องโหว่ Zero-day กระทบ phpMyAdmin ทุกเวอร์ชัน

Manuel Garcia Cardenas นักวิจัยด้านความมั่นคงปลอดภัยและ Pentester ได้ออกมาเปิดเผยถึงช่องโหว่ Zero-day บน phpMyAdmin ที่ยังไม่ถูกแพตช์ พร้อมหลักฐาน PoC ซึ่งช่วยให้แฮ็กเกอร์โจมตีแบบ Cross-site Request Forgery (CSRF) เพื่อหลอกให้ผู้ใช้ที่พิสูจน์ตัวตนแล้วดำเนินการบางอย่างตามความต้องการของแฮ็กเกอร์โดยที่ผู้ใช้ไม่รู้ตัวได้

phpMyAdmin เป็นหนึ่งในแอปพลิเคชัน Open Source ยอดนิยมสำหรับบริหารจัดการฐานข้อมูล MySQL และ MariaDB ซึ่งถูกนำไปใช้บน Content Management Platforms ที่หลากหลาย เช่น WordPress และ Joomla ซึ่งล่าสุด Cardenas ได้ค้นพบช่องโหว่ Zero-day ประเภท CSRF รหัส CVE-2019-12922 ความรุนแรงระดับปานกลาง เนื่องจากช่องโหว่นี้มีขอบเขตการโจมตีที่จำกัด กล่าวคือ ช่วยให้แฮ็กเกอร์ลบเฉพาะ Server บนหน้า Setup Page ของ phpMyAdmin ของเหยื่อได้เท่านั้น

แฮ็กเกอร์สามารถโจมตีผ่านช่องโหว่ดังกล่าวได้ด้วยการส่ง URL ที่ถูกสร้างขึ้นมาเป็นพิเศษไปให้ Web Admin ที่กำลังล็อกอินอยู่ในระบบ phpMyAdmin บนเบราว์เซอร์เดียวกัน เมื่อ Web Admin เข้าถึง URL นั้นๆ ก็จะดำเนินการลบ (DROP) เซิร์ฟเวอร์บน phpMyAdmin โดยทันที

การโจมตีผ่านช่องโหว่นี้ถือว่าทำได้ไม่ยากนัก เพียงแค่ทราบ URL สำหรับเซิร์ฟเวอร์เป้าหมายก็เพียงพอแล้ว แฮ็กเกอร์ไม่จำเป็นต้องทราบชื่อ Database Server ใดๆ แม้แต่น้อย

ช่องโหว่ Zero-day ดังกล่าวส่งผลกระทบบน phpMyAdmin ทุกเวอร์ชัน รวมไปถึงเวอร์ชัน 4.9.0.1 ล่าสุด และยังไม่มีแพตช์สำหรับอุดช่องโหว่จนถึงตอนนี้

รายละเอียดเชิงเทคนิค: https://seclists.org/fulldisclosure/2019/Sep/23

ที่มา: https://thehackernews.com/2019/09/phpmyadmin-csrf-exploit.html



About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

Palo Alto Networks อัปเดตความสามารถให้ Prisma เน้น Security สำหรับ DevOps โดยเฉพาะ

Palo Alto Networks ได้ประกาศเพิ่มความสามารถหลายประการให้แก่ Cloud Native Security Platform (Prisma) ของตน ที่ตอบโจทย์ทีม DevOps ขององค์กรโดยเฉพาะ

[Guest Post] Microsoft Azure Security & Privacy

สำหรับบทความนี้จะพาทุกท่านไปทำความรู้จักกับเรื่องราวของ Security และ Privacy ใน Microsoft Azure กันครับ โดยสืบเนื่องจากช่วงเวลาที่ผ่านมาได้มี พ.ร.บ. การรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. 2562 ออกมาและมีผลบังคับใช้แล้วเมื่อวันที่ 28 …