Oracle ออกแพตช์ประจำไตรมาส มีแก้ไขช่องโหว่ RCE ร้ายแรงใน Oracle WebLogic Server

Oracle ออกแพตช์ประจำไตรมาสของเดือนมกราคม 2020 แก้ไขช่องโหว่ 334 ช่องโหว่ในหลายผลิตภัณฑ์ มี 43 ช่องโหว่ที่มีความรุนแรงระดับ Critical ทั้งนี้หลายๆ ช่องโหว่สามารถถูกโจมตีระยะไกลได้โดยผู้โจมตีที่ไม่ต้องเข้าสู่ระบบ

ตัวอย่างช่องโหว่ที่สา่มารถโจมตีจากระยะไกลได้โดยผู้โจมตีที่ไม่ต้องเข้าสู่ระบบได้แก่ช่องโหว่ใน Oracle WebLogic Server CVE-2020-2546 และ CVE-2020-2551 ถ้าโจมตีช่องโหว่ทั้งสองนี้สำเร็จจะสามารถรันคำสั่งอันตรายจากระยะไกลได้ (RCE)

CVE-2020-2546 เป็นช่องโหว่ใน WLS Core Component ผู้โจมตีสามารถโจมตีผ่านโปรโตคอล T3 ได้ส่งผลกระทบ WebLogic Server รุ่น 10.3.6.0.0 และ 12.1.3.0.0

CVE-2020-2551 เป็นช่องโหว่ใน Application Container - JavaEE ผู้โจมตีโจมตีผ่านโปรโตคอล IIOP ได้ ส่งผลกระทบ 10.3.6.0.0, 12.1.3.0.0, 12.2.1.3.0 และ 12.2.1.4.0

ทั้งสองช่องโหว่นี้ยังไม่มีการเผยแพร่ POC แต่มีนักวิจัยด้านความปลอดภัยหลายๆ คนเผยแพร่ภาพและวิดีโอว่าสามารถโจมตีช่องโหว่ทั้งสองได้แล้ว

ผู้ดูแลระบบควรอัปเดตแพตช์เพื่อความปลอดภัย ในกรณีที่ไม่สามารถอัปเดตแพตช์ได้ ผู้ดูแลระบบสามารถพิจารณาปิดการใช้งานโปรโตคอล T3 และโปรโตคอล IIOP เพื่อลดความเสี่ยงจากการโจมตี

สามารถดูรายการช่องโหว่ทั้งหมดที่ได้รับการอัปเดตในครั้งนี้ได้จาก https://www.

Microsoft’s January 2020 Patch Tuesday Fixes 49 Vulnerabilities

ช่องโหว่สำคัญในแพตช์ประจำเดือนมกราคม 2020 จากไมโครซอฟต์
ไมโครซอฟต์ออกแพตช์ประจำเดือนมกราคม 2020 แก้ไขทั้งหมด 49 ช่องโหว่ โดยแพตช์นี้จะเป็นแพตช์ด้านความปลอดภัยสุดท้ายสำหรับ Windows Server 2008 และ Windows 7 ที่หมดระยะการสนับสนุนแล้ว ในช่องโหว่เหล่านั้นมีช่องโหว่ที่สำคัญและควรให้ความสนใจเป็นพิเศษ 4 ช่องโหว่ เป็นช่องโหว่ระดับ Critical ทั้งหมด เป็นช่องโหว่ใน CryptoAPI 1 ช่องโหว่ (CVE-2020-0601) และช่องโหว่ใน Windows RD Gateway และ Windows Remote Desktop Client 3 ช่องโหว่ (CVE-2020-0609, CVE-2020-0610 และ CVE-2020-0611)
ช่องโหว่ใน CryptoAPI (CVE-2020-0601) เป็นช่องโหว่ที่ทำให้ผู้โจมตีสามารถปลอม digital certificate เพื่อทำให้โปรแกรมอันตรายน่าเชื่อถือได้ หรือปลอมเพื่อทำ man-in-the-middle (MiTM) เพราะ Windows CryptoAPI ทำการตรวจสอบความถูกต้องของ digital certificate ได้ไม่ดีพอ ช่องโหว่นี้ส่งผลกระทบกับ Windows 10 ทั้งหมดซึ่งจะรวมไปถึง Windows Server 2016 และ 2019 ช่องนี้ค้นพบโดย National Security Agency (NSA) ซึ่งได้ให้คำแนะนำเกี่ยวกับช่องโหว่ไว้ที่ Media Defense

ช่องโหว่ใน Windows RD Gateway (CVE-2020-0609 และ CVE-2020-0610) เป็นช่องโหว่ที่ทำให้สามารถรันคำสั่งจากระยะไกลได้ (Remote Code Execution) โดยที่ผู้โจมตีไม่จำเป็นต้องเข้าสู่ระบบ เพียงแค่เชื่อมต่อด้วย RDP และส่ง request อันตรายไปยังเครื่องเป้าหมายเท่านั้น ส่งผลกระทบ Windows Server 2012, Windows Server 2012 R2, Windows Server 2016 และ Windows Server 2019
ช่องโหว่ใน Windows Remote Desktop Client (CVE-2020-0611) เป็นช่องโหว่ที่ทำให้สามารถรันคำสั่งจากระยะไกลได้ (Remote Code Execution) เมื่อ Windows Remote Desktop Client เชื่อมต่อไปยัง server ที่เป็นอันตราย ซึ่งการเชื่อมต่อไปยัง server ที่เป็นอันตรายอาจเกิดได้จาก social engineering, Domain Name Server (DNS) poisoning, man-in the-middle หรือผู้โจมตีสามารถควบคุมเครื่อง server ได้ ส่งผลกระทบ Windows ทุกรุ่นที่ยังได้รับการสนับสนุน และมีแพตช์ให้กับ Windows 7 และ Windows 2008 R2
ผู้ใช้งานและผู้ดูแลระบบควรอัปเดตแพตช์เพื่อความปลอดภัย

ที่มา - bleepingcomputer - Us-Cert

more info
https://thehackernews.

Windows Remote Desktop Services Used for Fileless Malware Attacks

Windows Remote desktop service ถูกใช้เป็นส่วนหนึ่งในการโจมตีของมัลแวร์แบบ Fileless

พบการโจมตีด้วยมัลแวร์แบบ Fileless ผ่าน remote desktop protocol (RDP) โดยไม่มีการทิ้งร่องรอยบนอุปกรณ์ที่ถูกโจมตี Cryptocurrency miners, info-stealers และ ransomware มัลแวร์ทั้งสามจะทำงานบน RAM ผ่าน RDP

เนื่องจากมัลแวร์แบบ Fileless จะทำงานบน RAM ทำให้ไม่มีร่องรอยหลงเหลือหากปิดเครื่อง

ผู้โจมตีใช้ประโยชน์จากฟีเจอร์ใน Windows Remote Desktop Services ซึ่งอนุญาตให้ client แชร์ไดร์ฟไปยังระบบ server พร้อมสิทธิในการอ่านและเขียน โดยไดร์ฟที่ปรากฏบน server เรียกว่า tsclient ซึ่งจะสามารถเข้าถึงไดรฟ์ที่ถูกแชร์นี้ได้ผ่าน RDP และทำการรันโปรแกรมได้ ในกรณีที่รันโปรแกรมที่ทำงานเฉพาะใน RAM เมื่อยกเลิกการเชื่อมต่อ RDP ก็จะไม่ทิ้งร่องรอย เพราะเมื่อยกเลิกการเชื่อมต่อ หน่วยความจำที่ใช้จะทำการคืนให้กับระบบ

นักวิเคราะห์มัลแวร์จาก Bitdefender พบว่าผู้โจมตีใช้ประโยชน์จากคุณสมบัติการแชร์ไดร์ฟดังกล่าวแพร่กระจายมัลแวร์หลายประเภทพร้อมกับไฟล์ worker.

VMware Security Advisories

VMware ออกแพตช์แก้ไขช่องโหว่

VMware Workstation และ Horizon View Agent มีช่องโหว่การ hijacking DLL (CVE-2019-5539) เนื่องจากการโหลด DLL ที่ไม่ปลอดภัยโดย Cortado Thinprint ซึ่ง VMware ได้ประเมินความรุนแรงของปัญหานี้ในระดับความรุนแรงปานกลางโดยมีคะแนนฐาน CVSSv3 สูงสุด 6.3

ผลิตภัณฑ์ที่ได้รับผลกระทบคือ VMware Workstation Pro / Player for Linux (Workstation) และ VMware Horizon View Agent (View Agent)
ช่องโหว่ดังกล่าวทำให้ผู้โจมตีมีสิทธิ์เข้าถึงการใช้งานในระดับ Client และสามารถยกระดับสิทธิ์เป็น admin ที่ติดตั้ง workstation หรือ View Agent
โดยช่องโหว่ดังกล่าวได้รับการรายงานจาก Peleg Hadar ของ SafeBreach Labs

ผู้ใช้งานควรอัปเดตแพตช์ให้เป็นปัจจุบันเพื่อลดความเสี่ยง

ที่มา: vmware

3 Critical Bugs Allow Remote Attacks on Cisco NX-OS and Switches

Cisco ทำการแก้ไขช่องโหว่สำหรับหลบเลี่ยงการยืนยันตัวตนสามช่องโหว่เชื่อมโยงกับแพลตฟอร์ม DCNM ที่ใช้ในการจัดการ NX-OS

Cisco ได้ออกแพตช์แก้ไขช่องโหว่ที่สำคัญสามข้อซึ่งส่งผลกระทบต่อเครื่องมือในการจัดการแพลตฟอร์มเครือข่ายอินเตอร์เน็ตและสวิตช์ ช่องโหว่เหล่านี้อาจอนุญาตให้ผู้โจมตีระยะไกลที่ไม่ได้ยืนยันตัวตนสามารถข้ามการตรวจสอบสิทธิ์และดำเนินการตามอำเภอใจด้วยสิทธิ์ระดับผู้ดูแลระบบบนอุปกรณ์เป้าหมาย

Cisco ได้เปิดเผยข้อบกพร่องที่สำคัญทั้งสาม (CVE-2019-15975, CVE-2019-15976, CVE-2019-15977) ส่งผลกระทบต่อ Cisco Data Center Network Manager (DCNM) ซึ่งเป็นแพลตฟอร์มสำหรับจัดการศูนย์ข้อมูล NX-OS ซึ่ง Cisco NX-OS เป็นระบบปฏิบัติการเครือข่ายบนสวิตช์อีเทอร์เน็ตตระกูล Nexus ของ Cisco และสวิตช์เครือข่ายพื้นที่เก็บข้อมูลไฟเบอร์แชนแนลตระกูล MDS

ผลิตภัณฑ์ที่ได้รับผลกระทบได้แก่ ซอฟต์แวร์ Cisco DCNM รุ่นเก่ากว่า 11.3 สำหรับ Microsoft Windows, Linux และแพลตฟอร์มจำลอง OS

ตามที่นักวิจัย Tenable ได้วิเคราะห์ข้อบกพร่องสองข้อ (CVE-2019-15975 และ CVE-2019-15976) ทั้งสองช่องโหว่นี้เป็นช่องโหว่สำหรับหลบเลี่ยงการยืนยันตัวตนใน REST API และ SOAP API สำหรับ Cisco DCNM เนื่องจากกุญแจสำหรับเข้ารหัสเป็นค่าคงที่

Satnam Narang นักวิจัย Tenable ระบุว่าผู้โจมตีระยะไกลที่ไม่ได้รับการพิสูจน์ตัวตนสามารถได้รับสิทธิ์การดูแลระบบผ่าน REST API หรือ SOAP API โดยการส่งคำขอที่สร้างขึ้นเป็นพิเศษซึ่งมีโทเค็นเซสชันที่ถูกต้องซึ่งสร้างขึ้นโดยใช้กุญแจสำหรับเข้ารหัสเป็นค่าคงที่

ข้อผิดพลาดที่สาม (CVE-2019-15976) อธิบายโดย Cisco ว่าเป็นช่องโหว่หลบหลีกการยืนยันตัวตนของตัวจัดการเครือข่ายศูนย์ข้อมูล ข้อบกพร่องนี้มีอยู่ในส่วนต่อประสานการจัดการบนเว็บของ DCNM ซึ่งช่วยให้ผู้โจมตีจากระยะไกลสามารถหลบหลีกการยืนยันตัวตนบนอุปกรณ์ได้

ช่องโหว่เกิดจากการมีอยู่ของข้อมูลประจำตัวแบบคงที่ ผู้โจมตีสามารถโจมตีช่องโหว่นี้ได้โดยใช้ข้อมูลประจำตัวแบบคงที่เพื่อรับรองความถูกต้องกับส่วนต่อประสานผู้ใช้ การโจมตีช่องโหว่ที่ประสบความสำเร็จอาจทำให้ผู้โจมตีเข้าถึงส่วนของเว็บอินเตอร์เฟสและรับข้อมูลที่เป็นความลับจากอุปกรณ์ที่ได้รับผลกระทบ ข้อมูลนี้สามารถใช้เพื่อดำเนินการโจมตีต่อระบบได้

ทั้งสามช่องโหว่ได้รับ Common Vulnerability Scoring System Score (CVSS) เป็น 9.8 นอกเหนือจากข้อบกพร่องที่สำคัญสามข้อแล้ว Cisco ได้ทำการแก้ไขข้อบกพร่องเพิ่มเติมอีกเก้าข้อที่มีความรุนแรงน้อยกว่าซึ่งเชื่อมโยงกับส่วนประกอบ DCNM ด้วย

ที่มา: threatpost.

Attackers Are Scanning for Vulnerable Citrix Servers, Secure Now

POC ของช่องโหว่ CVE-2019-19781 ใน Citrix ADC (NetScaler) ถูกเผยแพร่แล้ว

ในช่วงปลายเดือนธันวาคม 2019 มีรายงานการพบช่องโหว่ CVE-2019-19781 ใน Citrix ADC (NetScaler) ซึ่งในเวลาต่อมาไม่นานนักวิจัยด้านความปลอดภัยพบการแสกนจำนวนมากเพื่อค้นหาเครื่องที่มีช่องโหว่ ซึ่งในวันที่ 11 มกราคม 2020 มีการปล่อยโค้ดสำหรับโจมตีช่องโหว่ CVE-2019-19781 ออกมาแล้ว

CVE-2019-19781 ถูกจัดความรุนแรงอยู่ในระดับ Critical และอาจส่งผลให้ผู้โจมตีสามารถรันคำสั่งที่เป็นอันตรายผ่าน Directory Traversal หากทำการโจมตีได้สำเร็จ ซึ่งในขณะนี้ยังไม่มีแพตช์ Citrix ได้ให้คำแนะนำเกี่ยวกับวิธีตั้งค่าเพื่อป้องกันไว้ที่ https://support.

Watch out, hackers are targeting CVE-2018-0296 Cisco fixed in 2018

เตือน Hacker ตั้งเป้าหมายการโจมตีไปยังช่องโหว่ CVE-2018-0296 ของ Cisco
Cisco ได้ออกมาเตือนลูกค้าว่า Hacker มีการโจมตีไปยัง อุปกรณ์ Cisco ASA ที่มีช่องโหว่ CVE-2018-0296 ซึ่งได้มีการแก้ไขไปแล้วเมื่อมิถุนายน 2018 ปัญหาของช่องโหว่นี้คือผู้โจมตีไม่ต้องเข้าสู่ระบบก็สามารถโจมตีจากระยะไกลได้ โดยทำให้เกิดการปฏิเสธการให้บริการ (DoS) นอกจากนี้ยังสามารถดูข้อมูลของระบบโดยใช้เทคนิคการสำรวจ Directory ได้
สาเหตุของปัญหามาจากการตรวจสอบ Input ที่ไม่เหมาะสมของ URL HTTP และอาจทำให้แฮกเกอร์สามารถส่งคำขอที่เป็นอันตรายไปยังอุปกรณ์ที่มีความเสี่ยง ซึ่งช่องโหว่ที่มีผลกระทบกับ Software ของอุปกรณ์ Cisco ดังนี้
3000 Series Industrial Security Appliance (ISA)
ASA 1000V Cloud Firewall
ASA 5500 Series Adaptive Security Appliances
ASA 5500-X Series Next-Generation Firewalls
ASA Services Module for Cisco Catalyst 6500 Series Switches and Cisco 7600 Series Routers
Adaptive Security Virtual Appliance (ASAv)
Firepower 2100 Series Security Appliance
Firepower 4100 Series Security Appliance
Firepower 9300 ASA Security Module
FTD Virtual (FTDv)
ซึ่ง Cisco แนะนำให้ผู้ดูแลระบบตรวจสอบ Version ของ Software ที่รันอยู่บนอุปกรณ์ว่าเป็นรุ่นที่ได้รับผลกระทบดังกล่าวหรือไม่ ซึ่ง Cisco ได้เขียนคำแนะนำไว้ที่ Cisco เพื่อแก้ไขปัญหาของช่องโหว่นี้

ที่มา Securityaffairs

Lazarus Hackers มีเป้าหมายที่ Linux และ Windows ด้วยมัลแวร์ Dacls ตัวใหม่

กลุ่ม Lazarus มีมัลแวร์ตัวใหม่ Dacls โจมตีทั้ง Linux และ Windows
Qihoo 360 Netlab พบมัลแวร์ Remote Access Trojan (RAT) ตัวใหม่ชื่อ Dacls ทำงานทั้งบน Windows และ Linux ซึ่งมัลแวร์ตัวนี้มีความเชื่อมโยงกับกลุ่ม Lazarus ที่ถูกสนับสนุนโดยรัฐบาลเกาหลีเหนือ กลุ่มนี้เป็นรู้จักในการแฮก Sony Films ในปี 2014 และเป็นเบื้องหลังในการระบาด WannaCry ไปทั่วโลกในปี 2017 อีกด้วย
นี่เป็นครั้งแรกที่พบมัลแวร์ที่ทำงาน Linux จากกลุ่ม Lazarus โดย Qihoo 360 Netlab เชื่อมโยงความเกี่ยวข้องระหว่าง Dacls กับกลุ่ม Lazarus จากการใช้งาน thevagabondsatchel[.]com ซึ่งเคยมีประวัติว่าถูกใช้งานโดยกลุ่ม Lazarus ในอดีต
Dacls ใช้ TLS และ RC4 ในการเข้ารหัสสองชั้นเพื่อรักษาความปลอดภัยในการสื่อสารกับ command and control (C2) รวมถึงใช้ AES encryption ในการเข้ารหัสไฟล์ตั้งค่า
นักวิจัยพบ Dacls สำหรับ Windows และ Linux พร้อมทั้งโค้ดสำหรับโจมตีช่องโหว่ CVE-2019-3396 ใน Atlassian Confluence บนเซิร์ฟเวอร์ บ่งชี้ถึงความเป็นไปได้ว่ากลุ่ม Lazarus จะใช้ช่องโหว่ดังกล่าวติดตั้ง Dacls นักวิจัยจึงแนะนำให้ผู้ใช้ Confluence ทำการแพตช์ระบบให้เร็วที่สุดเท่าที่จะทำได้
สามารถอ่านรายงานวิเคราะห์ Dacls และดูข้อมูล IOC ได้จาก https://blog.

267M Facebook Users’ Phone Numbers Exposed Online

พบเบอร์โทรของผู้ใช้ Facebook 267 ล้านคนรั่วไหลบนฐานข้อมูล

นักวิจัยด้านการรักษาความปลอดภัย Bob Diachenko พบฐานข้อมูลที่โพสต์อยู่บนฟอรั่มของแฮกเกอร์ เปิดให้ดาวน์โหลดในวันที่ 12 ธันวาคม ที่ผ่านมาก่อนจะถูกลบออก ฐานข้อมูลดังกล่าวมีข้อมูลกว่า 267 ล้านรายการ ประกอบด้วยหมายเลข Facebook ID ซึ่งเป็นเลขสาธารณะที่ใช้ระบุผู้ใช้งาน เบอร์โทรศัพท์ของผู้ใช้งาน ชื่อเต็ม และ Timestamp โดยข้อมูลส่วนใหญ่มาจากผู้ใช้งาน Facebook ในสหรัฐอเมริกา ยังไม่ทราบว่าข้อมูลดังกล่าวถูกรวบรวมจาก Facebook ได้อย่างไรแต่นักวิจัยคาดว่าข้อมูลจะมาจากการเรียก Facebook API ในช่วงเวลาก่อนที่ Facebook API จะปิดไม่ให้สามารถเข้าถึงเบอร์โทรศัพท์ได้ในช่วงปี 2018

ข้อมูลที่พบในฐานข้อมูลนี้สามารถเอาไปโจมตีแบบ Spam หรือ Phishing ได้ โดยนักวิจัยแนะนำให้ปรับตั้งค่าการแสดงข้อมูลใน Facebook เป็น private เพื่อช่วยลดการมองเห็นจากบุคคลที่สาม

ที่มา : 267M Facebook Users’ Phone Numbers Exposed Online

WordPress Releases Security and Maintenance Updates

WordPress ได้ปล่อยอัปเดตตัวใหม่ออกมา
WordPress 5.3 และเวอร์ชันก่อนหน้าได้รับผลกระทบจากหลายช่องโหว่ ผู้โจมตีสามารถใช้ประโยชน์จากช่องโหว่เหล่านั้นในการควบคุมเว็บไซต์ที่ได้รับผลกระทบ
หน่วยงาน CISA ได้เตือนให้ผู้ใช้และผู้ดูแลทำการตรวจสอบประกาศของ WordPress https://wordpress.