News

vBulletin Releases Patch Update for New RCE and SQLi Vulnerabilities

vBulletin เปิดตัว Patch สำหรับแก้ไขช่องโหว่ RCE (การเรียกใช้ Code จากระยะไกล) CVE-2019-17132 ซึ่งมีผลกระทบต่อ vBulletin 5.5.4 และเวอร์ชั่นก่อนหน้านี้ รวมทั้งช่องโหว่ SQLi CVE-2019-17271 เป็นการเข้าถึงฐานข้อมูลของผู้ดูแลระบบที่ปกติไม่มีสิทธิ์ในการเข้าถึง

RCE เป็นช่องโหว่ในส่วนที่ใช้จัดการการร้องขอเพื่อเปลี่ยนรูปแสดงตัวตนใน Forum (avatar) แต่การโจมตีช่องโหว่จะเกิดขึ้นได้เมื่อมีการเปิดใช้งาน "Save Avatars as Files" ส่งผลให้ผู่ไม่หวังดีสามารถสั่งรัน PHP Code ที่เป็นอันตรายได้จากระยะไกล และได้มีการปล่อยชุดคำสั่งสำหรับทดสอบช่องโหว่ (PoC Exploit Code) ดังกล่าวออกมาแล้ว

SQLi เป็นสองช่องโหว่ที่เกิดจากการทำ SQL Injection ส่งผลให้ผู้ดูแลระบบที่ไม่มีสิทธิ์ในการเข้าถึงฐานข้อมูล สามารถเข้าไปดูข้อมูลสำคัญได้ อย่างไรก็ตามการโจมตีผ่านช่องโหว่นี้จำเป็นจะต้องได้รับสิทธิ์บางอย่างเพิ่มเติมก่อน ดังนั้นจึงไม่ใช่ช่องโหว่ที่จะสามารถถูกโจมตีได้อย่างง่ายดาย

มีการออกแพทช์เพื่อแก้ไขช่องโหว่ไปเมื่อวันที่ 30 กันยาที่ผ่านมา โดยมีการอัพเดตเป็นเวอร์ชั่นใหม่ ดังนี้
vBulletin 5.5.4 Patch Level 2
vBulletin 5.5.3 Patch Level 2
vBulletin 5.5.2 Patch Level 2
แนะนำให้ผู้ดูแลระบบทำการอัพเดตเพื่อป้องกันไม่ให้ข้อมูลผู้ใช้งานของตนเอง ตกไปอยู่ในมือผู้ไม่หวังดี

ที่มา: thehackernews.

7-Year-Old Critical RCE Flaw Found in Popular iTerm2 macOS Terminal App

พบช่องโหว่การเรียกรันคำสั่งระยะไกล (RCE) ที่มีอายุถึง 7 ปีถูกค้นพบใน iTerm2 ของ macOS - หนึ่งในโอเพนซอร์ซที่ได้รับความนิยมมากที่สุดสำหรับแอพเทอร์มินัลในตัวของ Mac

ช่องโหว่ได้รับ CVE-2019-9535 ถูกค้นพบโดยนักตรวจสอบความปลอดภัยอิสระซึ่งได้รับทุนจากโปรแกรม Mozilla Open Source Support (MOSS) และบริษัท Radically Open Security (ROS) จากการเปิดเผยในวันนี้โดย Mozilla ระบุว่าช่องโหว่ RCE อยู่ในส่วน tmux ของ iTerm2 ซึ่งหากถูกโจมตีจะทำให้สามารถรันคำสั่งที่ต้องการได้ จากวิดีโอที่เผยแพร่ออกมาแสดงให้เห็นว่าการโจมตีสามารถทำงานได้ผ่าน Command-line ของระบบปฏิบัติการได้ ซึ่งต่างจากการโจมตีโดยทั่วไปที่มักต้องมีการโต้ตอบจากผู้ใช้งานด้วย ช่องโหว่ดังกล่าวจึงค่อนข้างน่ากังวล ผู้สนใจสามารถศึกษาได้จากวิดีโอในลิงก์ที่มาได้

ช่องโหว่ดังกล่าวส่งผลกระทบต่อ iTerm2 เวอร์ชั่น 3.3.5 และก่อนหน้า อย่างไรก็ตามช่องโหว่เพิ่งได้รับการแก้ไขด้วยการเปิดตัว iTerm2 3.3.6

ที่มา: thehackernews

Credit Info Exposed in TransUnion Credential Stuffing Attack

พบข้อมูลเครดิตรั่วไหลจากเหตุการณ์การโจมตี TransUnion

จากเหตุการณ์ที่มีบุคคลที่ไม่ได้รับอนุญาตเข้าถึง Web Portal ของ TransUnion Canada และสามารถเข้าถึงข้อมูลเกี่ยวกับเครดิตของผู้ใช้บริการ บริษัทได้มีการส่งอีเมลแจ้งไปยังผู้ใช้บริการที่ถูกเข้าถึงข้อมูลแบบไม่ได้รับอนุญาต โดยรายละเอียดที่แจ้งมีการระบุว่า "พบการเข้าถึงข้อมูลโดยไม่ได้รับอนุญาต เพื่อค้นหาข้อมูลเครดิตของผู้ใช้บริการระหว่างวันที่ 28 มิถุนายน ถึง 11 กรกฎาคม" เมื่อสามารถเข้าถึงได้แล้ว ผู้ไม่หวังดีสามารถที่จะค้นหาข้อมูลโดยใช้ชื่อ, ที่อยู่, วันเกิด หรือเลขประกันสังคม (SIN) หากข้อมูลที่ค้นหาถูกต้อง ไฟล์ข้อมูลเครดิตของผู้ใช้บริการายนั้นจะปรากฎขึ้นมา ซึ่งจะแสดงข้อมูลเงินกู้ และประวัติการชำระหนี้ เป็นต้น แต่จะไม่มีข้อมูลเลขบัญชีที่แท้จริง

เหตุการณ์นี้ส่งผลให้ผู้ใช้บริการบางรายถูกขโมยข้อมูลที่สามารถระบุตัวตน (Identity Theft) ไปได้ จึงมีคำแนะนำให้ผู้ใช้บริการที่คาดว่าจะได้รับผลกระทบ ทำการเฝ้าระวังการใช้งานบัญชีเครดิตของตัวเองที่ผิดปกติ อย่างไรก็ตามผู้ใช้บริการที่ได้รับผลกระทบจะได้รับบริการเฝ้าระวังการใช้งานบัญชีเครดิตที่ผิดปกติจาก TransUnion ได้ฟรี 2 ปี

ที่มา: bleepingcomputer

ศูนย์ดูแลด้านความปลอดภัยทางไซเบอร์ (NCSC) ของอังกฤษ เตือนการโจมตีผ่านช่องโหว่ของอุปกรณ์ VPN

 

National Cyber Security Centre (NCSC) ของอังกฤษ เตือนให้ระวังการโจมตีผ่านช่องโหว่ที่มีการเปิดเผยของอุปกรณ์ VPN ต่างๆ โดยการใช้เทนนิคที่ซับซ้อน (Advanced Persistent Threat หรือ APT) เช่น Fortinet, Palo Alto Networks และ Pulse Secure ในการโจมตีพบการกระทำนี้เกิดขึ้นอย่างต่อเนื่อง มีเป้าหมายทั้งในอังกฤษและองค์กรระหว่างประเทศ ครอบคลุมทั้งภาครัฐ กองทัพ สถานบันการศึกษา ภาคธุรกิจและทางการแพทย์

การรายงานกล่าวถึงกลุ่มผู้โจมตีเหล่านี้มีการใช้ช่องโหว่หลายรายการ ประกอบด้วย CVE-2019-11510 (ทำให้สามารถอ่านไฟล์สำคัญโดยไม่ได้รับอนุญาต) และ CVE-2019-11539 ใน Pulse Secure VPN solutions และ CVE-2018-13379 โดย CVE-2018-13379 คือเป็นช่องโหว่ที่ทำให้ผู้โจมตีสามารถเข้าถึง Directory อื่นๆ นอกเหนือจากที่ถูกจำกัดให้เข้าถึงได้ (Path Traversal) บน Web Portal ของ FortiOS SSL VPN ส่งผลให้สามารถดาวน์โหลด FortiOS system files และสามารถโจมตีเพื่อขโมย credential ของบัญชี administrator ในรูปแบบที่ไม่ถูกเข้ารหัสได้ และยังมีการใช้ CVE-2018-13382, CVE-2018-13383, และ CVE-2019-1579, ในผลิตภัณฑ์ Palo Alto Networks อีกด้วย

ผู้ใช้ผลิตภัณฑ์ VPN เหล่านี้ควรจะต้องมีการตรวจสอบ logs เพื่อหาหลักฐานการบุกรุกนี้ เช่น การเรียกจาก IP Address ที่ผิดปกติ หากว่ายังไม่สามารถติดตั้งแพทช์เพื่อแก้ไข

ที่มา : securityaffairs

พบความพยายามในการติดตั้งมัลแวร์โดยอาศัยช่องโหว่ของ Drupal ที่มีชื่อว่า “Drupalgeddon2”

พบความพยายามในการติดตั้งมัลแวร์โดยอาศัยช่องโหว่ของ Drupal ที่มีชื่อว่า "Drupalgeddon2" (CVE-2018-7600)

Larry W. Cashdollar นักวิจัยด้านความปลอดภัยของ Akamai เปิดเผยว่าพบแคมเปญใหม่ที่เกิดขึ้นเป็นการพยายามเรียกใช้โค้ดที่ที่ฝังอยู่ในไฟล์ .GIF หรือไฟล์ .txt ที่มี Perl Script จากการวิเคราะห์ไฟล์ที่พบว่าถูกใช้โจมตีไปยังเว็บในประเทศบราซิล เป็นการฝัง PHP Code ที่เข้ารหัสด้วย Base64 เพื่อหลีกเลี่ยงการตรวจจับ นอกจากนี้พบว่าตัวมัลแวร์เองมีความสามารถในการค้นหา credential ที่มีการเก็บไว้บนเครื่อง, ทดลองส่งอีเมลโดยใช้ credential ที่พบ, เก็บข้อมูลไฟล์ config ของ MySQL, เปลี่ยนชื่อหรืออัพโหลดไฟล์ และรัน Web shell เป็นต้น นอกจากนี้ยังพบพฤติกรรมของการทำ DDoS และฝัง Remote Access Trojan (RAT) เพื่อติดต่อไปยัง C&C

ช่องโหว่ดังกล่าวส่งผลกระทบกับ Drupal เวอร์ชั่น 6, 7 และ 8 ผู้ใช้งานควรทำการอัพเดตให้เป็นเวอร์ชั่นล่าสุดเพื่อหลีกเลี่ยงการตกเป็นเหยื่อ

ที่มา: securityweek

Zero-day published for old Joomla CMS versions

 

เมื่อสัปดาห์ที่ผ่านมามีการเผยแพร่รายละเอียดช่องโหว่ของ Joomla (CMS) เวอร์ชั่นตั้งแต่ 3.0.0 ถึง 3.4.6 ซึ่งเป็นเวอร์ชั่นเก่า และได้มีการเผยแพร่ชุดคำสั่งสำหรับทดสอบการโจมตี (POC Exploit Code) ออกมาแล้ว

ช่องโหว่ดังกล่าวเป็นปัญหาในส่วนของ PHP Object ทำให้สามารถรัน Code จากระยะไกล (RCE) ตัวอย่างเช่น สามารถโจมตีผ่าน Login form ของ Joomla CMS และทำให้ผู้โจมตีรันคำสั่งบนเซอร์ฟเวอร์ได้ ซึ่งช่องโหว่นี้คล้ายกับช่องโหว่ที่เคยพบเมื่อปี 2015 (CVE-2015-8562) ซึ่งมีผลกระทบคล้ายกัน จนถึงขณะนี้ยังไม่มีการระบุ CVE ของ Zero Day ตัวใหม่นี้

อย่างไรก็ตามทีมพัฒนาของ Joomla ได้ทำการแก้ไขช่องโหว่ดังกล่าวเรียบร้อยแล้ว โดยให้ทำการอัพเดตเป็นเวอร์ชั่น 3.4.7 หรือใหม่กว่านั้น

ที่มา: zdnet

Zendesk เปิดเผยเหตุการณ์ข้อมูลหลุดตั้งแต่ปี 2016 กระทบผู้ใช้งานกว่าหมื่นคน

 

ในปี 2016 Zendesk ซึ่งเป็นบริษัททำซอฟต์แวร์ customer service เกิดเหตุการณ์ข้อมูลหลุดกระทบผู้ใช้งานกว่า 10,000 ราย ซึ่ง Zendesk ถูกใช้โดยหลายองค์กรหลักทั่วโลก รวมถึง Uber Shopify Airbnb และ Slack

ในวันที่ 2 ตุลาคม 2019 Zendesk ได้ออกแถลงการณ์เปิดเผยเหตุการณ์ดังกล่าวว่าได้รับแจ้งจากบุคคลภายนอกรื่องความปลอดภัยที่อาจมีผลต่อ Zendesk Support ผลิตภัณฑ์การแชท และบัญชีลูกค้าของผลิตภัณฑ์เหล่านั้นที่เปิดใช้งานก่อนพฤศจิกายน 2016 กระทบผู้ใช้งานกว่าหมื่นคน

ข้อมูลที่อาจถูกเข้าถึงโดยผู้โจมตีได้แก่ Agent และชื่อผู้ใช้งานที่ถูก hash และ salt, ข้อมูลติดต่อ, Username, รหัสผ่านที่ถูก hash และ salt, Transport Layer Security (TLS) encryption keys และข้อมูลการตั้งค่าแอปที่ลงผ่าน Zendesk app marketplace

พวกเขาตัดสินใจแจ้งผลกระทบทั้งหมดต่อผู้ใช้และแนะนำให้ทำตามขั้นตอนดังนี้

หากคุณติดตั้ง Zendesk Marketplace หรือแอปส่วนบุคคลที่ใช้งานตั้งแต่วันที่ 1 พฤศจิการยน 2016 ที่บันทึกข้อมูลประจำตัวพิสูจน์ตัวตน เช่น API keys หรือ รหัสผ่านขณะติดตั้ง เราแนะนำให้คุณเปลี่ยนข้อมูลประจำตัวสำหรับแอปที่เกี่ยวข้อง

นอกจากนี้หากคุณอัปโหลด TLS certificate ใน Zendesk ก่อนวันที่ 1 พฤศจิกายน 2016 ที่ยังคงใช้ได้อยู่ เราแนะนำให้คุณอัปโหลด certificate ใหม่และยกเลิกตัวเก่า

โดยบัญชีที่มีการใช้งานอยู่และสร้างบัญชีก่อนวันที่ 1 พฤศจิกายน 2016 ควรต้องเปลี่ยนรหัสผ่าน

ที่มา : securityaffairs

FBI ออกคำเตือนเรื่อง Ransomware

 

สำนักงานสืบสวนกลางแห่งสหรัฐอเมริกา (FBI) และศูนย์รับเรื่องร้องเรียนทางอินเทอร์เน็ต (IC3) ได้ออกประกาศเตือนเกี่ยวกับการโจมตีของ Ransomware ที่เพิ่มขึ้น ซึ่งส่งผลกระทบต่อองค์กรภาครัฐและเอกชนของสหรัฐฯ รวมถึงให้คำแนะนำเพื่อเตรียมตัว

นับตั้งแต่ปี 2018 การโจมตีของ Ransomware พุ่งเป้าไปที่องค์กรด้านการดูแลสุขภาพ บริษัทอุตสาหกรรมและการขนส่ง โดยการใช้ประโยชน์จากซอฟต์แวร์และช่องโหว่ Remote Desktop Protocol (RDP) เพื่อเข้าสู่ระบบ และทำการเข้ารหัสไฟล์ข้อมูลของเหยื่อ ซึ่ง FBI เตือนว่าไม่ควรทำตามคำเรียกร้องของ Hacker และให้ทำการแจ้งไปที่สำนักงานของ FBI ภายในพื้นที่ และรายงานเหตุการณ์ไปยัง ic3.gov

หากเกิดเหตุการณ์ที่ต้องมีการจ่ายค่าไถ่ให้แจ้งไปยัง FBI ตามข้อบังคับของกฏหมาย

แนวทางปฏิบัติเพื่อเตรียมตัวสำหรับองค์กรที่เป็นเป้าหมายการโจมตีของ Ramsomware มีดังนี้

สำรองข้อมูลและตรวจสอบความถูกต้องของข้อมูลเป็นประจำ
สร้างความตระหนักรู้ให้กับบุคคลในองค์กร
อัปเดตแพตช์รักษาความปลอดภัยของซอฟต์แวร์และเฟิร์มแวร์บนอุปกรณ์
เปิดการอัปเดตฐานข้อมูลมัลแวร์อัตโนมัติบนซอร์ตแวร์ป้องกันมัลแวร์และสแกนระบบเป็นประจำ
กำหนดสิทธิ์ในการเข้าถึงไฟล์, ไดเรกทอรี่ และการแชร์เครือข่าย
ปิดการใช้งาน Micro Script จากไฟล์ Office ที่ส่งผ่านอีเมล
ใช้นโยบายและการควบคุมข้อกำหนดของซอฟต์แวร์
ปฏิบัติตาม best practices ของการปฏิบัติการใช้งานของ RDP
ทำ application whitelisting
แยกเครือข่ายในการทำงาน
บังคับให้มี user interaction เช่น ต้องพิมพ์ข้อมูล เมื่อผู้ใช้งานเข้าเว็บไซต์ที่ไม่ได้มีการจัดกลุ่มโดย network proxy หรือ firewall

ที่มา bleepingcomputer และ ic3.gov

พบแปดช่องโหว่ในองค์ประกอบ VoIP ของ Android

ช่องโหว่สามารถทำการโทรผ่าน Voice-over-IP (VoIP) ได้โดยไม่ได้รับอนุญาต ปลอมเบอร์โทร ปฏิเสธการโทร และแม้แต่ใช้โค้ดอันตรายบนอุปกรณ์ของผู้ใช้

มีการทดสอบช่องโหว่แล้วในระบบ Android 7.0 (Nougat) จนถึง 9.0 (Pie) นักวิจัยได้พบและรายงาน 9 ช่องโหว่ต่อ Google โดยมี 8 ช่องโหว่ที่มีผลต่อระบบเบื้องหลัง VoIP ของแอนดรอย์ ขณะที่ช่องโหว่ที่ 9 มีผลต่อแอป third-party

ด้านล่างนี้เป็นรายละเอียดของ 9 ช่องโหว่ :

เริ่มการโทร VoIP ในแอป VK
บัคนี้พบใน API ตอบโต้กับแอป Official VK (vKontakte) ที่สามารถยอมให้แอปอื่นๆ ที่ติดตั้งบนเครื่องสามารถเพื่อเริ่มการโทร VoIP ด้วยแอป VK และดักฟังการสนทนาของเจ้าของโทรศัพท์ได้ การโจมตีนี้ไม่ต้องการ user interaction แต่ต้องเข้าถึงเครื่องได้ก่อน เหมาะกับการนำไปใช้ร่วมกับ Android spyware, remote access trojans (RAT) และมัลแวร์บนแอนดรอยด์อื่นๆ ที่เข้าถึงเครื่องได้แล้ว
โอนสายโดยไม่ได้รับอนุญาตในอินเตอร์เฟซ LMS
บนอุปกรณ์ที่มีแอปอันตรายสามารถใช้ local privileged APIs (ในองค์ประกอบ QtilMS VoIP) เพื่อโอนสายที่โทรเข้ามาโดยไม่ได้รับอนุญาตเพื่อโจมตีอุปกรณ์ โดยปัญหานี้ถูกแก้ไขแล้วเมื่อปี 2017
ไม่สามารถปฏิเสธการโทร VoIP เนื่องจาก LONG SIP Name
ผู้โจมตีสามารถเริ่มการโทรถึงเหยื่อโดยใช้ long SIP name (1,043 ตัวอักษร) SIP name จะขึ้นบนเต็มหน้าจอโทรศัพท์และป้องกันไม่ให้พวกเขารับหรือปฏิเสธการโทรในเวลาสำคัญได้ เช่น เมื่อกำลังดำเนินการโจมตี ถือว่าเป็นประเภทหนึ่งของ DoS (Denial of Service) ถูกเรียกว่า VoIP call bomb คล้ายกับ SMS bomb โดยใน Android ปัจจุบัน Google ได้กำหนดขนาด SIP name ใน VoIP เพื่อป้องกันปัญหานี้
remote DoS ในระบบเมื่อมีการรับสาย
ผู้โจมตีสามารถใช้รูปแบบแพ็คเกต SDP เพื่อทำให้อุปกรณ์เหยื่อทำงานล้มเหลวเมื่อมีการรับสาย ซึ่งถูกแก้ไขแล้วในปี 2017
Remote execution code เนื่องจาก STACK BUFFER OVERFLOW
ข้อผิดพลาดร้ายแรงที่สุด (CVE-2018-9475) ถูกแก้ไขใน Android Oreo เมื่อ 2018 สิ่งนี้เป็นการทำ remote code execution (RCE) เป็นปัญหาที่ยอมให้ผู้โจมตีสามารถรันโค้ดอันตรายบนอุปกรณ์จากระยะไกลด้วยการโทร VoIP โดยทำให้เกิด stack buffer overflowได้ถ้าชื่อผู้ใช้ (หรือหมายเลขผู้โทร) ในการโทร VoIP มีมากกว่า 513 ไบต์
ช่องโหว่นี้ยอมให้ผู้ไม่หวังดีเขียนทับการส่งกลับที่อยู่ของฟังก์ชัน ClccResponse ที่ทำให้เกิด remote code execution
Remote DoS ใน Bluetooth เมื่อมีสายเรียกเข้า
มันสามารถทำให้การโทร VoIP ด้วยหมายเลขการโทรยาวๆ แต่บัคนี้จะให้โทรศัพท์ทำงานล้มเหลวเท่านั้น ซึ่งไม่ได้ยอมให้ผู้โจมตีรัน code บนอุปกรณ์แต่อย่างใด
ข้อมูลรั่วไหลและ DoS ถาวร เนื่องจาก PATH TAVERSAL
นี่เป็นการทำงานโดยการติดตั้งแอปอันตรายอื่นบนอุปกรณ์ อย่างไรก็ตามบัคนี้ค่อนข้างร้ายแรง มันเป็นปัญหา PATH TRAVERSA ดั้งเดิมที่เกิดขึ้นเพราะ SIP protocol และภัยคุกคามของ Android ตัวอักษร “..” และ “/” มีความแตกต่างกัน
การปลอมเป็นผู้โทรเนื่องจากการประมวลความหมายของสัญลักษณ์ “&” ผิด
ช่องโหว่นี้เกิดจากรูปแบบหมายเลข PSTN (Public Switched Telephone Network) ที่ไม่ใช่บัญชีสำหรับตัวอักษร “&”
สายเรียกเข้า VoIP ที่มี “&” ทำให้ระบบ Android อ่านเฉพาะหมายเลขก่อนตัวอักษร แต่ไม่อ่านเลยหลังจากนั้น ทำให้ง่ายต่อการปลอมตัว
การปลอมเป็นผู้โทรเนื่องจาก "PHONE-CONTEXT"
ช่องโหว่เกิดจากรูปแบบหมายเลข PSTN เช่นกัน แต่ครั้งนี้มันเกิดด้วย "phone-context" PSTN พารามิเตอร์ ตัวอย่างเช่น ในการสื่อสารของ PSTN หมายเลข “650253000;phone-context=+1" จะเท่ากับ "+1650253000" กล่าวคือค่าของ "phone-context" คือค่านำหน้าของหมายเลข อย่างไรก็ตามการสื่อสารนี้ไม่ได้ถูกใช้ในการโทร VoIP โดยแอปการโทรไม่ได้ใส่ใจมัน ทำให้ผู้ไม่หวังดีกำหนดหมายเลขการโทรเป็น "650253000;phone-context=+1", และแอปการโทรจะแปลเป็น "+1650253000" ซึ่งแสดงว่าเป็นการโทรของ Google

เอกสารฉบับเต็มมีชื่อว่า "Understanding Android VoIP Security: A System-level Vulnerability Assessment" หากสนใจอ่านเพิ่มเติมสามารถดาวน์โหลดได้ ที่นี่

ที่มา : zdnet

Exim ได้ออกแพตช์แก้ช่องโหว่ RCE

Exim ได้ออกแพตช์รักษาความปลอดภัยเร่งด่วนเป็น Exim รุ่น 4.92.3 เป็นการแก้ไขเกี่ยวกับการรัน Code ที่เป็นอันตรายบน Exim

Exim เป็น mail Server เพื่อรับส่งข้อมูลทาง Email สำหรับระบบปฏิบัติการ Linux, Mac OSX หรือ Solaris ซึ่งเมื่อสองวันที่ผ่านมามีการประกาศช่องโหว่ CVE-2019-16928 ซึ่งถูกค้นพบโดย Jeremy Harris เป็นทีมพัฒนาของทาง Exim โดยช่องโหว่ที่พบสามารถทำให้ผู้โจมตีรันคำสั่งจากระยะไกลและทำการโจมตีด้วยรูปแบบ DoS หรือรัน Code (EHLO) บน Exim mail Server ด้วยสิทธิ์ของผู้ใช้

ดังนั้นควรให้ผู้ดูแล Server ทำการติดตั้ง Exim Version 4.92.3 หรืออัปเดตให้เป็น Exim Version 4.92.3 โดยเร็วที่สุดเนื่องจากผลกระทบจากช่องโหว่นี้ไม่มีวิธีการแก้ปัญหาเบื้องต้น

ที่มา thehackernews