News

ช่องโหว่ใน Zoom ที่ทำให้ผู้โจมตีสามารถทำการถอดรหัสผ่านห้องประชุมส่วนตัวได้

Tom Anthony ผู้บริหารด้านผลิตภัณฑ์ของ SearchPilot ได้เปิดเผยถึงการค้นพบช่องโหว่ในแอปพลิเคชัน Zoom ที่อาจจะทำให้ผู้โจมตีสามารถทำการถอดรหัสผ่านห้องประชุมส่วนตัวได้ ซึ่งการเผยแพร่นี้เกิดหลังจากได้รายงานไปยัง Zoom จนทำการแก้ไขเรียบร้อยแล้ว

Anthony เปิดเผยว่าช่องโหว่ถูกพบในเว็บไคลเอ็นต์ของ Zoom โดยช่องโหว่ที่ค้นพบนั้นเกี่ยวข้องกับการตั้งค่าการป้องกันของห้องประชุมส่วนตัวด้วยรหัสผ่านเริ่มต้น ช่องโหว่จะอนุญาตให้ผู้โจมตีทำการ Brute-force รหัสผ่านของการประชุม ซึ่งถูกกำหนดค่าเริ่มต้นด้วยตัวเลขจำนวน 6 หลัก จึงทำให้ผู้โจมตีสามารถทำการสุ่มจำนวนตัวเลข 1 ล้านครั้งก็จะถอดรหัสและเข้าสู่การประชุมได้ ซึ่ง Anthony ระบุว่าเขาเช่าเซิร์ฟเวอร์ใน AWS หนึ่งเครื่องแล้วสามารถถอดรหัสผ่านการประชุมหนึ่งได้ใน 25 นาที ซึ่งในกรณีที่กระจายการถอดรหัสไปหลายๆ เครื่อง จะใช้เวลาน้อยกว่านั้น

Anthony ได้ทำการรายงานปัญหาและช่องโหว่ให้กับ Zoom เมื่อวันที่ 1 เมษายน 2020 ที่ผ่านมา หลังจากได้รับรายงานทาง Zoom ได้ทำการปิดเว็บไคลเอ็นต์เพื่อทำการเเก้ไขปัญหา

หลังจากรับทราบและทำการเเก้ไขปัญหา Zoom เปิดให้บริการเว็บไคลเอ็นต์อีกครั้งในวันที่ 9 เมษายน 2020 ที่ผ่านมาโดยการเเก้ปัญหานั้น Zoom ได้ทำการปรับปรุงและเเก้ไข CSRF โทเค็นและจะกำหนดให้ผู้ใช้งานทุกคนต้องทำการลงชื่อเข้าใช้ก่อนเข้าร่วมการประชุมผ่านเว็บไคลเอ็นต์และทำการอัปเดตการตั้งรหัสผ่านเริ่มต้นการประชุมยาวกว่า 6 ตัวอักษรและไม่ใช่ตัวเลขเพียงอย่างเดียวอีกต่อไป

ที่มา:

bleepingcomputer.

Dell EMC ออกเเพตซ์ช่องโหว่บน iDRAC ที่จะทำให้ผู้โจมตีสามารถควบคุมการทำงานของเซิร์ฟเวอร์ได้

Georgy Kiguradze และ Mark Ermolov นักวิจัยจาก Positive Technologies ได้เปิดเผยถึงช่องโหว่บนเซิร์ฟเวอร์ Dell PowerEdge ซึ่งช่องโหว่ถูกพบใน Integrated Dell Remote Access Controller (iDRAC) ที่เป็นระบบการจัดการของเซิร์ฟเวอร์ซึ่งถูกฝังมาในเซิร์ฟเวอร์ Dell PowerEdge รุ่นใหม่ๆ โดยช่องโหว่อาจทำให้ผู้โจมตีสามารถควบคุมการทำงานของเซิร์ฟเวอร์ได้อย่างสมบูรณ์

ช่องโหว่ CVE-2020-5366 (CVSS: 7.1/10) เป็นช่องโหว่ประเภท Path Traversal ช่องโหว่อาจทำให้ผู้ใช้งานที่ได้รับการตรวจสอบสิทธิ์สามารถเปลี่ยนเเปลงการตั้งค่าระบบ Cooling หรือระบบ Power Setting บนเซิร์ฟเวอร์ที่ทำงานอยู่ได้ ด้วยความสามารถของช่องโหว่นี้อาจทำให้ผู้โจมตีทำการข่มขู่ผู้ใช้งานเพื่อทำการปิดเซิร์ฟเวอร์ที่ทำงานอยู่หรือขัดขวางการทำงานของเซิร์ฟเวอร์

นักวิจัยกล่าวอีกว่าช่องโหว่นี้มีผลกระทบกับระบบควบคุม Dell EMC iDRAC9 ที่ใช้ firmware เวอร์ชั่นก่อน 4.20.20.20

ผู้ดูแลระบบควรรีบทำการอัปเดต firmware อย่างเร่งด่วนเพื่อป้องกันผู้ประสงค์ร้ายใช้ประโยชน์จากช่องโหว่ทำการโจมตีระบบ

ที่มา:

infosecurity-magazine.

CISA ออกเเจ้งเตือนให้ระวังมัลเเวร์ QSnatch หลังพบอุปกรณ์ QNAP NAS จำนวน 62,000 ได้ติดมัลเเวร์แล้ว

หน่วยงานความมั่นคงปลอดภัยไซเบอร์ของสหรัฐอเมริกาและโครงสร้างพื้นฐาน (CISA) และศูนย์รักษาความปลอดภัยไซเบอร์แห่งชาติของสหราชอาณาจักร (NCSC) ได้ออกแจ้งเตือนเกี่ยวกับการโจมตีด้วยมัลเเวร์ QSnatch ไปยังอุปกรณ์ QNAP NAS หลังพบทวีความรุนเเรงมากขึ้นจากการพบผู้ติดเชื้อจำนวน 7,000 เครื่องในเดือนตุลาคม 2562 ซึ่งปัจุบันนั้นพบว่าได้เพิ่มจำนวนมากขึ้นเป็น 62,000 เครื่องในปัจจุบัน

ในรายงานของ CISA และ NCSC ได้ระบุว่า QSnatch ถูกพบครั้งเเรกในปี 2014 โดยมัลเเวร์ QSnatch พุ่งเป้าไปที่ QNAP NAS โดยปัจจุบัน มิถุนายน 2563 มีอุปกรณ์ติดเชื้อประมาณ 62,000 เครื่องทั่วโลกซึ่งประมาณ 7,600 เครื่องอยู่ในสหรัฐอเมริกาและ 3,900 เครื่องอยู่ในสหราชอาณาจักรและจากการค้นพบล่าสุดพบว่ามัลเเวร์ QSnatch นั้นได้เพิ่มความสามารถดังนี้

สร้างการเข้าสู่ระบบของผู้ดูแลระบบอุปกรณ์ปลอมและทำการบันทึกข้อมูลหลังจากนั้นจะส่งต่อไปยังหน้าเข้าสู่ระบบที่ถูกต้อง
การสแกน Credential
SSH backdoor
Exfiltration
Webshell สำหรับการเข้าถึงระยะไกล

ทั้งนี้ CISA และ NCSC ยังไม่พบสาเหตุหรือช่องโหว่ที่มัลเเวร์ QSnatch ใช้ในการระบาด แต่ CISA และ NCSC ได้ระบุว่าเมื่อมัลแวร์ QSnatch เข้ามาสู่ระบบ มัลแวร์จะทำการ Inject เข้าสู่ Firmware เพื่อที่จะสามารถควบคุมอุปกรณ์ได้อย่างสมบูรณ์และจะทำการบล็อกฟีเจอร์การอัปเดต Firmware เพื่อทำการฝังตัวและเปิดช่องทางให้สามาถกลับเข้ามาใช้ช่องโหว่อีกครั้ง

ทั้งนี้ผู้ที่สนใจสามารถอ่านข้อมูลเพิ่มเติมได้ที่: https://us-cert.

Lazarus hackers deploy ransomware, steal data using MATA malware

กลุ่มแฮกเกอร์ Lazarus ปล่อย Ransomware ขโมยข้อมูลโดยใช้ MATA Malware
เฟรมเวิร์กมัลแวร์ที่ถูกค้นพบเมื่อเร็ว ๆ นี้ที่รู้จักกันในชื่อ MATA เชื่อมโยงกับกลุ่มแฮกเกอร์จากเกาหลีเหนือที่รู้จักกันในชื่อ Lazarus โดยนำ MATA มาใช้ในการโจมตีเป้าหมายหลายๆองค์กรตั้งแต่เดือนเมษายน 2018

MATA คือโมดูลเฟรมเวิร์กที่ประกอบไปด้วยหลายๆอย่าง อย่างเช่น Loader, orchestrator และ Plugin อีกหลายๆตัว สามารถใช้แพร่กระจายมัลแวร์ได้ทั้ง Windows, Linux และ macOS

ระหว่างการโจมตี แฮกเกอร์สามารถใช้ MATA เพื่อทำการโหลดพวกปลั๊กอินเพื่อเรียกใช้ Command จากเครื่องที่ติดเชื้อผ่าน หน่วยความจำของระบบ, จัดการกับไฟล์และโปรเซสต่างๆ Inject DDLs ไฟล์ลงไป แล้วทำการสร้าง HTTP proxies ไว้เป็นช่องทางในการเข้าออกบนเครื่อง

MATA ยังช่วยให้แฮกเกอร์สามารถสแกนหาเป้าหมายใหม่บนเครื่อง macOS และ Linux (เราเตอร์ไฟร์วอลล์หรืออุปกรณ์ IoT) นอกจากนี้บนแพลตฟอร์ม macOS MATA ยังสามารถโหลดโมดูล plugin_socks ที่สามารถใช้เพื่อกำหนดค่า Proxy server ได้อีกด้วย และเมื่อ MATA ถูกแพร่ไปยังเครื่องเหยื่อสำเร็จ มันจะทำการค้นหาข้อมูลสำคัญๆ อย่างข้อมูลลูกค้า หรือข้อมูลทางธุรกิจแล้วขโมยออกมาได้ รวมถึงอาจมีการใช้เพื่อแพร่ Ransomware โดยสามารถอ่านรายงานโดยละเอียดและศึกษา IOC ได้จาก https://securelist.

Adobe Photoshop gets fixes for critical security vulnerabilities

บริษัท Adobe System ออกอัพเดตแพตซ์รักษาความปลอดภัยเกี่ยวกับการเรียกใช้โค้ดบนผู้ใช้งาน Windows และช่องโหว่การเปิดเผยข้อมูลบนผู้ใช้ Android

Adobe ได้อัพเดตช่องโหว่ความปลอดภัยที่ทำให้ผู้โจมตีสามารถเรียกใช้โค้ดบนระบบปฏิบัติการ Windows ทั้ง 12 ข้อใน Adobe Photoshop, Adobe Prelude และ Adobe Bridge
สำหรับผู้ใช้งาน Windows ที่ไม่ใช่บัญชีผู้ดูแลระบบผลกระทบอาจไม่ร้ายแรง นอกจากจะเจอช่องโหว่อื่นที่สามารถยกระดับสิทธ์ โดยมีรายละเอียดดังนี้

Adobe Bridge มีอัพเดตความปลอดภัย APSB20-44 ที่อาจอนุญาตให้สามารถใช้โค้ดจากระยะไกลด้วยสิทธิ์ผู้ใช้งานปัจจุบัน ผู้ใช้ Windows ควรติดตั้ง Adobe Bridge 10.1.1 เพื่อแก้ไขช่องโหว่
Adobe Photoshop CC 2019 และ Photoshop CC มีอัพเดต APSB20-45เป็นช่องโหว่การ Remote เพื่อเข้ามาแก้ไข และเขียนไฟล์ ผู้ใช้ควรติดตั้ง Photoshop CC 2019 20.0.10 หรือ Photoshop CC 21.2.1 เพื่อแก้ไขช่องโหว่ดังกล่าว
Adobe Prelude มีอัพเดต APSB20-46 Security การเรียกใช้โค้ดด้วยสิทธิ์ผู้ใช้งานปัจจุบัน ผู้ใช้ควรติดตั้ง Adobe Prelude 9.01 เพื่อเป็นการอัพเดตแพทซ์ช่องโหว่
Adobe Reader Mobile มีอัพเดต APSB20-50 เป็นช่องโหว่การเปิดเผยข้อมูลสำคัญของผู้ใช้งาน ผู้ใช้ Android ควรติดตั้ง Adobe Reader Mobile 20.3 เพื่อแก้ไขช่องโหว่นี้

ที่มา : bleepingcomputer

พบช่องโหว่ใหม่ BootHole ใน bootloader ยอดนิยมของ Linux กระทบ Windows ด้วย

นักวิจัยจาก Eclypsium เผยแพร่ช่องโหว่ใหม่ CVE-2020-10713 BootHole เป็นช่องโหว่ buffer overflow ใน GRUB2 เป็น bootloader ยอดนิยมที่ใช้ใน Linux หลายๆ ดิสโทร ช่องโหว่นี้เกิดเมื่อทำการ parsing ไฟล์ตั้งค่า grub.

ช่องโหว่ร้ายเเรงในปลั๊กอิน “wpDiscuz” ของ WordPress ที่จะช่วยให้ผู้โจมตีสามารถยึดครองบัญชีผู้ดูเว็บไซต์ได้

ทีม Threat Intelligence จาก Wordfence ได้เปิดเผยถึงช่องโหว่ที่มีความร้ายเเรงที่จะช่วยให้ผู้โจมตีสามารถอัปโหลดไฟล์ใดๆ ได้โดยไม่ได้รับอนุญาตบนโฮสที่มีช่องโหว่ โดยช่องโหว่นี้ถูกพบใน wpDiscuz ซึ่งเป็นปลั๊กอินจัดการระบบการแสดงความคิดเห็นบน WordPress ที่จะจัดการแสดงความคิดเห็นแบบเรียลไทม์ด้วย Ajax โดยปลั๊กอินนี้ถูกติดตั้งบนโฮสต์ WordPress มากกว่า 70,000 แห่ง

Chamberland อธิบายว่าช่องโหว่เกิดจากฟังก์ชันการตรวจสอบไฟล์ mime type ใน wpDiscuz ที่เป็นเวอร์ชั่นเก่าจึงทำให้เกิดการอนุญาตให้สามารถใช้ไฟล์จากสิ่งที่แนบมากับรูปภาพ จึงทำให้เกิดการอัปโหลดไฟล์อื่นๆ ได้โดยไม่ได้รับอนุญาต ซึ่งเมื่อไฟล์ถูกอัปโหลดไปแล้วผู้โจมตีสามารถเรียกใช้โค้ดเพื่อรันคำสั่งบนเซิร์ฟเวอร์จากระยะไกลได้

Chamberland กล่าวว่าช่องโหว่นี้ถูกประเมินคะเนนความรุนเเรงตาม CVSS อยู่ที่ 10/10 โดยช่องโหว่จะมีผลกับ wpDiscuz เวอร์ชันต่ำกว่า 7.0.5 ซึ่งปัจจุบันมีผู้ติดตั้งและใช้งานปลั๊กอิน wpDiscuz บน WordPress และมีความเสี่ยงต่อการถูกใช้ประโยชน์จากช่องโหว่จำนวน 45,000 แห่ง

ทั้งนี้ผู้ใช้งานและผู้ดูเเลเว็บไซต์ควรรีบทำการอัปเดตปลั๊กอิน wpDiscuz ให้เป็นเวอร์ชั่นใหม่ล่าสุดเพื่อลดความเสี่ยงต่อการโจมตีโดยใช้ประโยชน์จากช่องโหว่

ที่มา:

bleepingcomputer.

Magento ออกเเพตซ์เเก้ไขช่องโหว่ Code Execution ใน Magento Commerce และ Magento Open Source

Adobe ได้ทำการเปิดตัวเเพตซ์อัปเดตความปลอดภัยเพื่อเเก้ไขช่องโหว่ Code Execution ที่มีผลกระทบต่อ Adobe Magento Commerce และ Adobe Magento Open Source โดยรายละเอียดช่องโหว่ที่ได้รับเเก้ไขมีดังนี้

ช่องโหว่ CVE-2020-9689 เป็นช่องโหว่ Path Traversal ช่องโหว่จะช่วยให้ผู้โจมตีที่มีสิทธิ์ของผู้ดูแลระบบสามารถทำการเรียกใช้โค้ดได้โดยไม่รับอนุญาต
ช่องโหว่ CVE-2020-9691 เป็นช่องโหว่ DOM-based Cross-Site Scripting (XSS) ช่องโหว่จะช่วยให้ผู้โจมตีที่ไม่ได้รับการตรวจสอบสิทธ์สามารถรันโค้ดได้โดยไม่รับอนุญาตบนเครื่องที่ยังไม่ได้รับการเเพตซ์ช่องโหว่
ช่องโหว่ CVE-2020-9690 เป็นช่องโหว่ Observable Timing Discrepancy ช่องโหว่จะทำให้ผู้โจมตีที่มีสิทธิ์ระดับผู้ดูแลระบบสามารถ Bypass การตรวจสอบ Signature ได้

ช่องโหว่มีผลกระทบกับ Magento Commerce รุ่นก่อนหน้าเวอร์ชัน 2.3.5-p1 และ Magento Open Source รุ่นก่อนหน้าเวอร์ชัน 2.3.5-p1

Adobe กล่าวว่าสำหรับผู้ใช้งานที่ทำการติดตั้ง Magento Commerce และ Magento Open Source รุ่นที่มีช่องโหว่จะได้รับการเเนะนำให้ทำการติดตั้งเป็นเวอร์ชันใหม่ล่าสุด (2.4.0) หรือผู้ใช้สามารถอัปเกรดการติดตั้งเป็น Magento Commerce 2.3.5-p2 หรือ Magento Open Source 2.3.5-p2 นอกจากนี้ Adobe ได้เเนะนำให้ผู้ใช้ควรรีบทำการอัปเดตเเพตซ์การเเก้ไขช่องโหว่ให้เร็วที่สุดเพื่อปิดช่องทางการใช้ประโยชน์จากช่องโหว่ของผู้โจมตี

ที่มา: bleepingcomputer.

Attackers Exploiting High-Severity Network Security Flaw, Cisco Warns

Cisco ออกแจ้งเตือนให้ผู้ใช้ระวังการโจมตีโดยช่องโหว่ CVE-2020-3452 ทำการโจมตีเครือข่าย

ทีมตอบสนองต่อเหตุการณ์ความปลอดภัยของผลิตภัณฑ์ของ Cisco หรือ Cisco Product Security Incident Response Team (PSIRT) ได้ออกแจ้งเตือนผู้ใช้ให้รีบทำการเเพตซ์ช่องโหว่ที่อยู่ในซอฟต์แวร์รักษาความปลอดภัยเครือข่าย Firepower Threat Defense (FTD) ที่ได้ออกเเพตซ์เพื่อเเก้ไขช่องโหว่ไปแล้วในวันที่ 22 กรกฎาคมที่ผ่านมา หลังพบว่านักวิจัยด้านความปลอดภัย Ahmed Aboul-Ela ได้ทำการเเผยเเพร่ PoC ของช่องโหว่นี้และมีการพยายามโจมตีช่องโหว่นี้แล้ว

ช่องโหว่รหัส CVE-2020-3452 (CVSS: 7.5/10) ช่องโหว่นี้จะช่วยให้ผู้โจมตีจากระยะไกลที่ไม่ได้ตรวจสอบสิทธิ์สามารถเข้าถึงข้อมูลที่สำคัญได้ โดยช่องโหว่เกิดจากการขาดการตรวจสอบอินพุตใน URL ในกระบวนการประมวลผลของ HTTP requests จึงทำให้ผู้โจมตีสามารถทำการ Directory Traversal Attack และสามารถเข้าถึงไดเร็กทอรีหรือใช้คำสั่งภายนอก Root ไดเร็กทอรีของระบบได้ (ไม่สามารถเข้าถึงไฟล์ระบบปฏิบัติการได้)

นักวิจัยจาก Rapid7 กล่าวว่าหลังจากออกเเพตซ์เพื่อเเก้ไขช่องโหว่อุปกรณ์ ASA / FTD ของ Cisco นั้นพบว่ามีเครื่องจำนวน 85,000 เครื่องที่สามารถเข้าได้ผ่านอินเตอร์เน็ตและมีเครื่องเพียง 10 % เท่านั้นที่ได้รับการเเพตซ์ช่องโหว่แล้ว

Cisco กล่าวว่าช่องโหว่ดังกล่าวส่งผลกระทบต่อผลิตภัณฑ์ซอฟเเวร์ Cisco ASA เวอร์ชั่นก่อน 9.5 และ Cisco FTD เวอร์ชั่นก่อน 6.2.2 ซึ่งช่องโหว่จะสามารถใช้ประโยชน์ได้เมื่อผู้ใช้งานเปิดใช้ AnyConnect หรือ WebVPN

ทั้งนี้ผู้ใช้งานควรทำการอัพเดตและติดตั้งเเพตซ์ให้เป็นเวอร์ชั่นใหม่ล่าสุดเพื่อป้องกันการใช้ประโยชน์จากช่องโหว่ทำการโจมตีระบบ

ที่มา: threatpost

แจ้งเตือนภัย: นักวิจัยด้านความปลอดภัยเปิดเผยผลการวิเคราะห์ช่องโหว่ของ SharePoint สู่สาธารณะผู้ใช้ควรรีบเเพตซ์โดยด่วน

นักวิจัยด้านความปลอดภัย Steven Seeley ได้ทำการเปิดเผยถึงการวิเคราะห์และการใช้ประโยชน์จากช่องโหว่ RCE บนผลิตภัณฑ์ Microsoft SharePoint ที่ถูกติดตามด้วยรหัส CVE-2020-1147 (CVSS: 9.8/10) โดยช่องโหว่จะทำให้ผู้โจมตีที่มีสิทธ์ต่ำในระบบสามารถเรียกใช้โค้ดจากระยะไกลจากเครื่องที่เป็นเป้าหมายได้

Steven เปิดเผยว่าช่องโหว่ CVE-2020-1147 นั้นเกิดจากการผิดพลาดในการตรวจสอบ source markup ของ XML file input เมื่อผู้โจมตีทำการอัปโหลด XML ที่เป็นอันตราย ช่องโหว่จะทำให้ผู้โจมตีสามารถเรียกใช้โค้ดที่ต้องการได้ในกระบวนการ deserialization ของเนื้อหา XML

ช่องโหว่ยังส่งผลต่อ . NET Core 2.1, .NET Framework 2.0 SP2, 3.5, 3.5.1, 4.5.2, 4.6, 4.6.1, 4.6.2, 4.7, 4.7.1, 4.7.2 และ 4.8 (ขึ้นอยู่กับ Windows รุ่น), SharePoint Enterprise Server 2013 Service Pack 1, SharePoint Enterprise Server 2016, SharePoint Server 2010 Service Pack 2, เซิร์ฟเวอร์ SharePoint 2019, Visual Studio 2017 รุ่น 15.9 และ Visual Studio 2019 รุ่น 16.0, 16.4 และ 16.6

นักวิจัยด้านความปลอดภัยได้ออกคำเเนะนำให้ผู้ใช้รีบทำการอัพเดตเเพตซ์การเเก้ไขช่องโหว่โดยด่วนเพื่อป้องกันผู้ประสงค์ร้ายใช้ประโยชน์จากการวิเคราะห์ช่องโหว่ซ้ำนำไปสู่การสร้าง PoC เพื่อหาประโยชน์จากช่องโหว่ต่อไป

ที่มา:

bleepingcomputer
securityweek