ผู้โจมตีพุ่งเป้าบริษัทก่อสร้าง โดยใช้ช่องโหว่แอปพลิเคชัน Mjobtime ผ่าน MSSQL และ IIS POST Request

ผู้โจมตีกำลังใช้ประโยชน์จากช่องโหว่ SQL Injection แบบ Blind ในแอปพลิเคชัน Mjobtime เวอร์ชัน 15.7.2 (CVE-2025-51683) ซึ่งเป็นแอปติดตามเวลาสำหรับธุรกิจก่อสร้าง โดยแอปพลิเคชันนี้มักถูกติดตั้งบน Microsoft IIS ร่วมกับฐานข้อมูล MSSQL การโจมตีนี้ทำให้ผู้โจมตีสามารถส่ง HTTP POST Request ที่ถูกสร้างขึ้นมาเป็นพิเศษไปยัง Endpoint `/Default.aspx/update_profile_Server` เพื่อบังคับให้ฐานข้อมูลรันคำสั่งระบบผ่านฟังก์ชัน `xp_cmdshell` ซึ่งช่วยให้สามารถควบคุมระบบปฏิบัติการของโฮสต์ Windows ได้อย่างสมบูรณ์ Huntress ตรวจพบรูปแบบการโจมตีนี้ในสภาพแวดล้อมของลูกค้าสามรายในภาคการก่อสร้าง โดยผู้โจมตีพยายามรันคำสั่งเพื่อสำรวจระบบและดึง Payload ระยะไกล

Severity: วิกฤต

System Impact:

• บริษัทก่อสร้าง
• แอปพลิเคชัน Mjobtime (เวอร์ชัน 15.7.2)
• Microsoft IIS (เว็บเซิร์ฟเวอร์)
• ฐานข้อมูล MSSQL
• ระบบปฏิบัติการ Windows (โฮสต์ที่รัน Mjobtime)

Technical Attack Steps:

1. 1. ผู้โจมตีส่ง HTTP POST Request ที่ถูกสร้างขึ้นมาเป็นพิเศษไปยังฟังก์ชัน `update_profile_Server` ที่เปิดเผยโดยส่วนหน้าของเว็บแอปพลิเคชัน Mjobtime
2. 2. ด้วยช่องโหว่ Blind SQL Injection (CVE-2025-51683) แอปพลิเคชันเว็บจะส่ง Input ที่ผู้โจมตีควบคุมได้ไปยัง Backend ของ MSSQL โดยไม่มีการตรวจสอบที่เหมาะสม ทำให้ผู้โจมตีสามารถจัดการ Query ที่แอปพลิเคชันรันบนฐานข้อมูลได้
3. 3. ผู้โจมตีใช้การควบคุมนี้เพื่อเปิดใช้งาน Stored Procedure แบบ Extended ที่ชื่อว่า `xp_cmdshell` บน MSSQL Instance ของ Mjobtime
4. 4. เมื่อ `xp_cmdshell` ทำงาน ผู้โจมตีสามารถรันคำสั่งระดับระบบปฏิบัติการด้วยสิทธิ์ของ Service Account ซึ่งมักจะให้การควบคุมโฮสต์ Windows ได้อย่างลึกซึ้ง
5. 5. ตัวอย่างคำสั่งที่ตรวจพบได้แก่ “cmd /c net user” เพื่อสำรวจระบบ, การ Ping ไปยังโดเมนภายนอก (เช่น oastify.com) เพื่อทดสอบการเชื่อมต่อกลับ และการพยายามดึง Payload ระยะไกลโดยใช้ `wget` และ `curl`

Recommendations:

Short Term:

• ตรวจสอบและแพตช์แอปพลิเคชัน Mjobtime เวอร์ชัน 15.7.2 หรือเวอร์ชันที่ได้รับผลกระทบทั้งหมดทันที
• ตรวจสอบ Log ของ IIS และ MSSQL สำหรับ Indicator of Compromise (IoC) ที่เกี่ยวข้องกับการโจมตี SQL Injection หรือการเรียกใช้ `xp_cmdshell` ที่ผิดปกติ
• ปิดใช้งาน `xp_cmdshell` ในฐานข้อมูล MSSQL โดยทันที หากไม่จำเป็นต่อการทำงานของแอปพลิเคชัน Mjobtime
• แยกส่วนระบบที่ได้รับผลกระทบเพื่อป้องกันการแพร่กระจายของการโจมตี

Long Term:

• ใช้หลักการ Least Privilege สำหรับ Service Account ของฐานข้อมูล MSSQL เพื่อจำกัดสิทธิ์หากมีการโจมตีเกิดขึ้น
• ปรับปรุงการตรวจสอบ Input และการเตรียมคำสั่ง (Parameterized Queries) ในโค้ดของแอปพลิเคชันเพื่อป้องกัน SQL Injection
• ติดตั้งและกำหนดค่า Web Application Firewall (WAF) เพื่อตรวจจับและบล็อกการโจมตี SQL Injection
• ทำการทดสอบเจาะระบบ (Penetration Testing) และการตรวจสอบความปลอดภัยของแอปพลิเคชันเว็บ (Web Application Security Audit) เป็นประจำ
• ฝึกอบรมพนักงานและนักพัฒนาเกี่ยวกับแนวทางปฏิบัติที่ดีที่สุดด้านความปลอดภัยในการพัฒนาแอปพลิเคชัน

Source: https://cybersecuritynews.com/attackers-exploiting-mjobtime-app-vulnerability/