News

พบช่องโหว่ SQL injection บน phpMyAdmin ช่องโหว่ CVE-2020-10802, CVE-2020-10803, CVE-2020-10804 รายงานโดยผู้ใช้งานทวิตเตอร์ชื่อ hoangn144_VCS, bluebird, Yutaka WATANABE
วันที่ 20 มีนาคมที่ผ่านมาได้

รายละเอียดช่องโหว่
CVE-2020-10802 (CVSS 8.0): เป็นช่องโหว่ SQL injection ที่เกิดจากการข้อผิดพลาดในการสร้างพารามิเตอร์ในขั้นตอนการค้นหาภายใน phpMyAdmin การโจมตีจะเกิดได้เมื่อผู้ใช้งานดำเนินการค้นหาด้วยการใส่อักษรพิเศษลงไปบนฐานข้อมูลหรือตารางที่ผู้โจมตีสร้างขึ้นมาเพื่อใช้ในการโจมตี

CVE-2020-10803 (CVSS 5.4): เป็นช่องโหว่ SQL injection ที่เกิดจากเรียกใช้โค้ดเพื่อจะดำเนินการแทรกข้อมูลที่สร้างขึ้นในฐานข้อมูล เมื่อผู้ใช้ทำการดึงหรือเรียกดูฐานข้อมูล จะสามารถทำการโจมตีในรูปแบบ XSS (Cross-site scripting) ได้ในการเเสดงผล

CVE-2020-10804 (CVSS 8.0): เป็นช่องโหว่ SQL injection โดยทำการดึงข้อมูล username ที่มีอยู่
และสร้าง username เพื่อหลอกให้ผู้ดูแลระบบดำเนินการบางอย่าง เช่นแก้ไขสิทธิ์ผู้ใช้งาน ช่องโหว่นี้ยังทำให้เกิดข้อผิดพลาดในการเปลี่ยนพาสเวิร์ด MySQL ของผู้ใช้

ผลกระทบ
phpMyAdmin เวอร์ชั่น 4.9.x ก่อน 4.9.5 และ เวอร์ชั่น 5.0.x ก่อน 5.0.2 ได้รับผลกระทบ

การเเก้ไข
อัปเกรด phpMyAdmin เป็นเวอร์ชั่น 4.9.5 หรือ 5.0.2 หรือใหม่กว่า

ที่มา: phpmyadmin

VMware ได้ออกแพตช์ความปลอดภัยเพื่อแก้ไขช่องโหว่การยกระดับสิทธิ์และช่องโหว่ DoS ใน VMware Workstation, Fusion, Remote Console และ Horizon Client

CVE-2020-3950 (CVSSv3 7.3) - ช่องโหว่เกิดจากการ setuid ไบนารีไม่เหมาะสมทำให้ผู้โจมตีที่มีสิทธิ์ของผู้ใช้ปกติ (Normal User) สามารถยกระดับสิทธิ์ไปยัง Root บนระบบที่ติดตั้ง Fusion, VMRC หรือ Horizon Client

ผลิตภัณฑ์ที่ได้รับผลกระทบ
VMware Fusion (11).x ก่อน 11.5.2), VMware Remote Console สำหรับ Mac (11).x และก่อนหน้า 11.0.1) และ Horizon Client สำหรับ Mac (5.x และก่อนหน้า 5.4.0)

CVE-2020-3951 (CVSSv3 3.2) ช่องโหว่เกิดจากโจมตี heap-overflow ทำให้หยุดการให้บริการ (denial-of-service หรือ Dos) ใน Service Cortado Thinprint บนระบบที่ติดตั้ง Workstation หรือ Horizon Client

ผลิตภัณฑ์ที่ได้รับผลกระทบ
VMware Workstation (15.x ก่อน 15.5.2) และ Horizon Client สำหรับ Windows (5.x และก่อนหน้า 5.4.0)

การเเก้ไขปัญหา
VMware ได้เปิดให้ทำการปรับปรุงความปลอดภัยในวันที่ 17 มีนาคม เเนะนำผู้ใช้งานทำปรับปรุงความปลอดเพื่อป้องกันปัญหาที่จะเกิดขึ้นจากช่องโหว่

ที่มา: securityaffairs.

เว็บไซต์ 0patch ผู้ใช้บริการแพลตฟอร์ม Micropatch ได้ทำการแก้ไขช่องโหว่การโจมตีระยะไกล (RCE) ใน Windows Graphics Device Interface (GDI +) สำหรับผู้ใช้ Windows 7 และ Server 2008 R2 ที่ไม่สามารถอัพเดตแพตช์จากบริการ Extended Security Updates (ESU) ของ Microsoft

รายละเอียดช่องโหว่
ช่องโหว่ CVE-2020-0881 (CVSS 8.8) เป็นช่องโหว่การโจมตีระยะไกล (RCE) โดยเรียกใช้งานจากการจัดการกับข้อมูลในหน่วยความจำของ Windows Graphics Device Interface (GDI) ผู้โจมตีช่องโหว่สามารถเข้าควบคุมระบบและสามารถติดตั้งโปรแกรม ดูข้อมูล, เปลี่ยนแปลงข้อมูล, ลบข้อมูลหรือสร้างแอคเค้าท์ใหม่ที่มีสิทธิ์ของผู้ดูแลระบ (SYSTEM)

การเเก้ไข
Microsoft ได้เปิดให้อัพเดตแพตช์ตั้งเเต่วันที่ 10 มีนาคม โดย ESU ที่ลงทะเบียนจะได้รับการอัพเดตแพตช์สำหรับผู้ใช้ระบบ Windows 7 หรือ Server 2008 R2 ที่มีช่องโหว่ทั้งหมด สำหรับผู้ใช้แพลตฟอร์ม Micropatch ลูกค้าที่ชำระเงินจะได้รับการอัพเดตแพตช์อัตโนมัติโดยไม่ต้องรีสตาร์ทระบบ

ที่มา: bleepingcomputer.

Microsoft ได้ออกประกาศเตือนความปลอดภัยในระบบปฏิบัติการ Windows หลังพบผู้บุกรุกใช้ 2 ช่องโหว่ zero-day ใหม่สามารถเรียกใช้การโจมตีระยะไกล (RCE) ในไลบรารี Adobe Manager

รายละเอียดช่องโหว่โดยย่อ
2 ช่องโหว่ zero-day ใหม่นี้อยู่ใน Adobe Type Manager Library (atmfd.

บริษัท Emsisoft และ Coveware ได้ประกาศว่าจะทำการช่วยถอดรหัส Ransomware และเจรจาต่อรองการชำระเงินค่าไถ่ Ransomware ให้กับผู้บริการด้านการดูแลสุขภาพและโรงพยาบาลฟรี ระหว่างการระบาดของไวรัส Coronavirus เพื่ออำนวยความสะดวกทางการแพทย์ให้กับโรงพยาบาลและห้องปฏิบัติการที่ต้องการความช่วยเหลือ

บริษัท Emsisoft ได้เสนอการช่วยเหลือถอดรหัสและเเก้ไขจุดบกพร่องบนระบบที่จะสามารถนำสู่การติดไวรัส Ransomware ฟรี ทั้งนี้ทางบริษัท Emsisoft ยังได้เสนอการช่วยเหลือกู้คืนระบบและถอดรหัสสำหรับผู้ให้บริการด้านการดูแลสุขภาพและโรงพยาบาล ที่ต้องชำระเงินค่าไถ่เพื่อกู้คืนระบบ แต่พบว่าตัวถอดรหัสที่ได้รับไม่สามารถใช้งานได้

ทางด้านบริษัท Coveware ได้เสนอช่วยเหลือในการเจรจาต่อรองที่ส่วนลดค่าไถ่จากไวรัส Ransomware ให้แก่ผู้ให้บริการด้านการดูแลสุขภาพ, โรงพยาบาลและห้องปฏิบัติการที่ต้องการความช่วยเหลือ เพื่ออำนวยความสะดวกในช่วงระหว่างการระบาดของไวรัส Coronavirus หรือ (Covid-19)

ที่มา: bleepingcomputer

บริษัท Mozilla Corporation ผู้ให้บริการเว็บเบราว์เซอร์ Firefox ได้ประกาศแผนการเพื่อยกเลิกการรองรับโปรโตคอล FTP จากเว็บเบราว์เซอร์ Firefox ผู้ใช้จะไม่สามารถดาวน์โหลดไฟล์ผ่านโปรโตคอล FTP และดูเนื้อหาและโฟลเดอร์ภายในเว็บเบราว์เซอร์ Firefox

Michal Novotny วิศวกรซอฟต์แวร์ของบริษัท Mozilla Corporation กล่าวว่า Mozilla วางแผนที่จะปิดการใช้งานและการสนับสนุนโปรโตคอล FTP ด้วยการเปิดตัว Firefox เวอร์ชั่น 77 ซึ่งมีกำหนดการอัพเดตในเดือนมิถุนายนปีนี้ ผู้ใช้จะยังสามารถดูเนื้อหาและดาวน์โหลดไฟล์ผ่าน FTP ได้แต่จะต้องทำการเปิดใช้งานการสนับสนุน FTP ผ่านการตั้งค่าในหน้า about:config ในปี 2021 เว็บเบราว์เซอร์จะหยุดการให้บริการจัดการเนื้อหาบนโปรโตคอล FTP ทั้งหมด

การตัดสินใจยกเลิกการรองรับโปรโตคอล FTP ของ Mozilla มาจากที่การที่บริษัท Google ได้ทำการตัดสินใจที่คล้ายกันเกี่ยวกับโปรโตคอล FTP ใน Google Chrome เมื่อปีที่แล้วในเดือนสิงหาคม 2019 Google ประกาศแผนการที่จะลบความสามารถในการเข้าถึงและดูลิงก์ FTP จาก Google Chrome การสนับสนุน FTP จะถูกปิดใช้งานตามค่าเริ่มต้นใน Google Chrome เวอร์ชั่น 81

ที่มา: zdnet

Work from Home จากระยะไกล อย่าลืมระวังภัย BEC

ในช่วง COVID-19 กำลังระบาดแบบนี้ หลายๆ บริษัทอาจมีการปรับการทำงานเพื่อลดความเสี่ยงในการติดเชื้อ ไม่ว่าจะเป็นการให้พนักงานสามารถ Work from Home หรือเปลี่ยนรูปแบบการจ่ายเงินจากการรับเช็คไปเป็นการโอนผ่านบัญชีธนาคาร ซึ่งพฤติกรรมที่ปรับเปลี่ยนไปนี้อาจเป็นช่องทางให้ผู้ไม่หวังดีสามารถทำการโจมตีได้

เมื่อวันศุกร์ 13 มีนาคม 2020 ที่ผ่านมา นักวิจัยจาก Agari Cyber Intelligence Division (ACID) พบการโจมตีแบบ Business Email Compromise (BEC) ในธีม COVID-19 ขึ้นแล้วเป็นครั้งแรก โดยมีวิธีการโจมตีคือจดโดเมนชื่อคล้ายๆ จากนั้นส่งอีเมลปลอมไปหาบริษัทคู่ค้าระบุว่ามีความจำเป็นต้องเปลี่ยนบัญชีสำหรับโอนเงินเนื่องจากการแพร่ระบาดของ COVID-19 ซึ่งหากคู่ค้าหลงเชื่อก็จะโอนเงินเข้าไปยังเลขบัญชีของผู้โจมตีแทน

นอกจากการใช้อีเมลปลอมเป็นคู่ค้าแล้ว ยังมีเทคนิคการโจมตีแบบอื่นๆ เพื่อหลอกให้หลงโอนเงินไปยังบัญชีของผู้โจมตีอีกหลายรูปแบบ ไม่ว่าจะเป็นการปลอมเป็นผู้บริหารสั่งให้โอนเงินด่วน ไม่สร้างโดเมนปลอมแต่ใช้วิธีฟิชชิงหลอกเอารหัสผ่านอีเมลจริงๆ ไปใช้ส่งอีเมลเปลี่ยนเลขบัญชี เป็นต้น โดยสามารถอ่านรายละเอียดเกี่ยวกับ Business Email Compromise (BEC) เพิ่มเติมได้จาก https://www.

Trend Micro ประกาศแพตช์ 2 ช่องโหว่ Zero-day และ 3 ช่องโหว่ร้ายแรงที่โดนโจมตีจากแฮกเกอร์

บริษัท Trend Micro ได้เปิดเผยว่าแฮกเกอร์ได้พยายามโจมตีผ่านช่องโหว่ Zero-day ถึง 2 รายการ CVE-2020-8467, CVE-2020-8468 และยังพบช่องโหว่ร้ายแรงอีก 3 รายการ ซึ่งทั้งหมดกระทบกับผลิตภัณฑ์ Antivirus อย่าง Apex One และ OfficeScan ล่าสุดทาง Trend Micro ยังไม่ได้เปิดเผยรายละเอียดใดๆ เกี่ยวกับการโจมตี อย่างไรก็ตามเมื่อปีก่อนแฮกเกอร์จากจีนได้ใช้ช่องโหว่ Zero-day บนผลิตภัณฑ์ OfficeScan ทำการแฮกบริษัท Mitsubishi Electric ของญี่ปุ่นมาแล้ว แต่ยังไม่เเน่ชัดว่าเป็นกลุ่มแฮกเกอร์เดียวกันหรือไม่

รายละเอียดช่องโหว่ Zero-day

CVE-2020-8467 (CVSS 9.1) - เป็นช่องโหว่ที่ทำให้ผู้โจมตีสามารถเรียกใช้การโจมตีระยะไกล (RCE) บนเครื่องที่ติดตั้งผลิตภัณฑ์ Trend Micro Apex One และ OfficeScan แต่การโจมตีจะเกิดขึ้นได้ผู้โจมตีพิสูจน์ตัวตนผู้ใช้ก่อน
CVE-2020-8468 (CVSS 8.0) - เป็นช่องโหว่ที่เกิดขึ้นกับ Agent ของผลิตภัณฑ์ Apex One และ OfficeScan โดยช่องโหว่การตรวจสอบความถูกต้องของการตรวจสอบเนื้อหาซึ่งอาจทำให้ผู้โจมตีสามารถจัดการคอมโพเนนต์ไคลเอ็นต์ของ Agent บางตัวได้เงื่อนไขการโจมตีของช่องโหว่นี้ต้องใช้การพิสูจน์ตัวตนผู้ใช้ก่อน

รายละเอียดช่องโหว่ร้ายแรง

CVE-2020-8470 (CVSS 10) - กระทบกับเซิร์ฟเวอร์ของ Apex One และ OfficeScan ผู้โจมตีสามารถเข้าไปลบไฟล์ DLL บนเซิร์ฟเวอร์ในระดับสิทธิ์ของ SYSTEM โดยไม่ต้องผ่านการพิสูจน์ตัวตนได้
CVE-2020-8598 (CVSS 10) - กระทบกับเซิร์ฟเวอร์ของ Apex One และ OfficeScan ผู้โจมตีสามารถใช้ช่องโหว่เกี่ยวกับไฟล์ DLL ที่ทำให้สามารถเข้าไปลอบรันโค้ดจากทางไกล (RCE) ในระดับสิทธิ์ของ SYSTEM โดยไม่ต้องผ่านการพิสูจน์ตัวตน
*CVE-2020-8599 (CVSS 10) - กระทบกับเซิร์ฟเวอร์ของ Apex One และ OfficeScan ผู้โจมตีสามารถใช้ช่องโหว่จากไฟล์ EXE ทำให้สามารถโจมตีระยะไกลและเข้าไปเขียนข้อมูลใน Path ที่ได้รับผลกระทบจากการติดตั้งและ Bypass การล็อกอินระดับ Root ได้โดยไม่ต้องพิสูจน์ตัวตน*

รุ่นผลิตภัณฑ์ที่ได้รับผลกระทบ

Apex One บน Windows เวอร์ชั่น 2019
OfficeScan บน Windows เวอร์ชั่น XG SP1 และ XG (non-SP)

การเเก้ไข

Trend Micro ได้เปิดให้อัปเดตแพตช์ตั้งแต่วันที่ 16 มีนาคม 2020 ที่ผ่านมาเเนะนำผู้ใช้รีบทำการอัปเดตแพตช์โดยด่วนเพราะช่องโหว่มีผลกระทบค่อนข้างรุนเเรง

ที่มา: Zdnet

พบช่องโหว่บน Slack อนุญาตให้ผู้โจมตีสามารถครอบครองบัญชีได้อัตโนมัติ

Evan Custodio นักวิจัยด้านความปลอดภัยบนเว็บและนักล่าเงินรางวัลได้เผยช่องโหว่บน Slack ให้ทีมรักษาความปลอดภัยของเว็บไซต์ HackerOne bug Bounty เมื่อวันที่ 14 พฤศจิกายน

ช่องโหว่เป็นข้อบกพร่องด้านความปลอดภัยที่อนุญาตให้ผู้โจมตีทำการครอบครองบัญชีโดยอัตโนมัติหลังจากขโมย Cookie Session โดยใช้การร้องขอ HTTP Smuggling CL.TE

HTTP Request Smuggling เป็นการโจมตีซึ่งอาศัยปัญหาของเว็บแอปพลิเคชันซึ่งตีความ HTTP Request ที่เข้ามาแตกต่างกันระหว่างคอมโพเนนต์ซึ่งเป็น Frontend และ Backend การโจมตี HTTP Request Smuggling อาศัยการควบคุมการตั้งค่าในเฮดเดอร์ Transfer-Encoding (TE) และ Content-Length (CL) เพื่อให้เกิดเงื่อนไขที่เหมาะสมให้การโจมตีสำเร็จได้

ดังนั้นการโจมตีบน https://slackb.

ผู้โจมตีใช้ CoronaVirus Ransomware เพื่อปกปิด Kpot Password-Stealer

ผู้เชี่ยวชาญด้านความปลอดภัยจาก Malware Hunter Team ตรวจพบ Ransomware ที่เรียกว่า CoronaVirus เผยแพร่ผ่านเว็บไซต์ WiseCleaner ในแคมเปญนี้ผู้โจมตีจะใช้ประโยชน์จากความสนใจในการแพร่ระบาดของโรค Coronavirus (COVID-19) โดยจะแฝงมัลแวร์ Coronavirus Ransomware และมัลแวร์ที่ชื่อว่า Kpot Password-Stealer ในการโจมตี

เว็บไซต์ WiseCleaner ถูกระบุว่าเป็นที่เเพร่กระจายไฟล์ชื่อ WSHSetup.