เพิ่มเติมจาก
https://sysadmin.psu.ac.th/2023/02/14/ubuntu-oval/
OVAL Definition Generator Information (ทางขวาในรายงาน) เป็น Canonical USN OVAL Generator ซึ่งรายงานจะสรุปเป็นหมวดหมู่ช่องโหว่
ต่างจากรายงานที่โครงการ Data Lake ส่งมาใช้ OVAL Definition Generator Information เป็น Canonical CVE OVAL Generator เน้นแสดงตาม CVE จึงไม่มีสรุปว่า CVE เกี่ยวกับช่องโหว่ใด
Author: songkrant.m
-
OVAL Definition Generator Information
-
Google Search Console Alert New owner for
เนื่องจากเว็บไซต์สถาบันการศึกษา ตกเป็นเป้าหมายในการโจมตี ตามรายงาน สกมช. ที่
https://www.ncsa.or.th/service-statistics.html
โดยเว็บไชต์จำนวนหนึ่งในมหาวิทยาลัยได้เคยถูกโจมตีแล้ว และกำลังจะถูกโจมตีได้อีกมากด้วยยังคงมีช่องโหว่ที่ยังไม่ได้รับการแก้ไข
ผู้บริหารเทคโนโลยีสารสนเทศระดับสูง ประจำมหาวิทยาลัยสงขลานครินทร์ จึงได้ออกหนังสือเวียนแจ้งทุกส่วนงานในมหาวิทยาลัย
[มอ 011/67-ว011]แนวปฏิบัติในการจัดทำเว็บไซต์มหาวิทยาลัยสงขลานครินทร์ (23 เม.ย. 67)
https://docs.psu.ac.th/view/2b962109-f1d8-451e-a361-ca7ee053c9a2/
เอกสารแนบ แนวปฏิบัติในการจัดทำเว็บไซต์มหาวิทยาลัยสงขลานครินทร์
https://net.psu.ac.th/local/internet/Guidelines_for_PSU_Website_2024_v1.pdf
เพื่อให้ได้ใช้แนวทางการตรวจสอบช่องโหว่เว็บไซต์ได้ด้วยตนเอง และผู้ดูแลเว็บไซต์ได้เร่งปรับปรุงให้ได้มาตรฐานและมีความปลอดภัย
เว็บไชต์ในมหาวิทยาลัยที่ได้ถูกโจมตีมักจะเป็นการวางหน้าโฆษณาและมีลิงก์ไปสู่เว็บไชต์พนันออนไลน์
ด้วยพฤติกรรมของแฮคเกอร์เมื่อโจมตีเว็บไซต์สำเร็จ ต้องการให้หน้าเว็บไซต์ของส่วนงานในมหาวิทยาลัยที่มีลิงก์พนันออนไลน์ โฆษณาไปให้ถึงผู้ใช้เว็บไซต์ได้จำนวนมากๆ
โดยใช้เครื่องมือของ Google Search
ทีมงาน PSU CIRT ได้รับการแจ้งเตือน เมื่อเว็บไซต์ภายใต้ชื่อโดเมนของมหาวิทยาลัย .psu.ac.th จากการใช้เครื่องมื่อ Google Search Console ที่
https://search.google.com/search-console
เพื่อให้ ผู้ดูแลเว็บไซต์ส่วนงาน ได้รับการแจ้งเตือนโดยตรง เพื่อแก้ไขได้อย่างรวดเร็ว
ขอให้ผู้ดูแลเว็บไซต์ส่วนงานที่มี ชื่อโดเมนย่อยต่างๆ ของส่วนงาน หรือซับโดเมนพีเอสยู (Subdomain under psu.ac.th) ให้เลือกแบบ Domain
และระบุชื่อโดเมนย่อยของส่วนงานที่ท่านรับผิดชอบ
หรือหากเป็นชื่อเว็บไซต์ ที่มีชื่อระดับเดียวแล้วต่อด้วย .psu.ac.th ให้เลือกแบบ URL prefix
และระบุชื่อเว็บไซต์เป็น URL ของส่วนงานที่ท่านรับผิดชอบ
ต่อมาในขั้นตอน Verify URL ก็ให้เลือกวิธีการพิสูจน์ว่าท่านเป็นเจ้าของเว็บไซต์นั้นๆ ตามวิธ๊การที่ท่านสามารถทำได้
คำแนะนำอ่านเพิ่มเติมได้จาก
https://contentshifu.com/blog/google-search-console-introduction
หากมีข้อสงสัยในการ Verify ส่งข้อความสอบถามมาใน Teams Chat PSU Admin วิทยาเขตต่างๆ ที่ท่านสังกัดอยู่ได้เลยครับ เพื่อจะได้ทราบคำแนะนำเพิ่มเติมไปพร้อมๆ กัน
เมื่อแฮคเกอร์ลงโฆษณาลิงก์พนันออนไลน์ ผู้ดูแลเว็บไซต์ส่วนงานก็จะได้รับอีเมลเตือนทันที จาก Google Search Console Team ด้วยเรื่อง
New owner for https://ชื่อเว็บไซต์ส่วนงาน.psu.ac.th/ตำแหน่งไฟล์หน้าโฆษณาลิงก์พนันออนไลน์
To owner of ชื่อเว็บไซต์ส่วนงาน psu.ac.th,
Google has identified that ***บัญชีอีเมลที่แฮคเกอร์ใช้ลงโฆษณา***@gmail.com has been added as an owner of
https://ชื่อเว็บไซต์ส่วนงาน.psu.ac.th/ตำแหน่งไฟล์หน้าโฆษณาลิงก์พนันออนไลน์/เช่น/js/xamp/angkasa168/.
Property owners can change critical settings that affect how Google Search interacts with your site. Ensure that only appropriate people have owner status, and that this role is revoked when it is no longer needed.
ขอขอบคุณในความร่วมมือจากทุกๆ ท่านในการจัดทำเว็บไซต์ให้ได้มาตรฐาน และเพิ่มความปลอดภัยไซเบอร์ให้กับเว็บไซต์ภายใต้ชื่อโดเมน psu.ac.th ของ ม.อ. -
Ubuntu 24.04 LTS
Security Linux Ubuntu 14.04.6 LTS Ended Apr2024
ขอให้ผู้ใช้ OS Linux Ubuntu Server 14.04 เปลี่ยนรุ่น OS
เนื่องจาก Ubuntu Server 14.04 ที่ได้ออกมาตั้งแต่ 17Apr2014 ได้ยุติบริการแก้ไขช่องโหว่มาตรฐาน (End of Standard Support) แล้วเมื่อครบ 5 ปี Apr2019 และผู้ใช้สามารถสมัคร Ubuntu Pro เพื่อใช้บริการ Expanded Security Maintenance (ESM) ขยายเวลาดูแลแพตช์ความปลอดภัยให้แพ็กเกจซอฟต์แวร์ต่างๆ ของระบบนานเป็น 10 ปี ก็ได้ยุติลงแล้วเมื่อ Apr2024 ที่ผ่านมา
จึงขอให้ผู้ใช้ OS Linux Ubuntu Server ได้เปลี่ยน OS ไปใช้รุ่น 22.04 LTS ที่ได้ออกมาแล้วกว่า 2 ปี ตั้งแต่ 21Apr2022 มี Software ที่เข้ากันได้แล้วจำนวนมาก และบริษัทดูแลแพตช์ความปลอดภัยให้แพ็กเกจซอฟต์แวร์ต่างๆ ของระบบจนถึง Jun2027 ซึ่งจะใช้ไปได้อีก 3 ปี หรืออีก 8 ปีหากสมัคร ESM
ถ้าระบบที่ท่านดูแลมีความพร้อมใช้ OS Linux Ubuntu Server รุ่นล่าสุดๆ 24.04 LTS ที่เพิ่งออกมาสดๆ ร้อนๆ 25Apr2024 เนื่องจากเป็น Software ใหม่ อาจจะยังมีส่วนประกอบ Software บางส่วน ที่เข้ากันไม่ได้กับระบบของท่าน ท่านจำเป็นต้องทดสอบในสภาพแวดล้อมจำลอง ก่อนนำไปใช้ให้บริการเป็นระบบบริการจริง
หากใช้ 24.04 LTS ก็จะใช้กันยาวๆ ไปได้อีก 5 ปีจนถึง Jun2029 หรืออีก 10 ปี Apr2034 หากสมัคร ESM
-
Ubuntu OVAL Update2
จากโพสตั้งต้น เมื่อ 6 เดือนก่อนที่
https://sysadmin.psu.ac.th/2023/02/14/ubuntu-oval/มาดูว่ามีอะไรเปลี่ยนแปลงไปบ้างในรายงาน OVAL
- OVAL Results Generator
1.1. v1.2.16 เมื่อวันที่ 6Feb2023@1632 สำหรับ Ubuntu 20.04 LTS
1.2. v1.2.17 เมื่อวันที่ 18Aug2023@0234 สำหรับ Ubuntu 22.04 LTS- OVAL Definition Generator
2.1. เมื่อวันที่ 6Feb2023@0635 มี 1049 Definitions, 2284 Tests, 2264 Variables สำหรับ Ubuntu 20.04 LTS
2.2. เมื่อวันที่ 14Jul2023@0240 มี 513 Definitions, 1043 Tests, 735 Variables สำหรับ Ubuntu 22.04 LTS
2.3. เมื่อวันที่ 16Aug2023@0037 มี 550 Definitions, 1123 Tests, 794 Variables สำหรับ Ubuntu 22.04 LTS
-
Injection Vulnerability
ช่องโหว่ประเภท Injection นี้ยังคงเป็นสิ่งที่ผู้พัฒนาเว็บไซต์และโปรแกรมประยุกต์ต่างๆ ต้องหมั่นตรวจสอบติดตามแก้ไขโดยใน OWASP Top 10:201 ได้รายงานไว้เป็นลำดับที่ 3 A03:2021 ที่
https://owasp.org/www-project-top-ten/
2023-05-31 ตามกรณีที่เป็นข่าวว่าช่องโหว่ Injection นี้ได้ถูกใช้ในซอฟต์แวร์ MOVEit Transfer ซึ่งโปรแกรมจัดการไฟล์สำหรับองค์กร ซึ่งทางบริษัท Progress เจ้าของผลิตภัณฑ์ MOVEit Transfer ก็ได้ออกโปรแกรมอุดรอยรั่วแล้วอย่างรวดเร็ว ซึ่งผูใช้ต้องรีบปรับไปใช้รุ่นใหม่แทนทันที เพื่ออุดช่องโหว่นี้
https://community.progress.com/s/article/MOVEit-Transfer-Critical-Vulnerability-31May2023
https://www.progress.com/security/moveit-transfer-and-moveit-cloud-vulnerability
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-34362
https://headtopics.com/th/361036193636362187386-39893729
-
Beware of open large 700+ MB PDF, SCR File
ระวังการเปิดอ่านไฟล์ PDF, SCR ขนาดใหญ่กว่า 700 MB ด้วยอาจจะเป็น มัลแวร์ ที่สามารถสำเนาคุกกี้ในโปรแกรมเว็บเบราเซอร์ของเครื่องที่ท่านใช้งานอยู่ไปให้กับคุณแฮกเกอร์ได้
คุณแฮกเกอร์ เมื่อได้ คุกกี้ ไปแล้วก็สามารถนำไปใช้เข้าเว็บไซต์ที่แม้จะได้มีการป้องกันด้วยระบบตรวจสอบตัวจริงหลายชั้น Multi-factor Authentication : MFA เอาไว้ ก็หลุดรอดวิธีเข้าเว็บไซต์ด้วยคุ๊กกี้นี้ไปได้อย่างง่ายดาย ทั้งนี้ด้วยช่องโหว่โปรแกรมป้องกันไวรัสจะไม่ตรวจสอบไฟล์ขนาดใหญ่กว่า 700 MB
ก่อนคลิก คิดทบทวนกันก่อนนะครับ
อ้างอิงจาก YouTube https://youtu.be/yXYLR8MfSz8
-
Patch Your Website NOW
เรียนท่านผู้ดูแลเว็บไซต์ต่างๆ ภายใต้โโเมน psu.ac.th
เนื่องด้วยเว็บไซต์หลายส่วนงานไม่ได้มีการปรับปรุงซอฟแวร์บริการเว็บไซต์และระบบปฏิบัติการให้ทันสมัยล่าสุดปิดกั้นช่องโหว่
ส่งผลให้เว็บไซต์จำนวนมากมีช่องโหว่ พร้อมให้ถูกโจมตีได้ง่ายมาก ไม่ต้องใช้เทคนิคขั้นสูงในการเจาะระบบ
หากท่านยังไม่ได้เคยตรวจสอบปรับปรุงเว็บไซต์ก็ขอให้ใช้เครื่องมือที่
- ตรวจสอบ Public IP Address ของเว็บไซต์ที่ท่านดูแล ยกตัวอย่าง www.psu.ac.th
โดยใช้ URL
https://bgp.he.net/dns/www.psu.ac.th/
และแก้ไข www.psu.ac.th เป็นชื่อเว็บไซต์ที่ท่านดูแล
ซึ่งตัวอย่าง www.psu.ac.th
ได้ Public IP Address 192.100.77.111 - ตรวจสอบช่องโหว่ของเว็บไซต์ที่ท่านดูแลจาก Shodan
โดยใช้ URL
https://www.shodan.io/host/192.100.77.111
และแก้ไข Public IP Address เป็น Public IP Address ของเว็บไซต์ที่ท่านดูแล
หากด้านซ้ายล่างมีข้อความ
Vulnerabilities และแสดง
CVE เลบต่างๆท่านผู้ดูแลเว็บไซต์ งานเข้าเร่งด่วน ให้ ปรับปรุง ปิดกั้น ช่องโหว่ เว็บไซต์ที่ท่านดูแล
โดยเร็วที่สุดซึ่งหากท่านดูแลเว็บไซต์เองไม่ได้ก็ขอให้ย้ายเนื้อหามาใช้บริการที่
https://webhost.psu.ac.th/
ที่ท่านจะดูแลเฉพาะส่วนเนื้อหาในเว็บไซต์
ในที่สุด เว็บไซต์ ที่ดูแลไม่ต่อเนื่อง มีช่องโหว่ ก็จะถูกโจมตี แบบเบาๆ ก็จะถูกวาง Link การพนัน ลามกอนาจาร ตัวอย่างเช่น
ค้นหาด้วย Google ใช้คำว่าslot site:*.psu.ac.th
ก็จะปรากฎชื่อเว็บไซต์ต่างๆ ภายใต้โดโเมน psu.ac.th ที่ถูกโจมตี จากช่องโหว่ที่ปล่อยทิ้งไว้ไม่ปรับปรุงป้องกัน
ซึ่งตัวอย่างนี้ฝัง Link ที่ไปสู่ เว็บไซต์ การพนัน ตามคำค้นว่า slot
ย้ำอีกครั้ง อย่าปล่อยรอไว้ จนถึงวันที่ ผู้บริหารส่วนงานท่านได้รับหนังสือจาก DiiS.PSU ว่าทาง สกมช. ได้ส่งหนังสือเรียนท่านอธิการบดี แจ้งเตือนเว็บไซต์ต่างๆ ที่ท่าน “ต้องดูแล” รับผิดชอบ ภายใต้โดโเมน psu.ac.th ถูกโจมตี
ไม่ต้อง รอ นะครับ - ตรวจสอบ Public IP Address ของเว็บไซต์ที่ท่านดูแล ยกตัวอย่าง www.psu.ac.th
-
PSU Internet was Affected by Submarine Cable
NT คาดว่าจะแก้ไขกลับมาให้เป็นปกติได้ประมาณวันที่ 1 มี.ค. 2566
PSU ยังคงมีการใช้ Internet ผ่าน อีก 2 ISP ได้แก่ UniNet และ True ซึ่งก็มีทางเชื่อม Internet ผ่าน NT-IIG วงรีทางซ้ายในแผนผัง
http://internet.nectec.or.th/webstats/show_page.php?ZRXlBGci8PKBfyGoc7U+YUMy0Mxa4ePxBhBlnwqcod1s56C+MB1w8PH7zxtoDLTv3lyjGbqHqI3kpjAsGrb3Y0vlVN/aAcvDDim6ggNEPEVG0g7Tda6BWRbRQiS8DM5Dสาเหตุการขัดข้อง
o เกิดจากการขัดข้องของระบบเคเบิลใต้น้ำระหว่างประเทศ ได้แก่ ระบบ AAG, AAE1 และ APG บริเวณน่านน้ำประเทศสิงคโปร์, ฮ่องกง และประเทศไทย ในช่วงเวลาที่ทับซ้อนพร้อมกันหลายระบบ ทำให้วงจร Trunk Internet Gateway เชื่อมต่อไปยังภูมิภาคต่าง ๆเกิดการ Congestion
ผลกระทบการใช้งานบริการ International Internet Gateway
oทำให้การใช้งาน Internet หรือ Application แบบ Real time โดยเฉพาะปลายทางประเทศสิงคโปร์ ฮ่องกง ใช้งานได้ช้า (High latency/packet loss) ในบางช่วงเวลาที่การใช้งาน Traffic สูง
oทั้งนี้ในการให้บริการ NT IIG ยังมี Traffic บางส่วนที่สามารถใช้งานได้จาก IIG Caching ซึ่งอยู่ภายใน IIG network เช่น Facebook, Google, Akamai, NETFLIX, Line ซึ่งยังไม่ได้รับผลกระทบต่อการใช้งาน
แผนการแก้ไขเร่งด่วน
oเปิดวงจร Trunk ผ่านระบบเคเบิลใต้น้ำ TIS (TH-SG) + SJC (SG-HK)
•ดำเนินการ : เสร็จเป็นที่เรียบร้อยแล้ว เมื่อ วันที่ 2 ก.พ. 2566
•ผลลัพธ์ : ทำให้ Traffic ที่ผ่านไปยังปลายทางเขตปกครองพิเศษฮ่องกง ใช้งานได้ดีขึ้นและลดการ Congestion ด้านสิงคโปร์ได้บางส่วน
oเปิดวงจรเชื่อมต่อปลายทาง NT IIG POP Singapore เพิ่มเติมผ่านระบบเคเบิลใต้น้ำ SMW4 ขนาด 100 GE เพื่อขยาย Capacity ของ IIG Trunk Singapore
•ดำเนินการ : เปิดวงจรเชื่อมต่อไปยังสถานีเคเบิลใต้น้ำประเทศสิงคโปร์เป็นเรียบร้อยแล้ว ขณะนี้รอการเชื่อมต่อวงจรเชื่อมโยงจากสถานีเคเบิลใต้น้ำในประเทศสิงคโปร์ไปยัง NT IIG POP โดย บ.SingTel แจ้งข้อมูลล่าสุด(20ก.พ.)คาดว่าจะสามารถดำเนินการเชื่อมต่อวงจรได้ประมาณวันที่ 1 มี.ค. 2566
•ผลการลัพธ์ : ทำให้ Traffic ที่ผ่านไปยังปลายทางประเทศสิงคโปร์และปลายทางอื่นๆกลับสู่ภาวะปกติ
แผนการแก้ไขระยะยาว
oเพิ่ม Diversity วงจรเชื่อมต่อผ่านระบบ Submarine ADC (ประมาณ Q4 2566)
•Singapore POP เป็น 5 ระบบ (SMW4/TIS/AAG/APG/ADC)
•Hong Kong POP เป็น 5 ระบบ (AAG/APG/AAE1/TIS-SJC/ADC)
ข้อมูล ข้อขัดข้อง NT IIG ที่เป็นผู้ให้บริการ Internet ช่องทางหนึ่งแก่ PSU เนื่องจากเคเบิลใต้น้ำ 20Feb2023 ครับ
https://www.submarinecablemap.com/ -
Nessus Essentials
เครื่องมือตรวจสอบช่องโหว่ Nessus Essentials
จากเว็บไซต์ให้บริการตรวจสอบช่องโหว่ในระบบได้ฟรีๆ ไม่มีค่าใช้จ่าย เช่น https://www.shodan.io/ ซึ่งบริการฟรี สถานะ Last Seen แสดงวันที่ Shodan แวะเวียนมาตรวจสอบให้ล่าสุด
จึงเกิดคำถามว่า ถ้าเราได้อัพเดตส่วนประกอบพื้นฐานต่างๆ เช่น หากใช้ Ubuntu ก็ทำตาม วิธี https://sysadmin.psu.ac.th/2023/02/14/ubuntu-oval/ ที่ Ubuntu มีให้
แล้วจะรู้ได้อย่างไรว่า ช่องโหว่ต่างๆ ได้ถูกปิดให้ปลอดภัยขึ้นแล้วเครื่องมือที่สำนักนวัตกรรมดิจิทัลและระบบอัจฉริยะ diis.psu.ac.th มีใช้สำหรับตรวจสอบช่องโหว่คือ
Nessus Professional ซึ่งมีค่าใช้จ่ายรายปี และการใช้งาน ผู้ดูแลไอทีส่วนงานต่างๆ สามารถส่งอีเมลถึงitoc@psu.ac.th
แจ้งความประสงค์ ขอให้ตรวจสอบช่องโหว่เว็บไซต์ URL…
วันที่… เวลา…ซึ่งจะใช้เวลาตรวจสอบประมาณ 1-2 ชั่วโมง itoc@psu จะส่งรายงานผลการตรวจสอบจาก Nessus ให้กับท่านตามอีเมล @psu.ac.th ที่แจ้งความประสงค์เข้ามา
ตามลำดับคำขออย่างไรก็ตาม ยังมีอีกทางเลือกหนึ่ง ที่ผู้ดูแลไอทีส่วนงานต่างๆ สามารถสมัครใช้บริการ Nessus ได้แบบไม่มีค่าใช้จ่าย
Nessus Essentials
https://www.tenable.com/products/nessus/nessus-essentials
ซึ่งรองรับ 16 IP Address และตรวจสอบได้เพียงพอ ไม่ต้องถึงระดับ Compliance Checks แบบ Nessus Professionalบทความที่เคยใช้ข้อมูลจาก Nessus มีอยู่ที่
https://sysadmin.psu.ac.th/2019/08/13/nessus-scaned/ส่วน รายละเอียดการใช้งาน Nessus Essentials หากท่านใดมีเนื้อหาพร้อมแบ่งปัน สามารถแปะ URL ในช่องความเห็นมาได้เลยครับ
ร่วมด้วยช่วยกัน เพิ่มความปลอดภัยไซเบอร์ ให้ ม.อ.
