Breaking News

พบช่องโหว่ HTTPOXY ทำ Man-in-the-Middle บน Linux Web Server ได้

ทีมนักวิจัยจาก VendHQ พบช่องโหว่ของระบบ Web Application ที่ใช้ Common Gateway Interface (CGI) หรือระบบที่ใช้ CGI-like เช่น FastCGI ร่วมกับภาษาพัฒนาโปรแกรมอย่าง PHP, Python และ Go ที่จะทำให้ผู้โจมตีสามารถทำ Man-in-the-Middle ใส่เว็บไซต์ใดๆ ที่มีช่องโหว่เหล่านี้ และ Redirect Traffic ทั้งหมดมายัง Proxy Server ของผู้โจมตีได้เพื่อทำการตรวจสอบข้อมูลหรือทำการถอดรหัสข้อมูลเหล่านั้น รวมถึงทำ Denial-of-Service (DoS) ก็ตามแต่ และตั้งชื่อช่องโหว่นี้ว่า HTTPOXY

Credit: ShutterStock.com
Credit: ShutterStock.com

ช่องโหว่นี้เกิดขึ้นจากการที่ Server เหล่านี้เชื่อในการกำหนดค่าของตัวแปร HTTP_PROXY ที่ถูกระบุอยู่ใน HTTP Proxy Header ซึ่งทำให้เกิด Namespace Conflict ขึ้น ส่งผลต่อเนื่องให้ Web Server เหล่านี้บันทึกค่าของ HTTP_PROXY ลงไปใน Environment Variable ของระบบ และทำให้ผู้โจมตีสามารถกำหนดค่า HTTP_PROXY ของ Web Server เหล่านี้ได้จากการโจมตีระยะไกล

ทั้งนี้ผู้ที่เสียหายจากช่องโหว่นี้อาจมีเพียงระบบ Web Server จำนวนไม่มากนัก และ Web Server สมัยใหม่ก็ไม่ได้ใช้วิธีการนี้เป็น Default กันแล้ว

ช่องโหว่นี้ถือเป็นช่องโหว่ที่รุนแรงระดับปานกลางและทำให้มีการประกาศ CVE สำหรับอุดช่องโหว่บนแต่ละภาษาและ Platform ลง ได้แก่ PHP (CVE-2016-5385), Go (CVE-2016-5386), Apache HTTP Server (CVE-2016-5387), Apache Tomcat (CVE-2016-5388), HHVM (CVE-2016-1000109) และ Python (CVE-2016-1000110)

ทางด้าน Akamai เริ่มโต้ตอบต่อช่องโหว่นี้แล้วด้วยการบล็อค HTTP Header ที่พยายามเปลี่ยนค่า Variable เหล่านี้ใน CGI/PHP เรียบร้อยแล้ว

ที่มา: https://threatpost.com/cgi-script-vulnerability-httpoxy-allows-man-in-the-middle-attacks/119345/


About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

Homomorphic Encryption: เทคโนโลยีการเข้ารหัสข้อมูลที่เหล่าผู้ให้บริการ Cloud กำลังให้ความสนใจ

ในช่วงหลายปีที่ผ่านมานี้ หนึ่งในเทคโนโลยีที่เหล่าผู้ให้บริการ Cloud ระดับโลกทั้งหลายไม่ว่าจะเป็น Microsoft, Google, AWS และ IBM ต่างก็ให้ความสำคัญในการวิจัยและพัฒนาเครื่องมือต่างๆ ขึ้นมารองรับการใช้งานจริงในระดับ Commercial นั้น ก็คือ Homomorphic Encryption หรือเทคโนโลยีการเข้ารหัสข้อมูลที่ยังเปิดให้ผู้ใช้งานสามารถทำการวิเคราะห์ข้อมูลได้อยู่นั่นเอง

Fortinet เปิดตัว FortiGate E-Series ระดับ High-end ใหม่ 3 รุ่น

Fortinet ประกาศเปิดตัว FortiGate E-Series 3 รุ่นใหม่ ได้แก่ 3300E, 2200E และ 1100E ชูจุดเด่นด้านประสิทธิภาพของ Threat Protection และ …