พบเพจ Phishing หลายร้อยเพจวางอยู่ในไดเรกทอรี่จัดการ SSL Certificate

ในเดือนที่ผ่านมา Netcraft ผู้ให้บริการอินเทอร์เน็ตสัญชาติอังกฤษได้สังเกตพบพฤติกรรมของหน้าเพจ Phishing กว่า 400 เพจวางอยู่ในโฟลเดอร์ที่ชื่อ /.well-known/. โดยโฟลเดอร์นี้ทำหน้าที่เป็นส่วนนึงของ URI เพื่ออนุญาตผู้ใช้และกระบวนการประมวลผลอัตโนมัติได้รับ Policy และข้อมูลอื่นๆ เกี่ยวกับโฮสต์

ปกติแล้วไดเรกทอรี่ของ /.well-known/ จะถูกใช้เพื่อแสดงความเป็นเจ้าของโดเมน โดยผู้ดูแลเว็บไซต์ที่มีการใช้งาน HTTPS ที่ใช้งานบริหารจัดการ Certificate แบบอัตโนมัติอย่าง ACME (โปรโตคอลสำหรับการสื่อสารกันระหว่าง CA และเว็บไซต์ของผู้ใช้งานโดยอัตโนมัติ) ในการบริหารจัดการ SSL Certificate ซึ่งมักจะมีการวาง Token ไว้ในโฟลเดอร์ /.well-known/acme-challenge/ หรือ /.well-known/pki-validation/ เพื่อแสดง Certificate Issuer ของโดเมน

ด้วยความโด่งดังของบริการ Let’s Encrypt ที่เกิดขึ้นจากการร่วมมือกันของ Akamai, Cisco, Electronic Frontire Foundation (EFF) และ Mozilla เพื่อรณรงค์ให้เว็บไซต์หันมาใช้งาน HTTPS โดยข้อดีข้อหนึ่งของบริการนี้คือเปิดให้เจ้าของโดเมนได้รับ Trusted Certificate ฟรีและใช้งานบน ACME โปรโตคอล ดังนั้นผู้ดูแลเว็บไซต์จำนวนมากจึงเชื่อถือและผลที่ตามมาคือมีโฟลเดอร์ /.well-known/ อยู่บนหลายล้านเว็บไซต์ซึ่งเป็นที่ซ่อนชั้นดีของเพจ Phishing

Paul Mutton หนึ่งในทีมงานของ Netcraft ให้ความเห็นว่าจุดหน้าชื่อโฟลเดอร์ทำให้มันไม่ปรากฏเมื่อใช้คำสั่งเรียกแสดงไฟล์หรือโฟลเดอร์อย่าง ls ด้วยเหตุนี้มันจึงยากที่จะค้นหา ผู้ร้ายวางจึงเพจ Phishing ไว้โฟลเดอร์เดอร์ย่อยอย่าง /.well-known/acme-challenge/ หรือ /.well-known/pki-validation/ นอกจากนี้ Mutton ยังกล่าวเตือนว่า “แพลต์ฟอร์มที่มีการแชร์โฮสต์อาจจะมีช่องโหว่เนื่องจากเรื่องการกำหนดสิทธิ์ไฟล์ของระบบที่อาจอนุญาตให้ลูกค้าเว็บไซต์หนึ่งเข้าไปวาง Content บนลูกค้าอีกรายหนึ่งได้” โดยสมมติฐานที่ค่อนข้างมีน้ำหนักคืออาจจะมีบางเซิร์ฟเวอร์ถูกวางหน้าเพจ Phishing ในหลายๆ ชื่อ อย่างไรก็ตามตอนนี้ Netcraft เองก็ยังไม่มีคำตอบชัดเจนว่าผู้ร้ายเข้าไปวางเพจ Phishing เหล่านี้ได้อย่างไร

ที่มา : http://www.securityweek.com/phishing-pages-hidden-well-known-directory


About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

ฟรีคอร์สออนไลน์ Ethical Hacking: Hacking the Internet of Things (IoT)

Pluralsight ศูนย์รวมคอร์สออนไลน์ทางด้านเทคโนโลยี เปิดคอร์สอบรมเรื่อง Ethical Hacking: Hacking the Internet of Things (IoT) เพื่อเสริมความรู้และทักษะทางด้านความมั่นคงปลอดภัยของ Internet of Things …

Cisco แพตช์ช่องโหว่รุนแรงสูงบน IOS XE แนะเร่งอัปเดต

Cisco ได้ประกาศแพตช์อุดช่องโหว่ระดับรุนแรงสูงบนซอฟต์แวร์ IOS XE ซึ่งเป็นช่องโหว่ Cross-site request forgery (CSRF) บน Web UI ที่ทำให้คนร้ายสามารถเข้าไปปฏิบัติการอันตรายในระดับสิทธิ์ของเหยื่อที่กำลังล็อกอินใช้งานได้