Microsoft เผยแพร่ Patch Tuesday ประจำเดือนมิถุนายน 2024 แก้ไขช่องโหว่ 51 รายการ และเป็นช่องโหว่ RCE 18 รายการ

Microsoft ได้เผยแพร่ Patch Tuesday ประจำเดือนมิถุนายน 2024 ซึ่งประกอบด้วยการอัปเดตแพตซ์ความปลอดภัยสำหรับช่องโหว่ 51 รายการ ซึ่งในจำนวนนี้เป็นช่องโหว่การเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกล (RCE) 18 รายการ และเป็นช่องโหว่ Zero-day 1 รายการ คือช่องโหว่การเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกล (RCE) ใน Microsoft Message Queuing (MSMQ)

จำนวนช่องโหว่ในแต่ละหมวดหมู่มีดังต่อไปนี้ :

ช่องโหว่การยกระดับสิทธิ์ (privilege escalation) 25 รายการ
ช่องโหว่การเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกล (Remote Code Execution) 18 รายการ
ช่องโหว่ในการเปิดเผยข้อมูล (Information Disclosure) 3 รายการ
ช่องโหว่การปฏิเสธการให้บริการ (Denial of Service) 5 รายการ

ทั้งนี้ช่องโหว่ทั้ง 51 รายการ ยังไม่รวมช่องโหว่ของ Microsoft Edge 7 รายการที่ได้รับแก้ไขไปแล้วเมื่อวันที่ 3 มิถุนายน 2024

ช่องโหว่ Zero-day

ทั้งนี้ Patch Tuesday ประจำเดือนมิถุนายน 2024 มีช่องโหว่ Zero-day หนึ่งรายการหมายเลข CVE-2023-50868 NSEC3 closest encloser proof can exhaust CPU ซึ่งเป็นช่องโหว่ในการตรวจสอบความถูกต้องของ DNSSEC ซึ่งทำให้ Hacker สามารถใช้ประโยชน์จาก standard DNSSEC protocol ที่มีจุดประสงค์เพื่อความสมบูรณ์ของ DNS โดยการใช้ resources ที่มากเกินไปบน resolver ทำให้เกิด denial of service(DoS) กับผู้ใช้งาน

โดยช่องโหว่ดังกล่าวถูกเปิดเผยมาก่อนหน้านี้ในเดือนกุมภาพันธ์ 2024 และได้รับการแก้ไขไปแล้วใน DNS อื่น ๆ เช่น BIND, PowerDNS, Unbound, Knot Resolver และ Dnsmasq

นอกจากนี้ Patch Tuesday ประจำเดือนมิถุนายน 2024 ยังมีการแก้ไขช่องโหว่อื่น ๆ ที่น่าสนใจ ได้แก่ ช่องโหว่การเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกลของ Microsoft Office หลายรายการ รวมถึง Microsoft Outlook RCEs ที่สามารถใช้ประโยชน์ได้จากช่องโหว่ใน preview pane รวมถึงช่องโหว่ในการยกระดับสิทธิ์ Windows Kernel 7 รายการที่อาจทำให้ Hacker ที่เข้าถึงเครื่องได้ ได้รับสิทธิ์ SYSTEM

การแก้ไขช่องโหว่ของบริษัทอื่น ๆ

นอกจากนี้ยังมีการออกแพตซ์แก้ไขช่องโหว่ของบริษัทอื่น ๆ ในเดือนมิถุนายน 2024 ได้แก่ :

Apple แก้ไขช่องโหว่ด้านความปลอดภัย 21 รายการในรุ่น VisionOS 1.2
ARM แก้ไขช่องโหว่ที่ถูกโจมตีอย่างต่อเนื่องใน Mali GPU kernel drivers
Cisco แก้ไขช่องโหว่ความปลอดภัยสำหรับ Cisco Finesse และ Webex
Cox แก้ไขช่องโหว่ API auth bypass ที่ส่งผลกระทบต่อ modem หลายล้านอุปกรณ์
F5 อัปเดตความปลอดภัยสำหรับช่องโหว่ BIG-IP Next Central Manager API ที่มีระดับความรุนแรงสูง 2 รายการ
PHP แก้ไขช่องโหว่ RCE ระดับ Critical ซึ่งกำลังถูกใช้ในการโจมตีด้วยแรนซัมแวร์
TikTok แก้ไขช่องโหว่ Zero-day และ Zero-Click ที่ถูกโจมตีในฟีเจอร์ Direct Message
VMware แก้ไขช่องโหว่ Zero-day 3 รายการ ที่ถูกโจมตีที่ Pwn2Own 2024
Zyxel ออกอัปเดตแก้ไขช่องโหว่ RCE ฉุกเฉินสำหรับอุปกรณ์ NAS ที่หมดอายุการใช้งานไปแล้ว (EoL)

ที่มา : www.

PHP แก้ไขช่องโหว่ RCE ระดับ Critical ที่ส่งผลกระทบต่อ Windows ทุกเวอร์ชัน

PHP ออกอัปเดตเพื่อแก้ไขช่องโหว่การเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกล (Remote Code Execution (RCE)) บน Windows ซึ่งส่งผลกระทบตั้งแต่เวอร์ชัน 5.x และอาจส่งผลกระทบต่อเซิร์ฟเวอร์จำนวนมากทั่วโลก

PHP เป็น open-source scripting language ที่ใช้กันอย่างแพร่หลาย โดยถูกออกแบบมาเพื่อการพัฒนาเว็บ และใช้กันทั่วไปบนเซิร์ฟเวอร์ทั้งบน Windows และ Linux

CVE-2024-4577 (คะแนน CVSS 9.8/10 ความรุนแรงระดับ Critical) เป็นช่องโหว่การเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกล (RCE) ที่เกิดจากการจัดการ character encoding โดยเฉพาะฟีเจอร์ 'Best-Fit' บน Windows เมื่อใช้ PHP ในโหมด CGI

ทำให้ Hacker ที่ไม่ต้องผ่านการยืนยันตัวตนสามารถ bypass การป้องกันของช่องโหว่ CVE-2012-1823 ก่อนหน้านี้ ด้วย character ที่เฉพาะเจาะจง ทำให้สามารถดำเนินการได้บน PHP servers ผ่านการโจมตีแบบ argument injection attack ซึ่งช่องโหว่ถูกค้นพบโดย Orange Tsai นักวิจัยด้านความปลอดภัยของ Devcore Principal เมื่อวันที่ 7 พฤษภาคม 2024 และได้รายงานช่องโหว่ให้แก่นักพัฒนา PHP ในเวลาต่อมา

ช่องโหว่ CVE-2024-4577 ส่งผลกระทบต่อ PHP ทุกเวอร์ชันบน Windows หากผู้ใช้งานใช้ PHP 8.0 (End of Life), PHP 7.x (End of Life) หรือ PHP 5.x (End of Life) ควรอัปเดตให้เป็นเวอร์ชันที่ใหม่กว่า หรือใช้วิธีการลดผลกระทบของช่องโหว่

นักวิจัยระบุว่า แม้ว่า PHP จะไม่ได้ใช้งาน CGI mode แต่ช่องโหว่ CVE-2024-4577 ก็อาจยังคงสามารถถูกโจมตีได้ ตราบใดที่ไฟล์ปฏิบัติการ PHP (เช่น php.

การโจมตีช่องโหว่ RCE ของ Atlassian Confluence (CVE-2023-22527)

 

Atlassian เปิดเผยช่องโหว่ Remote Code Execution (RCE) ออกมาเมื่อวันที่ 16 มกราคม 2024 โดยมีหมายเลข CVE-2023-22527 ซึ่งส่งผลกระทบต่อเวอร์ชันเก่าของ Confluence Data Center และ Confluence Server

CVE-2023-22527 เป็นช่องโหว่ระดับ critical ที่เกี่ยวกับ Object-Graph Navigation Language (OGNL) injection และมีคะแนน CVSS สูงถึง 10 คะแนน

OGNL (Object-Graph Navigation Language) เป็นภาษาแสดงผลที่ใช้ใน Java และถูกใช้ในแอปพลิเคชัน เช่น Atlassian Confluence เมื่อแอปพลิเคชันเหล่านี้ไม่สามารถตรวจสอบ และ sanitize ข้อมูลที่ผู้ใช้ป้อนเข้ามาให้ถูกต้อง ก่อนนำมาใช้ใน OGNL มันสามารถส่งผลให้เกิดช่องโหว่ด้านความปลอดภัยที่เรียกว่า 'OGNL insert' ได้

เหตุนี้ทำให้ผู้ไม่หวังดีสามารถป้อนสตริงที่ถูกสร้างขึ้นมาโดยเฉพาะเพื่อใส่ใน OGNL expressions ภายในหน้าจอผู้ใช้ หรือในช่องป้อนข้อมูล ซึ่งทำให้เกิดการเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกลบนระบบที่ได้รับผลกระทบ

Cyble Global Sensor Intelligence (CGSI) network ตรวจพบการพยายามโจมตีโดยใช้ช่องโหว่ CVE-2023-22527 เมื่อวันที่ 26 มกราคม 2024 การวิเคราะห์ของรูปแบบการโจมตีที่ CGSI ตรวจพบ แสดงให้เห็นว่าผู้โจมตีมุ่งเป้าหมายการโจมตีไปที่แอปพลิเคชัน Atlassian Confluence ที่มีช่องโหว่ในประเทศต่อไปนี้

China
Singapore
Brazil
United States
Russia
Vietnam
India
Germany
United Kingdom
Romania

 

 

กรณีที่ข้อมูลถูกเปิดเผยใน Atlassian Confluence

ตามรายงานการสแกนของ Cyble ODIN ระบุว่าในช่วงสามเดือนที่ผ่านมามี Confluence มากกว่า 4,000 แห่ง ที่เปิดให้เข้าถึงได้จากอินเทอร์เน็ต โดยส่วนใหญ่อยู่ในประเทศสหรัฐอเมริกา, เยอรมนี, จีน และรัสเซีย

รายละเอียดของช่องโหว่

ช่องโหว่ RCE (การเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกล) ใน Confluence Data Center และ Confluence Server

CVE-2023-22527 (CVSS:3.1: 9.8) ระดับความรุนแรง Critical ช่องโหว่ template injection ใน Confluence Data Center และ Server เวอร์ชันเก่า ที่ทำให้ผู้โจมตีสามารถ Remote Code Execution ในเวอร์ชันที่ได้รับผลกระทบได้

เวอร์ชันที่ได้รับผลกระทบ : Confluence Data Center and Confluence Server endpoints, versions 8.0.x, 8.1.x, 8.2.x, 8.3.x, 8.4.x, and 8.5.0 to 8.5.3

รายละเอียดทางเทคนิค

ช่องโหว่นี้เกิดขึ้นจากไฟล์ template 'velocity' ชื่อ 'text-inline.

Hacker มุ่งเป้าหมายการโจมตีไปยัง Apache RocketMQ server ที่มีช่องโหว่ RCE

นักวิจัยด้านความปลอดภัยตรวจพบ IP addresses หลายร้อยรายการในแต่ละวันได้ทำการสแกน หรือพยายามโจมตีช่องโหว่ของ Apache RocketMQ ที่มีความเสี่ยงต่อการเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกล RCE ที่มีหมายเลข CVE-2023-33246 และ CVE-2023-37582 โดยช่องโหว่ทั้ง 2 รายการมีความรุนแรงระดับ Critical ซึ่งยังพบการโจมตีอยู่ในปัจจุบัน แม้ว่าจะมีการออกอัปเดตเพื่อแก้ไขช่องโหว่มาแล้วในเดือนพฤษภาคม 2023

(more…)

ช่องโหว่ของ KCodes NetUSB ทำให้ Router จำนวนนับล้านอาจถูกโจมตีด้วย Remote Code Execution

พบช่องโหว่ CVE-2021-45388 ในโมดูลเคอร์เนล KCodes NetUSB บนอุปกรณ์ Router ของ Vendor จำนวนนับล้านเครื่อง ช่องโหว่นี้สามารถทำให้เกิดการเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกลได้

ผู้โจมตีจะใช้ประโยชน์จากช่องโหว่นี้ทำให้สามารถรันโค้ดจากระยะไกลได้สำเร็จในเคอร์เนล ถึงแม้จะมีข้อจำกัดบางอย่าง แต่ก็อาจเกิดผลกระทบที่รุนแรงในวงกว้างได้

ช่องโหว่นี้ถูกค้นพบโดย SentinelLabs ซึ่งมีการรายงานกับทาง Bleeping Computer ก่อนที่จะมีการเผยแพร่

NetUSB คืออะไร และมีการกำหนดเป้าหมายอย่างไร

ผู้ผลิต Router บางแบรนด์ มีการผลิต Router ที่มี port USB บนอุปกรณ์ ซึ่งอนุญาตให้ผู้ใช้งานสามารถ แชร์ Printer และ USB drivers บนเครือข่ายได้

NetUSB มีโซลูชันการเชื่อมต่อโมดูลเคอร์เนลที่พัฒนาโดย KCodes ทำให้อุปกรณ์ในเครือข่ายสามารถเชื่อมต่อกับ USB ที่เสียบเข้ากับ Router โดยตรง

SentinelOne ค้นพบช่องโหว่ใน code segment ที่อยู่ในโมดูลเคอร์เนลที่ไม่ตรวจสอบขนาดหน่วยความจำ code segment ซึ่งส่งผลให้เกิด integer overflow ได้

ฟังก์ชัน 'SoftwareBus_fillBuf' อาจเป็นช่องทางในการทำให้ติด Malware ได้ผ่านการควบคุมจากผู้โจมตี แต่ข้อจำกัดบางประการก็อาจทำให้การโจมตีช่องโหว่นี้เกิดได้ยากขึ้น

SentinelOne เตือน "ในขณะที่มีข้อจำกัดบางอย่างที่ทำให้ยากต่อการโจมตีช่องโหว่นี้ แต่เราเชื่อว่ายังมีโอกาสเป็นไปได้ ดังนั้นผู้ใช้งาน Wi-Fi routers อาจต้องอัปเดตเฟิร์มแวร์สำหรับ Router"

Vendor ที่ได้รับผลกระทบจากช่องโหว่ และการอัพเดทแพตช์

Vendor Router ที่ใช้โมดูลที่มีช่องโหว่ดังกล่าวได้แก่

Netgear
TP-Link
Tenda
EDiMAX
Dlink
Western Digital
ยังไม่ได้มีการระบุชัดเจนว่ารุ่นใดที่ได้รับผลกระทบจากช่องโหว่ CVE-2021-45388 แต่โดยทั่วไปแล้ว ควรใช้ Product ที่มีการอัปเดตฟิร์มแวร์อย่างสม่ำเสมอ

เนื่องจากช่องโหว่ดังกล่าวส่งผลกระทบต่อ Vendor จำนวนมาก Sentinel One จึงแจ้งเตือน KCodes ก่อน ในวันที่ 9 กันยายน พ.ศ. 2564 และให้ข้อมูลคริปต์ PoC ในวันที่ 4 ตุลาคม พ.ศ. 2564 เพื่อใช้ตรวจสอบความสมบูรณ์ของแพตช์หลังจากการออกอัพเดท

Netgear ออกมาอัปเดตแพตซ์เพื่อแก้ไขช่องโหว่ CVE-2021-45388 ใน Vendor ที่ได้รับผลกระทบในวันที่ 14 ธันวาคม 2564

ตามคำแนะนำด้านความปลอดภัยที่เผยแพร่เมื่อวันที่ 20 ธันวาคม พ.ศ. 2564 Product ของ Netgear ที่ได้รับผลกระทบมีดังต่อไปนี้
D7800 ได้รับการแก้ไขแล้ว บนเวอร์ชั่น 1.0.1.68
R6400v2 ได้รับการแก้ไขแล้ว บนเวอร์ชั่น 1.0.4.122
R6700v3 ได้รับการแก้ไขแล้ว บนเวอร์ชั่น 1.0.4.122

โซลูชันที่ Netgear เพิ่มเข้ามาใหม่คือฟังก์ชัน 'supplied size' เพื่อป้องกัน out-of-bounds write

ที่มา : bleepingcomputer

*Timeline การเปิดเผยข้อมูล*
09 ก.ย. 2564 - มี Email ส่งถึง KCodes เพื่อขอข้อมูลเกี่ยวกับวิธีการแจ้งข้อมูลช่องโหว่
20 ก.ย. 2564 - KCodes ได้รับรายละเอียดช่องโหว่ และคำแนะนำการแก้ไขช่องโหว่
04 ต.ค. 2021 - KCodes ได้รับสคริปต์ PoC เพื่อตรวจสอบความสมบูรณ์ของแพตช์
19 พ.ย. 2564 - KCodes ยืนยันว่าได้ส่งแพตช์ไปยัง Vendor ทุกรายแล้ว ไม่ใช่แค่ Netgear และเฟิร์มแวร์จะออกก่อนวันที่ 20 ธันวาคม
14 ธ.ค. 2564 - พบว่า Netgear ได้ออกเฟิร์มแวร์สำหรับอุปกรณ์ R6700v3 ที่พร้อมใช้แล้ว
20 ธ.ค. 2564 - Netgear เผยแพร่คำแนะนำสำหรับช่องโหว่ต่อสาธารณะ

Microsoft พบช่องโหว่ที่สามารถแพร่กระจายในลักษณะ Wormable, ช่องโหว่ RCE ในระดับ Critical และ 6 ช่องโหว่ Zero-Days

 

การอัปเดต Patch Tuesday ครั้งใหญ่ในเดือนมกราคม 2022 ของ Microsoft ** ครอบคลุม CVE ที่สำคัญ 9 รายการ

Microsoft ได้แก้ไขช่องโหว่ด้านความปลอดภัยทั้งหมด 97 รายการในการอัปเดต Patch Tuesday ประจำเดือนมกราคมปี 2022 โดย 9 รายการอยู่ในอันดับ Critical รวมถึง 6 รายการที่มีสถานะเป็น Zero-days ที่ถูกเปิดเผยออกสู่สาธารณะ

การแก้ไขครอบคลุมกลุ่มผลิตภัณฑ์คอมพิวเตอร์ค่ายใหญ่ทั้งหลาย ซึ่งรวมถึง: Microsoft Windows และ Windows Components, Microsoft Edge (ที่ใช้ Chromium), Exchange Server, Microsoft Office และ Office Components, SharePoint Server, .NET Framework, Microsoft Dynamics, ซอฟต์แวร์โอเพ่นซอร์ส , Windows Hyper-V, Windows Defender และ Windows Remote Desktop Protocol (RDP)

Dustin Childs นักวิจัยจาก Zero Day Initiative (ZDI) ของ Trend Micro อธิบายว่า "นี่เป็นการอัปเดตครั้งใหญ่มากผิดปกติในเดือนมกราคม" "ในช่วงไม่กี่ปีที่ผ่านมา จำนวนแพตช์เฉลี่ยที่ออกในเดือนมกราคมมีประมาณครึ่งหนึ่งของครั้งนี้ มีแนวโน้มว่าเราอาจจะพบการอัพเดทจำนวนมากระดับนี้ตลอดทั้งปี"

Zero-Day Tsunami

ถึงจะมี Zero-Day ออกมาจำนวนมาก แต่ยังไม่มี Zero-Day ตัวใดที่ถูกระบุว่าถูกนำไปใช้โจมตีอย่างชัดเจน แม้ว่าจะมีสองรหัสได้แก่ CVE-2022-21919 และ CVE-2022-21836 ที่ถูกนำไปใช้อย่างแพร่หลาย จากทั้งหมดนี้

CVE-2021-22947: HackerOne-assigned CVE in open-source Curl library (RCE)
CVE-2021-36976: MITRE-assigned CVE in open-source Libarchive (RCE)
CVE-2022-21874: Local Windows Security Center API (RCE, CVSS score of 7.8)
CVE-2022-21919: Windows User Profile Service (privilege escalation, CVSS 7.0)
CVE-2022-21839: Windows Event Tracing Discretionary Access Control List (denial-of-service, CVSS 6.1).
CVE-2022-21836: Windows Certificate (spoofing, CVSS 7.8).

cURL bug ถูกเปิดเผยโดย HackerOne เมื่อเดือนกันยายน 2564 Childs กล่าวในการวิเคราะห์ Patch Tuesday ของ ZDI"
และแพตช์นี้ได้รวมไลบรารี cURL ล่าสุดไว้ในผลิตภัณฑ์ของ Microsoft ด้วยนี่คือเหตุผลที่ CVE นี้ถูกทำให้รู้จักกันอย่างแพร่หลาย ในทำนองเดียวกัน แพตช์สำหรับไลบรารี Libarchive ก็ถูกเปิดเผยในปี 2021 และเวอร์ชันล่าสุดของไลบรารีนี้กำลังถูกรวมเข้ากับผลิตภัณฑ์ของ Microsoft ด้วย"

ช่องโหว่ระดับ Critical และช่องโหว่ในลักษณะ Wormable แนะนำให้รีบ Patch โดยทันที

ปัญหา Remote Code-execution (RCE) ในสแต็คโปรโตคอล HTTP นั้นเป็นที่สนใจสำหรับนักวิจัย เนื่องจากมันสามารถใช้ในการแพร่กระจายการโจมตีได้อย่างรวดเร็ว กล่าวคือ ช่องโหว่นี้สามารถแพร่กระจายตัวเองได้เองผ่านเครือข่าย โดยไม่จำเป็นต้องให้เหยื่อดำเนินการใดๆ โดยช่องโหว่นี้มีระดับความรุนแรงของช่องโหว่สูงที่สุดของการอัปเดตทั้งหมด โดยมีคะแนนอยู่ที่ 9.8

ช่องโหว่ CVE-2022-21907 ทำงานโดยการส่งแพ็กเก็ตที่สร้างขึ้นเป็นพิเศษไปยังระบบเป้าหมายโดยใช้ HTTP protocol stack (http.