S3 Ep140: คิดว่าตัวเองรู้จักแรนซัมแวร์งั้นเหรอ?

ไม่มีเครื่องเล่นเสียงด้านล่าง? ฟัง โดยตรง บนซาวด์คลาวด์

ดั๊ก.  เราเตอร์เสียหาย Megaupload ใน megatrouble และ MOVEit ทำร้ายร่างกายอื่น ๆ

ทั้งหมดนั้นและอีกมากมายในพอดคาสต์ Naked Security

[โมเด็มดนตรี]

ยินดีต้อนรับสู่พอดคาสต์ทุกคน

ฉัน Doug Aamoth; เขาคือพอล ดักคลิน

พอล เป็นยังไง?

---

เป็ด.  เป็นเพียงการแก้ความกำกวมสำหรับผู้ฟังชาวอังกฤษและเครือจักรภพของเรา ดั๊ก...

---

ดั๊ก.  “เราเตอร์” [ออกเสียงสไตล์อังกฤษว่า 'ROOTER' ไม่ใช่สไตล์สหรัฐว่า 'ROWTER']

---

เป็ด.  คุณไม่ได้หมายถึงเครื่องมืองานไม้ ฉันเดา?

---

ดั๊ก.  เลขที่! [หัวเราะ]

---

เป็ด.  คุณหมายถึงสิ่งที่ปล่อยให้อาชญากรเจาะเข้าไปในเครือข่ายของคุณหากไม่ได้รับการแก้ไขทันเวลา?

---

ดั๊ก.  ใช่!

---

เป็ด.  พฤติกรรมของสิ่งที่เราเรียกว่า 'ROOTER' ทำกับเครือข่ายของคุณมากกว่าที่ 'ROWTER' จะทำกับขอบโต๊ะของคุณหรือไม่ [หัวเราะ]

---

ดั๊ก.  อย่างแน่นอน! [หัวเราะ]

เราจะไปถึงที่นั่นในไม่ช้า

แต่ก่อนอื่นของเรา สัปดาห์นี้ในประวัติศาสตร์เทคโนโลยี ส่วน

Paul ในสัปดาห์นี้เมื่อวันที่ 18 มิถุนายน ย้อนไปในปี 1979: ความก้าวหน้าครั้งใหญ่สำหรับการประมวลผลแบบ 16 บิต เมื่อ Microsoft เปิดตัวเวอร์ชันของภาษาโปรแกรมพื้นฐานสำหรับโปรเซสเซอร์ 8086

เวอร์ชันนี้เข้ากันได้กับโปรเซสเซอร์ 8 บิตแบบย้อนหลัง ทำให้ BASIC ซึ่งมีอยู่ในโปรเซสเซอร์ Z80 และ 8080 และพบในคอมพิวเตอร์ประมาณ 200,000 เครื่องแล้ว ซึ่งเป็นลูกศรในตัวสั่นของโปรแกรมเมอร์ส่วนใหญ่ Paul

---

เป็ด.  สิ่งที่จะกลายเป็น GW-BASIC!

ฉันไม่รู้ว่าจริงหรือเปล่า แต่ฉันอ่านไปเรื่อยๆ ว่า GW-BASIC ย่อมาจาก “GEE WHIZZ!” [หัวเราะ]

---

ดั๊ก.  ฮา! [หัวเราะ]

---

เป็ด.  ฉันไม่รู้ว่าจริงไหม แต่ฉันชอบคิดว่ามันเป็น

---

ดั๊ก.  เอาล่ะเข้าเรื่องของเรากันเลย

ก่อนที่เราจะไปถึงสิ่งที่เป็นข่าว เรามีความยินดีและตื่นเต้นไม่น้อยที่จะประกาศตอนแรกจากสามตอนแรกของ คิดว่าคุณรู้จักแรนซัมแวร์หรือไม่?

นี่คือซีรีส์สารคดีความยาว 48 นาทีจากเพื่อนของคุณที่ Sophos

“The Ransomware Documentary” – ซีรีส์วิดีโอใหม่ล่าสุดจาก Sophos เริ่มแล้ว!

ตอนแรกเรียกว่า ต้นกำเนิดของอาชญากรรมไซเบอร์, รับชมได้แล้ววันนี้ที่ https://sophos.com/ransomware.

ตอนที่ 2 ซึ่งมีชื่อว่า ผู้ล่าและผู้ถูกล่าจะวางจำหน่ายในวันที่ 28 มิถุนายน 2023

ตอนที่ 3, อาวุธและนักรบ จะลดลงในวันที่ 5 กรกฎาคม 2023

ลองดูที่ https://sophos.com/ransomware.

ฉันได้ดูตอนแรกแล้วและมันก็เยี่ยมมาก

มันตอบคำถามทั้งหมดที่คุณอาจมีเกี่ยวกับต้นกำเนิดของความหายนะนี้ที่เราต่อสู้กันทุกปี พอล

---

เป็ด.  และมันให้ข้อมูลอย่างดีในสิ่งที่ผู้ฟังทั่วไปจะรู้ว่าเป็นคำพูดที่ฉันชอบ (ฉันหวังว่าตอนนี้ฉันจะไม่เปลี่ยนเป็นคำพูดที่เบื่อหู) กล่าวคือ: ผู้ที่จำประวัติศาสตร์ไม่ได้จะถูกลงโทษให้ทำซ้ำ

อย่าเป็นคนนั้น! [หัวเราะ]

---

ดั๊ก.  เอาล่ะมาต่อกันที่เรื่องของอาชญากรรม

เวลาคุมขังผู้ก่อตั้ง Megaupload XNUMX ใน XNUMX คน

การละเมิดลิขสิทธิ์ในประเด็นนี้ พอลและประมาณหนึ่งทศวรรษในการสร้าง?

Megaupload duo จะเข้าคุกในที่สุด แต่ Kim Dotcom ต่อสู้เพื่อ...

---

เป็ด.  ใช่.

จำได้เมื่อสัปดาห์ที่แล้วที่ฉันถอดความเรื่องตลกนั้นว่า “โอ้ คุณรู้ไหมว่ารถประจำทางเป็นอย่างไร ไม่มีมาช้าแล้วสามก็มาพร้อมกัน?” [หัวเราะ]

แต่ฉันต้องแบ่งมันเป็น "สองคนมาถึงพร้อมกัน" ...

…และยังไม่ทันที่ฉันจะพูด คนที่สามก็มาถึง [หัวเราะ]

และนี่คือประเทศนิวซีแลนด์ หรือ Aotearoa หรือที่เรียกกันอีกชื่อหนึ่งว่า

Megaupload เป็นบริการที่เรียกว่า “file locker” ในยุคแรกๆ ที่น่าอับอาย

นั่นไม่ใช่ “ตัวล็อกไฟล์” เหมือนในแรนซัมแวร์ที่ล็อกไฟล์ของคุณ

มันคือ "ตัวล็อกไฟล์" เหมือนล็อกเกอร์ยิม... ที่บนคลาวด์ที่คุณอัปโหลดไฟล์เพื่อดาวน์โหลดในภายหลัง

บริการดังกล่าวถูกระงับ โดยหลักแล้วเป็นเพราะ FBI ในสหรัฐอเมริกาได้รับคำสั่งให้ลบออก และกล่าวหาว่าจุดประสงค์หลักของบริการนี้ไม่ได้เป็นเพียงบริการ *อัปโหลด* ขนาดใหญ่ แต่เป็นบริการ *ดาวน์โหลด* ขนาดใหญ่ ซึ่งเป็นรูปแบบธุรกิจ ซึ่งมีพื้นฐานมาจากการสนับสนุนและจูงใจให้มีการละเมิดลิขสิทธิ์

ผู้ก่อตั้งหลักของธุรกิจนี้เป็นชื่อที่รู้จักกันดี: Kim Dotcom

และนั่นคือนามสกุลของเขาจริงๆ

เขาเปลี่ยนชื่อ (ฉันคิดว่าเดิมชื่อ Kim Schmitz) เป็น Kim Dotcom สร้างบริการนี้ และเขาเพิ่งต่อสู้กับการส่งผู้ร้ายข้ามแดนไปยังสหรัฐอเมริกาและยังคงทำเช่นนั้นต่อไป แม้ว่าศาล Aotearoa จะตัดสินว่าไม่มีเหตุผลใดที่เขาทำได้ ไม่ต้องส่งผู้ร้ายข้ามแดน

อีก XNUMX ใน XNUMX คนชื่อฟินน์ บาทาโต เสียชีวิตด้วยโรคมะเร็งเมื่อปีที่แล้วอย่างน่าเศร้า

แต่อีกสองคนที่เป็นผู้ขับเคลื่อนบริการ Megaupload อย่าง Mathias Ortmann และ Bram van der Kolk…

…พวกเขาต่อสู้กับการส่งผู้ร้ายข้ามแดน (คุณคงเข้าใจว่าทำไม) ไปยังสหรัฐอเมริกา ซึ่งพวกเขาอาจต้องรับโทษจำคุกจำนวนมาก

แต่ในที่สุดพวกเขาดูเหมือนจะทำข้อตกลงกับศาลในนิวซีแลนด์ [นิวซีแลนด์/เอโอเทียรัว] และกับเอฟบีไอและกระทรวงยุติธรรมในสหรัฐฯ

พวกเขาตกลงที่จะถูกดำเนินคดีในนิวซีแลนด์แทน เพื่อสารภาพผิด และช่วยเหลือทางการสหรัฐฯ ในการสอบสวนที่กำลังดำเนินอยู่

และลงเอยด้วยโทษจำคุก 2 ปี 7 เดือน และ 2 ปี 6 เดือน ตามลำดับ

---

ดั๊ก.  ผู้พิพากษาในคดีนั้นมีข้อสังเกตที่น่าสนใจ ฉันรู้สึก

---

เป็ด.  ฉันคิดว่าคุณอยู่ตรงนั้น ดั๊ก

โดยเฉพาะอย่างยิ่ง ไม่ใช่คำถามของศาลที่กล่าวว่า “เรายอมรับความจริงที่ว่าบริษัทขนาดใหญ่เหล่านี้ทั่วโลกสูญเสียเงินหลายพันล้านดอลลาร์”

ในความเป็นจริง ผู้พิพากษากล่าวว่าคุณต้องยอมรับการอ้างสิทธิ์เหล่านั้นด้วยเกลือนิดหน่อย และอ้างหลักฐานที่บ่งบอกว่าคุณไม่สามารถพูดได้ว่าทุกคนที่ดาวน์โหลดวิดีโอละเมิดลิขสิทธิ์จะต้องซื้อวิดีโอต้นฉบับ

ดังนั้นคุณจึงไม่สามารถบวกการสูญเสียทางการเงินในแบบที่ megacorps บางแห่งต้องการทำเช่นนั้นได้

อย่างไรก็ตาม เขากล่าวว่านั่นไม่ถูกต้อง

และที่สำคัญยิ่งกว่านั้น เขากล่าวว่า “คุณทำร้ายเด็กๆ ด้วยเช่นกัน และนั่นก็สำคัญพอๆ กัน”

และเขาได้อ้างถึงกรณีของนักพัฒนาซอฟต์แวร์อินดี้จากเกาะทางใต้ในนิวซีแลนด์ ซึ่งได้เขียนจดหมายถึงศาลเพื่อกล่าวว่า “ฉันสังเกตเห็นว่าการละเมิดลิขสิทธิ์ทำให้รายได้ของฉันลดลงอย่างมาก ฉันพบว่า 10 หรือ 20 ครั้งที่ฉันต้องอุทธรณ์ต่อ Megaupload เพื่อให้ลบเนื้อหาที่ละเมิดลิขสิทธิ์ออก ฉันใช้เวลามากในการทำเช่นนั้น และไม่เคยสร้างความแตกต่างเลยแม้แต่น้อย ดังนั้น ฉันไม่ได้บอกว่าพวกเขาต้องรับผิดชอบทั้งหมดสำหรับข้อเท็จจริงที่ว่าฉันไม่สามารถหาเลี้ยงชีพได้จากธุรกิจของฉันอีกต่อไป แต่ฉันกำลังบอกว่าฉันพยายามอย่างเต็มที่เพื่อให้พวกเขากำจัดสิ่งที่พวกเขากล่าวว่าพวกเขา จะทำ แต่ไม่เคยได้ผล”

ที่จริงออกมาที่อื่นในการตัดสิน… ซึ่งมี 38 หน้า ดังนั้นมันจึงค่อนข้างยาว แต่น่าอ่านมาก และฉันคิดว่ามันคุ้มค่าที่จะอ่าน

โดยเฉพาะอย่างยิ่ง ผู้พิพากษากล่าวกับจำเลยว่าพวกเขาต้องรับผิดชอบต่อความจริงที่ว่าพวกเขายอมรับว่าพวกเขาไม่ต้องการเอาผิดกับผู้ละเมิดลิขสิทธิ์มากเกินไปเพราะ “การเติบโตขึ้นอยู่กับการละเมิดเป็นหลัก”

และเขายังตั้งข้อสังเกตด้วยว่าพวกเขาได้คิดค้นระบบการลบออก ซึ่งโดยพื้นฐานแล้ว หากมีหลาย URL ให้ดาวน์โหลดไฟล์เดียวกัน...

…พวกเขาเก็บสำเนาของไฟล์ไว้หนึ่งชุด และหากคุณบ่นเกี่ยวกับ URL พวกเขาก็จะลบ *URL นั้น*

---

ดั๊ก.  อ่าฮะ!

---

เป็ด.  คุณคิดว่าพวกเขาต้องการลบไฟล์ออก แต่พวกเขาจะทิ้งไฟล์ไว้ที่นั่น

และทรงพรรณนาไว้ดังนี้. “คุณรู้และตั้งใจอยู่แล้วว่าการลบออกจะไม่มีผลกระทบใดๆ”

ซึ่งเป็นสิ่งที่นักพัฒนาซอฟต์แวร์ Kiwi อินดี้รายนี้อ้างในคำแถลงของเขาต่อศาล

และแน่นอนว่าพวกเขาต้องทำเงินได้มากมายจากมัน

หากคุณดูภาพถ่ายจากการจู่โจมที่ขัดแย้งใน Kim Dotcom ย้อนกลับไปในปี 2012...

…เขามีทรัพย์สินมหาศาลคันนี้ และรถแฟลชเหล่านี้ก็มีป้ายทะเบียนแปลกๆ [ป้ายชื่อรถ] เหมือนกัน GOD และ GUILTYราวกับว่าเขากำลังคาดเดาอะไรบางอย่าง [หัวเราะ]

การลบเนื้อหา Megaupload เป็นข่าวพาดหัวและกระแสข่าวเมื่อ Mr Dotcom ยื่นขอประกันตัว

ดังนั้น Kim Dotcom ยังคงต่อสู้กับการส่งผู้ร้ายข้ามแดน แต่อีกสองคนนี้ตัดสินใจว่าพวกเขาต้องการยุติเรื่องนี้

ดังนั้นพวกเขาจึงสารภาพผิด และตามที่ผู้แสดงความคิดเห็นของเราบางคนได้กล่าวถึง Naked Security ว่า “Golly สำหรับสิ่งที่พวกเขาทำเมื่อคุณอ่านคำพิพากษาโดยละเอียด ดูเหมือนว่าประโยคของพวกเขาจะเบา”

แต่วิธีการคำนวณคือผู้พิพากษาตัดสินว่าเขาคิดว่าโทษสูงสุดที่พวกเขาควรได้รับภายใต้กฎหมายเอาเทียรัวควรอยู่ที่ประมาณ 10 ปี

จากนั้นเขาก็คิดตามข้อเท็จจริงว่าพวกเขากำลังสารภาพผิด พวกเขากำลังจะร่วมมือกัน พวกเขาจะจ่ายเงินคืน 10 ล้านดอลลาร์ และต่อไปเรื่อยๆ พวกเขาควรจะได้ส่วนลด 75%

และความเข้าใจของฉันคือนั่นหมายความว่าพวกเขาจะระงับความกลัวที่ว่าพวกเขาจะถูกส่งข้ามแดนไปยังสหรัฐฯ เพราะความเข้าใจของฉันคือกระทรวงยุติธรรมได้กล่าวว่า "ตกลง เราจะปล่อยให้การตัดสินลงโทษเกิดขึ้นในประเทศอื่น ”

สิบกว่าปียังไม่จบ!

คุณควรพูดดีกว่าดั๊ก ...

---

ดั๊ก.  yesss!

เราจะจับตาดูเรื่องนี้

ขอบคุณ; ไปต่อกันเถอะ

หากคุณมีเราเตอร์ ASUS คุณอาจต้องทำการแพตช์ แม้ว่าไทม์ไลน์ค่อนข้างคลุมเครือสำหรับช่องโหว่ที่ค่อนข้างอันตราย Paul

ASUS เตือนลูกค้าเราเตอร์: แพตช์ทันที หรือบล็อกคำขอขาเข้าทั้งหมด

---

เป็ด.  ใช่ ยังไม่ชัดเจนนักเมื่อแพตช์เหล่านี้ออกมาสำหรับเราเตอร์รุ่นต่างๆ มากมายที่มีรายชื่ออยู่ในคำแนะนำ

ผู้อ่านของเราบางคนพูดว่า “ฉันไปดูมาแล้ว ฉันมีหนึ่งในเราเตอร์เหล่านั้นและอยู่ในรายการ แต่ไม่มีโปรแกรมแก้ไข *ตอนนี้* แต่ฉันเพิ่งได้รับแพตช์เมื่อไม่นานมานี้ซึ่งดูเหมือนว่าจะแก้ไขปัญหาเหล่านี้ได้… แล้วทำไมต้องมีคำแนะนำ *ตอนนี้*”

และคำตอบคือ “เราไม่รู้”

ยกเว้นบางทีที่ ASUS ได้ค้นพบว่าพวกอาชญากรกำลังเข้าสู่สิ่งเหล่านี้?

แต่ไม่ใช่แค่ "เฮ้ เราขอแนะนำให้คุณแก้ไข"

พวกเขากำลังบอกว่าคุณต้องแก้ไข และหากคุณไม่เต็มใจหรือไม่สามารถทำได้ เราก็ “ขอแนะนำอย่างยิ่งให้ (ซึ่งโดยทั่วไปหมายถึง 'คุณมีดีกว่า') ปิดใช้งานบริการที่เข้าถึงได้จากฝั่ง WAN ของเราเตอร์เพื่อหลีกเลี่ยงการบุกรุกที่ไม่พึงประสงค์ที่อาจเกิดขึ้น”

และนั่นไม่ใช่แค่คำเตือนทั่วไปของคุณ “โอ้ ตรวจสอบให้แน่ใจว่าส่วนติดต่อผู้ดูแลระบบของคุณไม่ปรากฏบนอินเทอร์เน็ต”

พวกเขาสังเกตว่าสิ่งที่พวกเขาหมายถึงโดยการบล็อกคำขอที่เข้ามาคือคุณต้องปิด *ทุกอย่าง* โดยทั่วไปที่เกี่ยวข้องกับเราเตอร์ที่ยอมรับการเชื่อมต่อภายนอกที่เริ่มต้นการเชื่อมต่อเครือข่าย...

…รวมถึงการดูแลระบบจากระยะไกล การส่งต่อพอร์ต (โชคไม่ดีถ้าคุณใช้สิ่งนั้นสำหรับการเล่นเกม) DNS แบบไดนามิก เซิร์ฟเวอร์ VPN ใดๆ และสิ่งที่พวกเขาเรียกว่าพอร์ตทริกเกอร์ ซึ่งฉันเดาว่าพอร์ตน็อค ซึ่งคุณรอการเชื่อมต่อเฉพาะและเมื่อคุณ ดูว่าการเชื่อมต่อนั้นคุณเปิดใช้บริการในเครื่องหรือไม่

ดังนั้นจึงไม่ใช่แค่คำขอเว็บเท่านั้นที่อันตรายที่นี่ หรืออาจมีข้อผิดพลาดบางอย่างที่ทำให้บางคนเข้าสู่ระบบด้วยชื่อผู้ใช้ลับ

มันคือทราฟฟิกเครือข่ายหลายประเภทที่หากสามารถเข้าถึงเราเตอร์ของคุณจากภายนอกได้ ดูเหมือนว่าเราเตอร์ของคุณอาจพังได้

มันฟังดูเร่งด่วนชะมัด!

---

ดั๊ก.  ช่องโหว่หลักสองจุดที่นี่...

…มีฐานข้อมูลช่องโหว่แห่งชาติ หรือ NVD ซึ่งให้คะแนนช่องโหว่ในระดับหนึ่งถึงสิบ และทั้งสองอย่างนี้คือ 9.8/10

แล้วก็มีอันอื่นๆ มากมายที่เป็น 7.5, 8.1, 8.8... เยอะแยะมากมายที่ค่อนข้างอันตรายตรงนี้ พอล

---

เป็ด.  ใช่.

“9.8 CRITICAL” เป็นตัวพิมพ์ใหญ่ทั้งหมด มีความหมายว่า [WHISPERING] “ถ้าพวกมิจฉาชีพคิดออก พวกเขาจะจัดการให้หมดเหมือนผื่น”

และสิ่งที่อาจแปลกประหลาดที่สุดเกี่ยวกับช่องโหว่ที่มีคะแนนความเลวร้าย 9.8/10 สองตัวนี้คือ หนึ่งในนั้นคือ CVE-2022-26376 และนั่นเป็นข้อบกพร่องใน HTTP Unescaping ซึ่งก็คือเมื่อคุณมี URL ที่มีอักขระตลกๆ เช่น ช่องว่าง…

…คุณไม่สามารถมีช่องว่างใน URL ได้ตามกฎหมาย คุณต้องใส่ %20 รหัสฐานสิบหกแทน

นั่นเป็นพื้นฐานในการประมวลผล URL ทุกประเภทบนเราเตอร์

และนั่นคือบั๊กที่ถูกเปิดเผย อย่างที่คุณเห็นจากตัวเลขในปี 2022!

และยังมีอีกอันหนึ่งในโปรโตคอลที่เรียกว่า Netatalk (ที่ให้การสนับสนุนสำหรับคอมพิวเตอร์ Apple) ซึ่งเป็นช่องโหว่ Doug, CVE-2018-1160

---

ดั๊ก.  นั่นเป็นเวลานานแล้ว!

---

เป็ด.  มันเป็น!

ได้รับการแก้ไขแล้วในเวอร์ชันของ Netatalk ซึ่งฉันคิดว่าเป็นเวอร์ชัน 3.1.12 ซึ่งออกมาเมื่อวันที่ 20 ธันวาคม *2018*

และพวกเขาแค่เตือนว่า “คุณต้องดาวน์โหลด Netatalk เวอร์ชันใหม่” ในตอนนี้ เพราะดูเหมือนว่าสามารถถูกโจมตีผ่านแพ็กเก็ตอันธพาลได้เช่นกัน

คุณจึงไม่จำเป็นต้องมี Mac; คุณไม่จำเป็นต้องใช้ซอฟต์แวร์ของ Apple

คุณแค่ต้องการบางอย่างที่พูดถึง Netatalk ในลักษณะหลบๆ ซ่อนๆ และมันสามารถให้สิทธิ์ในการเขียนหน่วยความจำโดยพลการ

และด้วยคะแนนบั๊ก 9.8/10 คุณต้องถือว่านั่นหมายความว่า “คนนอกระยะไกลโผล่เข้ามาในแพ็กเก็ตเครือข่ายหนึ่งหรือสองแพ็กเก็ต เข้าควบคุมเราเตอร์ของคุณทั้งหมดด้วยการเข้าถึงระดับรูท การรันโค้ดจากระยะไกลอย่างน่ากลัว!”

ค่อนข้างว่าทำไมพวกเขาถึงใช้เวลานานขนาดนั้นในการเตือนผู้คนว่าพวกเขาจำเป็นต้องได้รับการแก้ไขสำหรับข้อบกพร่องอายุห้าปีนี้...

…และทำไมพวกเขาถึงไม่มีการแก้ไขข้อบกพร่องอายุห้าปีเมื่อห้าปีก่อนจริง ๆ นั้นไม่ได้อธิบาย

---

ดั๊ก.  โอเค มีรายชื่อเราเตอร์ที่คุณควรตรวจสอบ และถ้าคุณไม่สามารถแพตช์ได้ คุณก็ควรจะทำทุกอย่างที่ "ปิดกั้นข้อมูลขาเข้าทั้งหมด"

แต่ฉันคิดว่าคำแนะนำของเราจะแก้ไข

และคำแนะนำที่ฉันชอบ: หากคุณเป็นโปรแกรมเมอร์ กรุณาทำความสะอาดอินพุตของคุณด้วย!

---

เป็ด.  ใช่ โต๊ะบ๊อบบี้ตัวน้อยปรากฏตัวอีกแล้ว ดั๊ก

เนื่องจากข้อบกพร่องอื่น ๆ ที่ไม่ได้อยู่ที่ระดับ 9.8 (ซึ่งอยู่ที่ระดับ 7/10 หรือ 8/10) คือ CVE-2023-28702

มันเป็นข้อผิดพลาดประเภท MOVEit ซ้ำแล้วซ้ำอีก: อักขระพิเศษที่ไม่ได้กรองในการป้อน URL ของเว็บอาจทำให้เกิดการแทรกคำสั่ง

ฟังดูเหมือนเป็นพู่กันที่ค่อนข้างกว้างสำหรับอาชญากรไซเบอร์

และมี CVE-2023-31195 ที่ดึงดูดความสนใจของฉัน ภายใต้หน้ากากของ การจี้เซสชัน.

โปรแกรมเมอร์กำลังตั้งค่าสิ่งที่เป็นคุกกี้โทเค็นการพิสูจน์ตัวตนโดยพื้นฐานแล้ว… สตริงวิเศษเหล่านั้นที่หากเบราว์เซอร์สามารถป้อนกลับคำขอในอนาคตได้ จะพิสูจน์ให้เซิร์ฟเวอร์เห็นว่าก่อนหน้านี้ในเซสชันที่ผู้ใช้เข้าสู่ระบบ มีชื่อผู้ใช้ที่ถูกต้อง รหัสผ่านที่ถูกต้อง รหัส 2FA ที่ถูกต้อง อะไรก็ได้

และตอนนี้พวกเขากำลังนำ "การ์ดการเข้าถึง" วิเศษนี้

ดังนั้น คุณควรติดแท็กคุกกี้เหล่านั้นเมื่อคุณตั้งค่า เพื่อไม่ให้มีการส่งคำขอ HTTP ที่ไม่ได้เข้ารหัส

ด้วยวิธีนี้ทำให้มิจฉาชีพสามารถจี้พวกเขาได้ยากขึ้นมาก… และพวกเขาก็ลืมที่จะทำเช่นนั้น!

นั่นเป็นอีกสิ่งหนึ่งสำหรับโปรแกรมเมอร์: ไปและตรวจสอบวิธีที่คุณตั้งค่าคุกกี้ที่สำคัญจริงๆ คุกกี้ที่มีข้อมูลส่วนตัวในคุกกี้หรือมีข้อมูลการตรวจสอบสิทธิ์ในคุกกี้ และตรวจสอบให้แน่ใจว่าคุณไม่ได้ปล่อยให้คุกกี้เหล่านี้ถูกเปิดเผยโดยไม่ได้ตั้งใจและง่ายดาย

---

ดั๊ก.  ฉันกำลังทำเครื่องหมายเรื่องนี้ (เทียบกับการตัดสินใจที่ดีกว่าของฉัน แต่นี่เป็นเรื่องที่สองในสองเรื่องจนถึงตอนนี้) เป็นเรื่องที่เราจะจับตามอง

---

เป็ด.  ฉันคิดว่าคุณพูดถูก Doug เพราะฉันไม่รู้จริงๆ ว่าทำไม เนื่องจากเราเตอร์บางตัวมีแพตช์เหล่านี้ปรากฏขึ้นแล้ว (แม้ว่าจะช้ากว่าที่คุณอาจต้องการ)... ทำไม *ตอนนี้*

และฉันเดาว่าส่วนหนึ่งของเรื่องราวยังคงต้องเกิดขึ้น

---

ดั๊ก.  กลายเป็นว่าเราไม่สามารถ *ไม่* จับตาดูเรื่องราวของ MOVEit นี้ได้เลย

สัปดาห์นี้เรามีอะไรบ้าง พอล?

MOVEit Mayhem 3: “ปิดการใช้งาน HTTP และ HTTPS ทันที”

---

เป็ด.  น่าเศร้าสำหรับ Progress Software รถบัสคันที่สามมาพร้อมกันเหมือนเดิม [หัวเราะ]

สรุปง่ายๆ ตัวแรกคือ CVE-2023-34362 ซึ่งเป็นตอนที่ Progress Software พูดว่า “ไม่นะ! มีซีโร่เดย์ – เราไม่รู้เรื่องนี้อย่างแท้จริง เป็นการฉีด SQL ซึ่งเป็นปัญหาการฉีดคำสั่ง นี่คือแพทช์ แต่มันเป็นซีโร่เดย์ และเรารู้เรื่องนี้เพราะพวกโจรแรนซัมแวร์ นักขู่กรรโชก ใช้ประโยชน์จากสิ่งนี้อย่างจริงจัง นี่คือตัวบ่งชี้ของการประนีประนอม [IoCs]”

ดังนั้นพวกเขาจึงทำสิ่งที่ถูกต้องทั้งหมดโดยเร็วที่สุดเท่าที่ทำได้ เมื่อพวกเขารู้ว่ามีปัญหา

จากนั้นพวกเขาก็ไปตรวจทานโค้ดของตนเอง โดยคิดว่า "คุณรู้อะไรไหม ถ้าโปรแกรมเมอร์ทำผิดพลาดในที่เดียว บางทีพวกเขาอาจทำผิดพลาดที่คล้ายกันในส่วนอื่นๆ ของโค้ดด้วย"

และนั่นนำไปสู่ ​​CVE-2023-35036 ซึ่งพวกเขาทำการอุดรูที่เหมือนกับรูเดิมในเชิงรุก แต่เท่าที่รู้ พวกเขาพบมันก่อน

และดูเถิด มีช่องโหว่ที่สามแล้ว

อันนี้คือ CVE-2023-35708 ซึ่งดูเหมือนว่าผู้ที่พบมันรู้ดีอยู่เต็มอกว่า Progress Software เปิดกว้างต่อการเปิดเผยอย่างมีความรับผิดชอบและการตอบสนองอย่างรวดเร็ว...

…ตัดสินใจที่จะเปิดเผยต่อสาธารณะต่อไป

ดังนั้นฉันจึงไม่รู้ว่าคุณเรียกสิ่งนั้นว่า “'การเปิดเผยข้อมูลทั้งหมด” (ฉันคิดว่านั่นเป็นชื่อทางการ) “การเปิดเผยที่ขาดความรับผิดชอบ” (ฉันได้ยินมาว่าคนอื่นที่ Sophos เรียกแบบนี้) หรือ “การทิ้ง 0-day for fun” ซึ่งผมคิดเช่นนั้น

น่าเสียดายเล็กน้อย

ดังนั้น Progress Software จึงพูดว่า "ดูสิ มีคนทิ้งวันที่ 0 นี้ไปแล้ว; เราไม่รู้เกี่ยวกับมัน เรากำลังทำงานกับแพตช์ ในช่วงเวลาสั้นๆ นี้ เพียงแค่ปิดเว็บอินเตอร์เฟสของคุณ (เรารู้ว่ามันยุ่งยาก) และปล่อยให้เราทดสอบแพตช์ให้เสร็จสิ้น”

และภายในเวลาประมาณหนึ่งวันพวกเขาพูดว่า "ใช่ นี่คือแพตช์ ตอนนี้ใช้มัน จากนั้น ถ้าคุณต้องการ คุณสามารถเปิดอินเทอร์เฟซเว็บของคุณอีกครั้ง”

ดังนั้น ฉันคิดว่าโดยรวมแล้ว แม้ว่ามันจะดูแย่สำหรับ Progress Software ที่มีบั๊กตั้งแต่แรก...

…หากเหตุการณ์นี้เกิดขึ้นกับคุณ การทำตามวิธีตอบสนองของพวกเขาในความคิดของฉัน เป็นวิธีที่ค่อนข้างดีทีเดียวที่จะทำ!

---

ดั๊ก.  ใช่ เราชื่นชม Progress Software รวมถึงความคิดเห็นของเราในสัปดาห์นี้เกี่ยวกับเรื่องนี้

อดัมแสดงความคิดเห็น:

ดูเหมือนว่า MOVEit จะดูไม่ค่อยดีนักในช่วงนี้ แต่ฉันขอปรบมือให้กับพวกเขาสำหรับการทำงานที่รวดเร็ว เชิงรุก และดูเหมือนจะตรงไปตรงมา

ในทางทฤษฎีแล้ว พวกเขาอาจพยายามทำให้ทุกอย่างเงียบลง แต่พวกเขากลับค่อนข้างรู้ล่วงหน้าเกี่ยวกับปัญหาและสิ่งที่ต้องทำเกี่ยวกับเรื่องนี้

อย่างน้อยก็ทำให้พวกเขาดูน่าเชื่อถือมากขึ้นในสายตาของฉัน...

…และฉันคิดว่านั่นเป็นความรู้สึกที่แบ่งปันกับคนอื่นๆ ด้วยเช่นกัน พอล

---

เป็ด.  มันใช่แน่ ๆ.

เราได้ยินสิ่งเดียวกันนี้บนช่องทางโซเชียลมีเดียของเราเช่นกัน: แม้ว่าจะเป็นเรื่องน่าเสียใจที่พวกเขามีบั๊ก และทุกคนก็หวังว่าพวกเขาจะไม่เป็นเช่นนั้น แต่พวกเขาก็ยังมีแนวโน้มที่จะไว้วางใจบริษัท

ในความเป็นจริงพวกเขาอาจมีแนวโน้มที่จะไว้วางใจ บริษัท มากกว่าที่เคยเป็นมาเพราะพวกเขาคิดว่าพวกเขาจะใจเย็นในภาวะวิกฤต

---

ดั๊ก.  ดีมาก

ได้เลย ขอบคุณ อดัม ที่ส่งมา

หากคุณมีเรื่องราว ข้อคิดเห็น หรือคำถามที่น่าสนใจที่คุณต้องการส่ง เรายินดีที่จะอ่านในพอดแคสต์

คุณสามารถส่งอีเมลไปที่ tips@sophos.com หรือแสดงความคิดเห็นในบทความของเรา หรือจะติดต่อหาเราบนโซเชียล: @nakedsecurity

นั่นคือการแสดงของเราในวันนี้ ขอบคุณมากสำหรับการฟัง

สำหรับ Paul Ducklin ฉัน Doug Aamoth เตือนคุณถึงครั้งต่อไปที่จะ...

---

ทั้งสอง  รักษาความปลอดภัย!

[โมเด็มดนตรี]