Breaking News

พบช่องโหว่ HTTPOXY ทำ Man-in-the-Middle บน Linux Web Server ได้

ทีมนักวิจัยจาก VendHQ พบช่องโหว่ของระบบ Web Application ที่ใช้ Common Gateway Interface (CGI) หรือระบบที่ใช้ CGI-like เช่น FastCGI ร่วมกับภาษาพัฒนาโปรแกรมอย่าง PHP, Python และ Go ที่จะทำให้ผู้โจมตีสามารถทำ Man-in-the-Middle ใส่เว็บไซต์ใดๆ ที่มีช่องโหว่เหล่านี้ และ Redirect Traffic ทั้งหมดมายัง Proxy Server ของผู้โจมตีได้เพื่อทำการตรวจสอบข้อมูลหรือทำการถอดรหัสข้อมูลเหล่านั้น รวมถึงทำ Denial-of-Service (DoS) ก็ตามแต่ และตั้งชื่อช่องโหว่นี้ว่า HTTPOXY

Credit: ShutterStock.com
Credit: ShutterStock.com

ช่องโหว่นี้เกิดขึ้นจากการที่ Server เหล่านี้เชื่อในการกำหนดค่าของตัวแปร HTTP_PROXY ที่ถูกระบุอยู่ใน HTTP Proxy Header ซึ่งทำให้เกิด Namespace Conflict ขึ้น ส่งผลต่อเนื่องให้ Web Server เหล่านี้บันทึกค่าของ HTTP_PROXY ลงไปใน Environment Variable ของระบบ และทำให้ผู้โจมตีสามารถกำหนดค่า HTTP_PROXY ของ Web Server เหล่านี้ได้จากการโจมตีระยะไกล

ทั้งนี้ผู้ที่เสียหายจากช่องโหว่นี้อาจมีเพียงระบบ Web Server จำนวนไม่มากนัก และ Web Server สมัยใหม่ก็ไม่ได้ใช้วิธีการนี้เป็น Default กันแล้ว

ช่องโหว่นี้ถือเป็นช่องโหว่ที่รุนแรงระดับปานกลางและทำให้มีการประกาศ CVE สำหรับอุดช่องโหว่บนแต่ละภาษาและ Platform ลง ได้แก่ PHP (CVE-2016-5385), Go (CVE-2016-5386), Apache HTTP Server (CVE-2016-5387), Apache Tomcat (CVE-2016-5388), HHVM (CVE-2016-1000109) และ Python (CVE-2016-1000110)

ทางด้าน Akamai เริ่มโต้ตอบต่อช่องโหว่นี้แล้วด้วยการบล็อค HTTP Header ที่พยายามเปลี่ยนค่า Variable เหล่านี้ใน CGI/PHP เรียบร้อยแล้ว

ที่มา: https://threatpost.com/cgi-script-vulnerability-httpoxy-allows-man-in-the-middle-attacks/119345/



About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

Akamai เผยสถิติครึ่งปีหลัง 2019 แฮ็กเกอร์มุ่งโจมตี API กับบริการทางการเงิน

Akamai ได้สรุปสถิติในช่วงครึ่งหลังของปี 2019 พบว่า API กลายมาเป็นเป้าหมายหลักเมื่อแฮ็กเกอร์โจมตีบริการทางการเงิน (Financial Service) นอกจากนี้ยังมีสถิติอื่นๆ ที่น่าสนใจมาให้ติดตามกันด้วยครับ

JCSec: Joint Conference on *Security เปิดขายบัตรแล้ว

OWASP Thailand Chapter, 2600 Thailand, MiSSConf และ Sec-Girl 4 Communities ด้าน Cybersecurity ของไทยร่วมกันจัดงานสัมมนา JCSec: Joint …