F5 แจ้งเตือนช่องโหว่ RCE ระดับ Critical บน F5 BIG-IP ซึ่งอาจส่งผลให้ถูกเข้าควบคุมระบบได้

F5 ได้ออกคำเตือนช่องโหว่ด้านความปลอดภัย ที่อาจทำให้ผู้โจมตีสามารถสั่งรันโค้ดที่เป็นอันตรายบนระบบที่เข้าถึงได้โดยไม่ต้องมีการตรวจสอบสิทธิ์ จากการดำเนินการกับไฟล์ และปิด services บน BIG-IP

ช่องโหว่นี้มีหมายเลข CVE-2022-1388 และมีระดับความรุนแรงของ CVSS v3 อยู่ที่ 9.8 ซึ่งอาจนำไปสู่การเข้าควบคุมระบบได้อย่างสมบูรณ์ โดยช่องโหว่จะเกิดขึ้นใน iControl REST component ซึ่งทำให้ผู้โจมตีสามารถส่ง request เพื่อ bypass การตรวจสอบจาก iControl REST บน BIG-IP

เนื่องจากการใช้งาน BIG-IP ในระบบที่สำคัญๆจำนวนมาก ทำให้วันนี้ทาง CISA ก็ได้ออกมาแจ้งเตือนถึงช่องโหว่ดังกล่าวด้วยเช่นเดียวกัน

โดยเวอร์ชันที่ได้รับผลกระทบมีดังนี้

BIG-IP versions 16.1.0 ถึง 16.1.2
BIG-IP versions 15.1.0 ถึง 16.1.5
BIG-IP versions 14.1.0 ถึง 14.1.4
BIG-IP versions 13.1.0 ถึง 13.1.4
BIG-IP versions 12.1.0 ถึง 12.1.6
BIG-IP versions 11.6.1 ถึง 11.6.5
ปัจจุบัน F5 ได้ออกแพตซ์แก้ไขออกมาแล้วในเวอร์ชัน v17.0.0, v16.1.2.2, v15.1.5.1, v14.1.4.6 และ v13.1.5 แต่เวอร์ชัน 12.x และ 11.x จะไม่มีแพตซ์ โดยที่ BIG-IQ Centralized Management, F5OS-A, F5OS-C และ Traffic SDC จะไม่ได้รับผลกระทบจากช่องโหว่ดังกล่าว

หากองค์กรใดที่ยังไม่สามารถอัปเดตได้ทันทีมีวิธีแก้ปัญหาชั่วคราวได้ 3 ช่องทางคือ

1.) บล็อกการเข้าถึงอินเทอร์เฟส iControl REST บน BIG-IP แต่วิธีการนี้อาจกระทบกับการทำ HA

2.) จำกัดการเข้าถึงจากผู้ใช้ หรืออุปกรณ์ที่ได้รับอนุญาตเท่านั้น

3.) แก้ไขคอนฟิคใน httpd บน BIG-IP

พบอุปกรณ์ BIG-IP เปิดให้เข้าถึงได้กว่า 16,000 เครื่อง

Warfield Shodan แสดงให้เห็นว่าขณะนี้มีอุปกรณ์ F5 BIG-IP จำนวน 16,142 เครื่องที่เข้าถึงได้โดยตรงจากอินเทอร์เน็ต อุปกรณ์เหล่านี้ส่วนใหญ่ตั้งอยู่ในสหรัฐอเมริกา รองลงมาคือจีน อินเดีย ออสเตรเลีย และญี่ปุ่นนักวิจัยด้านความปลอดภัยคาดว่าผู้โจมตีจะเริ่มสแกนหาอุปกรณ์ที่มีช่องโหว่ในเร็วๆ นี้ ดังนั้นผู้ดูแลระบบจะต้องรีบอัปเดตอุปกรณ์เหล่านี้โดยเร็วที่สุด หรืออย่างน้อยก็ใช้การบรรเทาผลกระทบ ดังนี้

ที่มา :  bleepingcomputer ,  techtalkthai

 

Google ออกอัปเดตแพตซ์เร่งด่วน ปิดช่องโหว่ที่กำลังถูกใช้โจมตี ซึ่งกระทบผู้ใช้ Chrome กว่า 3.2 พันล้านคน

Google ได้ออกการอัปเดตแพตซ์ด้านความปลอดภัยเร่งด่วนสำหรับผู้ใช้งาน Google Chrome ทุกคน เนื่องจากสามารถยืนยันได้แล้วว่ามีผู้โจมตีได้ใช้ประโยชน์จากช่องโหว่ Zero-Day นี้ในการโจมตีอยู่ในปัจจุบัน

การอัพเดตล่าสุดเวอร์ชัน 99.0.4844.84 ของ Chrome นั้นเป็นการอัปเดตเพื่อจัดการกับช่องโหว่ด้านความปลอดภัยเพียงช่องโหว่เดียวเท่านั้น แสดงให้เห็นว่าการอัปเดตครั้งนี้เร่งด่วน และสำคัญมาก

Chrome ประกาศอัปเดตเมื่อวันที่ 25 มีนาคม ซึ่ง Google ยืนยันว่า "เรารับทราบถึงการพบการโจมตีโดยใช้ช่องโหว่ CVE-2022-1096 แล้วในปัจจุบัน" ดังนั้นขอแนะนำให้ผู้ใช้ Chrome ทุกคนรีบตรวจสอบให้แน่ใจว่าได้อัปเดต browsers ของคุณให้เป็นเวอร์ชันล่าสุดเรียบร้อยแล้ว

CVE-2022-1096 คืออะไร ?

ในช่วงแรกๆช่องโหว่ CVE-2022-1096 ยังไม่ค่อยเป็นที่รู้จักในวงกว้างมากนัก โดยเป็นช่องโหว่ใน "Type Confusion in V8" ซึ่ง V8 เป็น JavaScript engine ของ Chrome แต่เพราะ Google มักจะยังไม่เปิดเผยรายละเอียดการโจมตี เทคนิค หรือ ช่องโหว่จนกว่าจะมีการอัปเดตแพตซ์ออกมาเพื่อปกป้องผู้ใช้งาน

วิธีการอัปเดต Google Chrome

ไปที่ตัวเลือก Help | About ในเมนู Google Chrome หากต้องมีการอัปเดต ระบบจะเริ่มดาวน์โหลดโดยอัตโนมัติ นอกจากนี้แนะนำให้รีสตาร์ทเบราว์เซอร์หลังจากติดตั้งการอัปเดตเรียบร้อยแล้ว

ที่มา : www.

SolarWinds ออกคำเตือนการโจมตี ซึ่งมีเป้าหมายไปที่ Web Help Desk instances (WHD)

SolarWinds ออกคำเตือนเกี่ยวกับการโจมตีไปที่ instances ของ Web Help Desk (WHD) ที่เปิดให้เข้าถึงได้จากอินเทอร์เน็ต และแนะนำให้ปิดการเข้าถึงจากอินเทอร์เน็ตเพื่อเป็นการแก้ปัญหาเบื้องต้น

WHD เป็นระบบ helpdesk ticketing และ IT inventory สำหรับองค์กร ที่ออกแบบมาเพื่อช่วยให้ผู้ใช้งานบริหารจัดการงานในด้านต่างๆได้อย่างสะดวก

“ผู้ใช้งาน SolarWinds หลายราย รายงานการพยายามโจมตีจากภายนอกมาที่ instances ของ Web Help Desk 12.7.5 โดย Endpoint detection and response (EDR) ของผู้ใช้งานสามารถแจ้งเตือน และบล็อกการโจมตีได้” SolarWinds กล่าว

“เพื่อความปลอดภัย SolarWinds ขอแนะนำให้ผู้ใช้งานทั้งหมดที่มีการเปิดให้เข้าถึง Web Help Desk ได้จากอินเทอร์เน็ต ให้ปิดการเข้าถึงได้โดยตรงจากอินเทอร์เน็ตไปก่อน จนกว่าจะมีข้อมูลของการโจมตีเพิ่มเติม”

"ส่วนลูกค้าที่ไม่สามารถปิดการเชื่อมต่อของ Web Help Desk จากอินเทอร์เน็ต ขอแนะนำให้ใช้ซอฟต์แวร์ EDR และคอยเฝ้าระวังการพยายามโจมตีอย่างสม่ำเสมอ"

ช่องโหว่ของ Web Help Desk

SolarWinds ไม่ได้ให้รายละเอียดใด ๆ เกี่ยวกับเครื่องมือ หรือเทคนิคที่ใช้ในการโจมตี แต่ก็เคยมีช่องโหว่ด้านความปลอดภัยอย่างน้อยสี่ช่องโหว่ ที่พบว่าผู้โจมตีใช้โจมตีไปที่ instances WHD ได้ หากผู้ใช้งานยังไม่ได้อัพเดทแพตช์ :

Access Restriction Bypass Via Referrer Spoof - Business Logic Bypass Vulnerability (CVE-2021-32076) - Fixed in WHD 12.7.6
Enabled HTTP PUT & DELETE Methods (CVE-2021-35243) - Fixed in WHD 12.7.7 Hotfix 1
Hard-coded credentials allowing arbitrary HSQL queries execution (CVE-2021-35232) - Fixed in WHD 12.7.7 Hotfix 1
Sensitive Data Disclosure Vulnerability (CVE-2021-35251) - Fixed in WHD 12.7.8

จากรายละเอียดใน CVE-2921-35251 ผู้โจมตีสามารถใช้ประโยชน์จาก instances WHD ที่ยังไม่ได้แพตช์ เพื่อเข้าถึงข้อมูลรายละเอียดของระบบที่ติดตั้ง Web Help Desk ไว้ ซึ่งอาจจะทำให้สามารถโจมตีด้วยอีก 3 ช่องโหว่ที่เหลือได้ง่ายขึ้นอีกด้วย

ที่มา : bleepingcomputer

แฮกเกอร์เริ่มทำการสแกนหา VMware vCenter ที่มีช่องโหว่ CVE-2021-22005 แนะผู้ใช้งานรีบอัปเดตด่วน

มีรายงานพบว่าแฮกเกอร์ได้เริ่มเริ่มทำการสแกนหาเซิร์ฟเวอร์ VMware vCenter ที่ไม่ได้รับการแพตช์ช่องโหว่การอัปโหลดไฟล์ ซึ่งอาจนำไปสู่การเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกลได้

CVE-2021-22005 เป็นช่องโหว่บน vCenter Server 6.7 และ 7.0 ที่ถูกติดตั้งด้วยค่า Configuration เริ่มต้น

ช่องโหว่ดังกล่าวได้รับการรายงานโดย George Noseevich และ Sergey Gerasimov จาก SolidLab LLC โดยทำให้ผู้โจมตีสามารถสั่งรันคำสั่งที่เป็นอันตรายจากระยะไกลได้ โดยไม่ต้องมีการตรวจสอบสิทธิ์ของผู้ใช้งาน และ Interaction ใดๆจากฝั่งผู้ถูกโจมตีอีกด้วย

พบการสแกนหาช่องโหว่ เพียง 1 ชั่วโมงหลังจากที่มีการปล่อยแพตช์อัปเดต

แม้ว่าจะยังไม่มีโค้ดที่ใช้ในการโจมตีถูกปล่อยออกสู่สาธารณะ แต่บริษัท Bad Packets ได้รายงานการพบการสแกนหาช่องโหว่นี้จาก VMware Honeypots ที่บริษัทสร้างขึ้น เพียงแค่ 1 ชั่วโมงหลังจากการออกแพตช์อัปเดตจาก VMware

Bad Packets แจ้งผ่านทาง Twitter เมื่อไม่กี่วันก่อนว่าพวกเค้า พบการสแกนหาช่องโหว่ CVE-2021-22005 จาก IP ต้นทาง 116[.]48.233.234 โดยการสแกนนั้นหาช่องโหว่นั้นใช้ข้อมูลจาก Workaround ที่ทาง VMware แจ้งกับลูกค้าที่ยังไม่สามารถทำการอัปเดตแพตช์ได้ในปัจจุบัน

ตอนนี้มากกว่า 1 พัน vCenter servers ที่มีช่องโหว่ ถูกรายงานไว้อยู่บนเว็บไซต์ Shodan เรียบร้อยแล้ว และนี่ไม่ใช่ครั้งแรกที่ผู้โจมตีมีการรวบรวมข้อมูลของ VMware vCenter servers ที่มีช่องโหว่

ในเดือนกุมภาพันธ์ พบผู้โจมตีมีการสแกนหา vCenter ที่ยังไม่ได้รับการแพตช์เป็นจำนวนมาก หลังจากที่นักวิจัยด้านความปลอดภัยได้เผยแพร่โค้ดที่ใช้สำหรับทดสอบการโจมตีช่องโหว่ (Proof-of-Concept (PoC)) สำหรับช่องโหว่ที่สำคัญอีกรายการหนึ่ง

ในเดือนมิถุนายนก็พบการสแกนเซิร์ฟเวอร์ VMware vCenters servers ที่ยังไม่ได้รับการแพตช์จาก CVE-2021-21985 หลังจากมีการเผยแพร่โค้ดที่ใช้สำหรับโจมตีช่องโหว่เช่นเดียวกัน

VMware ออกมาเตือนผู้ใช้งานถึงความพยายามในการโจมตี

การสแกนอย่างต่อเนื่องเหล่านี้เป็นไปตามคำเตือนที่ออกโดย VMware เมื่อวานนี้ เพื่อเน้นย้ำถึงความสำคัญของการอัปเดตแพตช์เซิร์ฟเวอร์ CVE-2021-22005 โดยเร็วที่สุด

"ช่องโหว่นี้สามารถถูกใช้โดยใครก็ได้ที่สามารถเข้าถึง vCenter servers โดยที่ไม่ต้องสนใจการตั้งค่าการเข้าใช้งานบน vCenter Server เลย" Bob Plankers จาก VMware กล่าว

อย่างไรก็ดีทีมงาน VMware ได้แสดงความกังวลถึงการใช้งานจากกลุ่มแรนซัมแวร์ที่อาจฝังตัวอยู่แล้ว และบังเอิญมีช่องโหว่นี้เผยขึ้นมา ซึ่งคาดว่าอาจมีโค้ดการทดสอบการโจมตีเกิดขึ้นตามมา และนำไปสู่การประยุกต์ใช้โจมตีอย่างรวดเร็ว เพราะด้วยความสำคัญของตัว vCenter เอง

สำหรับใครที่ไม่สามารถแพตช์ได้จริงๆ VMware ได้ออก Workaround และสคริปต์แก้ไขไว้แล้ว และในช่วงนี้ VMware ยังมีแพตช์อื่นอีก 10 กว่ารายการที่แก้ไขช่องโหว่ให้ vCenter อีกด้วย

คำแนะนำ
ควรอัปเดตแพตช์ VMware เป็นเวอร์ชันล่าสุดเพื่อลดความเสี่ยง และผลกระทบที่เกี่ยวข้องกับการโจมตีนี้

ที่มา : bleepingcomputer

T-Mobile แจ้งถูกโจมตีขโมยข้อมูล คาดส่งผลต่อผู้ใช้งานถึง 54 ล้านคน

เหตุการณ์ข้อมูลรั่วไหลของ T-Mobile เริ่มมีข้อมูลของผลกระทบออกมาเรื่อยๆ หลังจากผลการตรวจสอบล่าสุดพบว่าในขณะนี้มีการเปิดเผยข้อมูลของลูกค้าที่ใช้บริการ T-Mobile มากกว่า 54 ล้านคน

เมื่อสุดสัปดาห์ที่ผ่านมาผู้โจมตีเริ่มขายข้อมูลส่วนบุคคลของลูกค้า T-Mobile 100 ล้านคนบนฟอรัมใต้ดินด้วยราคา 6 bitcoin หรือประมาณ 9 ล้าน 3 แสนบาท

ผู้โจมตีกล่าวว่าฐานข้อมูลที่ถูกขโมยมีข้อมูลลูกค้า T-Mobile ประมาณ 100 ล้านคน ข้อมูลที่เปิดเผยอาจรวมถึง IMSI, IMEI ของลูกค้า, หมายเลขโทรศัพท์, ชื่อลูกค้า, PIN ความปลอดภัย, หมายเลขประกันสังคม, หมายเลขใบขับขี่ และวันเกิด

ผู้โจมตีกล่าวว่าฐานข้อมูลที่ขโมยมาเมื่อประมาณ 2 สัปดาห์ก่อน มีข้อมูลลูกค้าย้อนหลังไปถึงปี 2547 โดยทาง T-Mobile ก็มีการยืนยันในภายหลังว่าเซิร์ฟเวอร์บางส่วนถูกแฮ็กจริง และเริ่มตรวจสอบข้อมูลลูกค้าที่ถูกเปิดเผยออกมา

เมื่อวันที่ 17 สิงหาคม T-Mobile ได้เปิดเผยการตรวจสอบ เกี่ยวกับเซิร์ฟเวอร์ที่ถูกแฮ็กเป็นครั้งแรก และกล่าวว่าข้อมูลส่วนบุคคลของผู้ใช้งาน 48.6 ล้านคนถูกขโมยออกไประหว่างการโจมตี

โดยวันนี้ (21 สิงหาคม) T-Mobile ได้อัปเดตจำนวนข้อมูลส่วนบุคคลของลูกค้าเพิ่มเติม 6 ล้านคนที่คาดว่าที่ได้รับผลกระทบจากการโจมตี
ในครั้งนี้ ซึ่งรวมแล้วการโจมตีครั้งนี้ส่งผลกระทบต่อผู้ใช้งานประมาณ 54.6 ล้านคน ซึ่งจำแนกตามนี้

ข้อมูล ชื่อและนามสกุล, วันเกิด, SSN และข้อมูลใบขับขี่/บัตรประจำตัวของลูกค้า T-Mobile ในปัจจุบันจำนวน 13.1 ล้านบัญชี
ข้อมูล ชื่อและนามสกุล, วันเกิด, SSN และข้อมูลใบขับขี่/บัตรประจำตัวของลูกค้า T-Mobile ในอดีตจำนวน 40 ล้านบัญชี

ข้อมูล ลูกค้าเก่าของ T-Mobile ที่เปิดเผยชื่อลูกค้า หมายเลขโทรศัพท์ ที่อยู่ และวันเกิดจำนวน 667,000 บัญชี

ข้อมูล ลูกค้าแบบเติมเงินของ T-Mobile ที่ใช้งานอยู่ หมายเลขโทรศัพท์ และ PIN ของบัญชีจำนวน 850,000 บัญชี

ข้อมูล ที่เกี่ยวข้องกับบัญชี Metro ของ T-Mobile ในปัจจุบันที่อาจรวมอยู่ด้วยจำนวน 52,000 บัญชี

ตามที่ผู้โจมตีระบุช่องโหว่ที่ผู้โจมตีใช้มาจาก Configuration บนอุปกรณ์ Access Point ที่ใช้สำหรับระบบทดสอบ โดยปัญหาจากการ Configuration นั้นทำให้ Access Point ตัวนี้ถูกเข้าถึงได้จากอินเทอร์เน็ต แสดงว่าการโจมตีนี้ไม่ได้ใช้เทคนิคที่ซับซ้อน หรือเป็น Zero Day แต่เป็น T-Mobile เองที่พลาดเปิดประตูทิ้งไว้ และผู้โจมตีก็แค่หาประตูเจอเท่านั้นเอง

T-Mobile ได้บอกอีกว่าไม่พบการเข้าถึงข้อมูลการชำระเงิน หรือข้อมูลทางการเงิน แต่ก็แนะนำให้ลูกค้า T-Mobile ทุกคนระวังโดยให้ถือว่าข้อมูลของพวกเขารั่วไหลด้วยเช่นเดียวกัน รวมถึงให้ระวังข้อความ SMS หรือ อีเมลฟิชชิ่ง หากได้รับแล้ว อย่าคลิกลิงก์ใดๆ ที่อยู่ในข้อความเนื่องจากผู้โจมตีสามารถใช้ลิงก์เหล่านี้เพื่อรวบรวมข้อมูลจากลูกค้า T-Mobile ได้

ที่มา : Bleepingcomputer

ช่องโหว่ Windows Print Nightmare ยังคงดำเนินต่อไปพร้อมกับ Driver Packages ที่เป็นอันตราย

ช่องโหว่ CVE-2021-34527 เป็นช่องโหว่ที่สามารถโจมตีแบบ Remote Code Execution RpcAddPrinterDriverEx() ซึ่งเกี่ยวกับการตั้งค่าไดรเวอร์ของ Printer หากผู้ไม่ประสงค์ดี สามารถเข้าถึงระบบได้จากช่องโหว่แล้ว จะสามารถเรียกใช้งาน System privileges ซึ่งสิทธิ์ System privileges นี้สามารถติดตั้งโปรแกรม ดู เปลี่ยนแปลง ลบข้อมูล หรือสร้างบัญชีใหม่พร้อมสิทธิ์ผู้ใช้เต็มรูปแบบได้ ซึ่งในช่วงเวลานั้นยังไม่มี Patch เป็นทางการปล่อยออกมา ส่งผลกระทบกับ Windows ตั้งแต่ Windows 7 SP1 ไปจนถึง Server 2019, ARM64 versions of Windows และ Windows RT 8.1 แต่เมื่อวันที่ 6 กรกฏาคมที่ผ่านมาทาง Microsoft ได้ออกแพตซ์ด่วน Out-of-band (OOB) ออกมาให้อัพเดท ซึ่งจากข้อมูลปัจจุบันพบว่าแพตช์ที่ทาง Microsoft ได้ออกมานั้นสามารถแก้ไขได้เพียง Remote Code Execution (RCE) เท่านั้นส่วนช่องโหว่การยกระดับสิทธิ์ยังคงมีอยู่

เมื่อไม่นานมานี้นักวิจัยด้านความปลอดภัย Benjamin Delpy ได้ค้นพบวิธีการละเมิดการติดตั้งแบบปกติของไดร์เวอร์ Printer ของ Windows เพื่อรับสิทธิ์ System privileges ผ่านไดรเวอร์ Printer โดยเทคนิคนี้สามารถใช้ได้แม้จะทำตามคำแนะนำการแก้ไขปัญหาจากทาง Microsoft เรื่องการจำกัดการติดตั้งไดรเวอร์ Printer สำหรับผู้ดูแลระบบ และการปิดใช้งาน Point and Print นอกจากนั้นผู้ไม่ประสงค์ดียังสามารถสร้าง Signing a driver ที่เป็นอันตราย และใช้สิทธิ์ System privileges บนระบบอื่นๆ ได้อีกด้วย

โดยวิธีการนั้นแตกต่างกันไปตามเทคนิคของแต่ละกลุ่ม เช่น วิธีการสร้าง Signing a Driver ที่เป็นอันตราย และยืนยันโดยใช้ใบรับรอง Authenticode หรือ "Rolls Royce" ในการ Signing a Driver ซึ่งก็คือการซื้อ หรือขโมยใบรับรอง EV แล้วส่งไปเพื่อทำการตรวจสอบกับ Microsoft WHQL เมื่อผู้ไม่ประสงค์ดีมี Signing a Driver ที่ยืนยันแล้ว สามารถติดตั้งไดรเวอร์บนอุปกรณ์เครือข่ายอื่นๆ ที่มีสิทธิ์เป็นผู้ดูแลระบบได้ หรือใช้การ "pivot" อุปกรณ์ เพื่อรับสิทธิ์เข้าใช้งานระบบบนอุปกรณ์อื่นที่ไม่มีสิทธิ์ได้ โดยการติดตั้งไดร์เวอร์ที่เป็นอันตราย ซึ่งเทคนิคนี้สามารถใช้เพื่อช่วยให้ผู้ไม่ประสงค์ดีแพร่กระจายภายในระบบเครือข่ายได้

ข้อเสนอแนะ

เพื่อป้องกันการโจมตีนี้สามารถปิดใช้งานตัวจัดคิวงานพิมพ์ (Print Spooler) หรือเปิดใช้งานนโยบาย Point and Print เพื่อจำกัดเซิร์ฟเวอร์ที่อุปกรณ์สามารถดาวน์โหลดไดรเวอร์ Printer ได้

อย่างไรก็ตามการเปิดใช้งาน Point and Print จะทำให้ช่องโหว่ของ PrintNightmare สามารถข้ามแพตช์ปัจจุบันจาก Microsoft ได้ เนื่องจาก Windows ได้รับการออกแบบมาเพื่อให้ผู้ดูแลระบบสามารถติดตั้งไดรเวอร์เครื่องพิมพ์ได้ แม้แต่โปรแกรมที่อาจเป็นอันตรายโดยไม่ทราบสาเหตุ นอกจากนี้ Windows ยังได้รับการออกแบบมาเพื่อให้ผู้ใช้ที่ไม่ใช่ผู้ดูแลระบบสามารถติดตั้งไดรเวอร์ที่ยืนยันแล้วบนอุปกรณ์ของตนได้เพื่อความสะดวกในการใช้งาน

ที่มา: bleepingcomputer

Microsoft ค้นพบช่องโหว่ Zero-Day ที่มีระดับความรุนแรงสูงของ SolarWinds ที่ยังสามารถใช้งานได้

Microsoft มีการค้นพบช่องโหว่ Zero-Day ที่มีระดับความรุนแรงสูงของ SolarWinds ที่ยังสามารถใช้งานได้อยู่ในปัจจุบันโดยเกิดจากข้อผิดพลาดที่ทำให้ผู้โจมตีสามารถเรียกใช้โค้ดที่เป็นอันตรายบน Product สำหรับการจัดการการถ่ายโอนไฟล์ (Managed File Transfer) ที่ชื่อว่า Serv-U ได้ โดย Microsoft ได้รายงานช่องโหว่ดังกล่าวไปยังบริษัท SolarWinds โดยตรงแล้ว โดยเมื่อวันศุกร์ที่ผ่านมา (9 July 2021) SolarWinds ได้ออกมากล่าวถึงช่องโหว่ Zero-Day ใหม่นี้ไม่มีความเกี่ยวข้องกับเหตุการณ์โจมตี Supply Chain Attack ที่เกิดขึ้นในเดือนธันวาคมที่ผ่านมา และจากหลักฐานที่ทาง Microsoft ให้มา SolarWinds ยังไม่ได้มีการประเมินว่ามีลูกค้าจำนวนกี่รายที่อาจได้รับผลกระทบจากช่องโหว่ตัวใหม่นี้

SolarWinds Serv-U Managed File Transfer, Serv-U Secure FTP และ Serv-U Gateway ที่เป็นส่วนขยายของผลิตภัณฑ์ทั้งสองได้รับผลกระทบจากช่องโหว่ใหม่นี้ทำให้ผู้โจมตีสามารถเรียกใช้งานโค้ดอันตรายจากระยะไกลบนระบบที่มีช่องโหว่ได้ ทำให้ผู้โจมตีสามารถยกระดับสิทธิและเข้าถึงเครื่องที่ติดตั้งผลิตภัณฑ์ Serv-U ได้ โดยผู้โจมตีสามารถติดตั้งโปรแกรม, ดู แก้ไข และลบข้อมูล หรือเรียกใช้โปรแกรมบนระบบได้ โดยช่องโหว่นี้มีอยู่ในผลิตภัณฑ์ Serv-U เวอร์ชันล่าสุด 15.2.3 HF1 ที่มีการเผยแพร่เมื่อวันที่ 5 พฤษภาคม ที่ผ่านมา และในเวอร์ชันก่อนหน้าทั้งหมด
โดยทาง SolarWinds ได้ปล่อย Hotfix สำหรับแก้ไขช่องโหว่ออกมาแล้วในขณะที่กำลังดำเนินการแก้ไขปัญหาอย่างถาวรต่อไป โดยผู้ใช้งานผลิตภัณฑ์ Serv-U เวอร์ชัน 15.2.3 HF1 ให้ทำติดตั้ง hotfix (HF2) โดยด่วนเพื่อปิดช่องโหว่และสำหรับผู้ใช้งาน Serv-U ที่เวอร์ชันเก่ากว่าควรทำการอัพเดทเป็นเวอร์ชั่นปัจจุบันและทำติดตั้ง hotfix (HF2) และการปิด SSH สามารถช่วยป้องกันการถูกโจมตีได้

SolarWinds คือ บริษัทที่เป็นศูนย์กลางของการโจมตี Supply Chain Attack ที่ได้มีการโจมตีหน่วยงานของสหรัฐฯ 9 แห่งและบริษัทเอกชน 100 แห่ง โดยเกิดจากการผู้โจมตีได้เข้าถึง และมีการปล่อยอัปเดตซอฟแวร์ที่เป็นอันตรายที่เป็นผลิตภัณฑ์ SolarWinds ให้ลูกค้าประมาณ 18,000 รายของบริษัท SolarWinds ในบรรดาลูกค้าเหล่านั้นมีประมาณ 110 รายถูกโจมตีหลังจากนั้นด้วยการติดตั้ง Payload ซึ่งใช้ในการขโมยข้อมูลที่มีความสำคัญออกไป โดยมัลแวร์ที่ถูกใช้ในแคมเปญมีชื่อว่า Sunburst

ในช่วงปลายปี 2020 ช่องโหว่ Zero-Day ของผลิตภัณฑ์ Orion ของ Solarwinds ได้ถูกโจมตีโดยผู้โจมตีกลุ่มอื่นที่นักวิจัยพบความเชื่อมโยงกับรัฐบาลจีน โดยผู้โจมตีเหล่านี้จะมีการติดตั้งมัลแวร์ที่ชื่อว่า SuperNova และมีการกำหนดเป้าหมายไปที่ SolarWinds และมีหน่วยงานของรัฐบาลสหรัฐฯ อย่างน้อยหนึ่งหน่วยงานตกเป็นเป้าหมายของการดำเนินการครั้งนี้

รัฐบาลกลางของสหรัฐฯ ได้ระบุว่าการโจมตีรูปแบบ Supply Chain Attack ในปีที่ผ่านมาเกิดจากแฮกเกอร์ที่ทำงานให้กับ Russia’s Foreign Intelligence Service (SVR) ได้ใช้แคมเปญมัลแวร์ที่มุ่งเป้าไปที่รัฐบาล, หน่วยงานทางการเมือง และองค์กรอื่นๆ ในประเทศต่างๆ รวมถึงเยอรมนี อุซเบกิสถาน, เกาหลีใต้ และสหรัฐอเมริกา รวมถึงการโจมตีกระทรวงการต่างประเทศสหรัฐฯ และทำเนียบขาวในปี 2014

ผลกระทบ

Serv-U เวอร์ชัน 15.2.3 HF1 และ Serv-U ที่เวอร์ชันต่ำกว่านั้น

การแก้ไข

ทำการดาวน์โหลดและติดตั้ง Hotfix ที่ทาง SolarWinds ปล่อยออกมาเพื่อปิดช่องโหว่

ที่มา : arstechnica

คำแนะนำสำหรับช่องโหว่ CVE-2021-34527 Windows Print Spooler

ในวันอังคารที่ 6 ถึง พุธที่ 7 กรกฎาคม 2021 Microsoft ได้ออกแพตซ์ของช่องโหว่ CVE-2021-34527 ซึ่งเป็นช่องโหว่ของ Windows Print Spooler โดยแก้ไขช่องโหว่สำหรับ Windows ทุกเวอร์ชันที่ยังอยู่ในการ Supported ทั้งหมด โดยเป็นการออกแพตซ์นอกช่วงเวลาปกติ Out-of-band (OOB) (ปกติ Microsoft จะออกแพตซ์ทุกวันอังคารที่ 2 ของเดือน หรือที่เรียกกันว่า Tuesday Patch)

จาก Out-of-band (OOB) แพตซ์ที่ถูกปล่อยออกมา มีการตั้งคำถามถึงเรื่องการป้องกันที่ดูแล้วอาจจะยังเป็นแพตซ์ที่ไม่สามารถป้องกันการโจมตีนี้ได้อย่างเต็มประสิทธิภาพ

จากการตรวจสอบของทาง Microsoft พบว่า OOB แพตซ์สามารถทำงานได้ถูกต้องตามที่ออกแบบไว้ และสามารถป้องกันช่องโหว่ Printer Spooling Exploits หรือที่รู้จักกันในชื่อ PrintNightmare ที่ถูกปล่อยออกมาให้ใช้งานในปัจจุบันได้ ซึ่งจากรายงานทั้งหมดที่พบในปัจจุบันการโจมตีที่ยังอาจจะสามารถทำได้อยู่ จะเกี่ยวข้องกับการเปลี่ยนค่า Registry ตั้งต้น ในส่วนที่ชื่อว่า "Point and Print" ให้ไปเป็นค่าที่ไม่ปลอดภัย

โดยทาง Microsoft แนะนำให้ลูกค้าทำตามขั้นตอนเหล่านี้

อัปเดตแพตซ์ CVE-2021-34527 ในทุกกรณี การอัปเดตจะไม่เปลี่ยนการตั้งค่า registry ที่มีอยู่
หลังจากอัปเดตแพตซ์ ควรตรวจสอบคำแนะนำการตั้งค่า registry ที่ระบุไว้ในช่องโหว่ CVE-2021-34527
หากไม่พบ registry keys นี้ (HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Printers\PointAndPrint) ไม่จำเป็นต้องดำเนินการใดๆ เพิ่มเติม
หากพบ registry keys นี้อยู่ (HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Printers\PointAndPrint) เพื่อความปลอดภัย ต้องตั้งค่า registry keys ต่อไปนี้ให้เป็นค่า 0 (ศูนย์) ดังนี้
- HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Printers\PointAndPrint
- NoWarningNoElevationOnInstall = 0 (DWORD) หรือ not defined (default setting)
- UpdatePromptSettings = 0 (DWORD) หรือ not defined (default setting)

สำหรับรายละเอียดคำแนะนำเพิ่มเติม สามารถดูได้จาก KB5005010: Restricting installation of new printer drivers after applying the July 6, 2021 updates และ CVE-2021-34527.

ที่มา : Microsoft

ช่องโหว่ Print Spooler (CVE-2021-1675) และ ช่องโหว่ PrintNightmare (CVE-2021-34527)

ช่องโหว่ Print Spooler (CVE-2021-1675)

ในเดือนมิถุนายนที่ผ่านมาพบช่องโหว่บน Print Spooler (CVE-2021-1675) โดยทาง Microsoft กล่าวว่าเป็นช่องโหว่ที่ไม่รุนแรงมาก ซึ่งกระทบกับ Windows ตั้งแต่ Windows 7 SP1 ไปจนถึง Server 2019, ARM64 versions of Windows และ Windows RT 8.1 ต่อมาเมื่อวันที่ 21 มิถุนายนที่ผ่านมา ทาง Microsoft ได้ออกมาอัปเดตว่าช่องโหว่นี้อาจใช้ทำ Remote Code Execution ได้และระดับความรุนแรงจะมากขึ้น โดยนักวิจัยจากบริษัทรักษาความปลอดภัยทางไซเบอร์ Sangfor ซึ่งกำลังเตรียมนำเสนอบทความเกี่ยวกับจุดบกพร่องของ Print Spooler ในการประชุม Black Hat ที่กำลังจะมีขึ้นในเดือนสิงหาคม 2564 แต่ได้มีการเปิดเผยโค้ดเพื่อสาธิตก่อนกำหนดเพราะเข้าใจว่ามีแพตซ์แก้ไขช่องโหว่นี้ไปแล้ว แต่ช่องโหว่ที่ทาง Sangfor เปิดเผยโค้ด ไม่ใช่ช่องโหว่ด้านความปลอดภัยแบบเดียวกับที่ได้รับการแก้ไขใน Patch Tuesday โดยทีมนักวิจัยดังกล่าวได้รีบลบข้อมูลโค้ดนั้นทันที แต่โค้ดช่องโหว่ดังกล่าวได้ถูกดาวน์โหลดและเผยแพร่ซ้ำที่อื่นไปแล้ว โดยช่องโหว่ใหม่นี้มีชื่อเรียกว่า PrintNightmare เป็นช่องโหว่การเรียกใช้โค้ดจากระยะไกลของ Windows Print Spooler เช่นเดียวกับ CVE-2021-1675 แต่ยังไม่มีแพตซ์แก้ไขช่องโหว่นี้

ช่องโหว่ใหม่มีชื่อว่า PrintNightmare (CVE-2021-34527)

เป็นช่องโหว่ในการเรียกใช้ Remote code excution เมื่อผู้โจมตีประสบความสำเร็จในการใช้ประโยชน์จากช่องโหว่ Windows Print Spooler สามารถเรียกใช้รหัสด้วย SYSTEM privileges สามารถติดตั้งโปรแกรม ดู เปลี่ยนแปลง ลบข้อมูล หรือสร้างบัญชีใหม่พร้อมสิทธิ์ผู้ใช้เต็มรูปแบบ

ทั้ง 2 ช่องโหว่จะมีความคล้ายคลึงกัน

CVE-2021-1675 เป็นช่องโหว่ที่สามารถโจมตีแบบ Remote Code Execution บน Print Spooler ได้ มี Patch แก้ไขแล้ว สามารถดาวน์โหลดได้ที่ Microsoft
CVE-2021-34527 มีลักษณะการโจมตีที่คล้ายคลึงกันแต่แตกต่างกันที่ RpcAddPrinterDriverEx() เกี่ยวกับการตั้งค่าไดรเวอร์ของ Printer ยังไม่มี Patch แก้ไข สามารถติดตามข้อมูลได้ที่ msrc.

Google Patches Critical .PNG Image Bug

Google ออกแพทช์เพื่ออุดช่องโหว่งร้ายแรงสำหรับระบบปฎิบัติการแอนดรอยด์ โดยช่องโหว่ดังกล่าวทำให้ผู้โจมตีสามารถอาศัยไฟล์ภาพที่ (PNG) โดยทำการสร้างไฟล์ภาพอันตรายที่มีการแฝง code และส่งไปยังเครื่องเหยื่อ

การอัพเดทด้านความปลอดภัยของ Android ประจำเดือนกุมภาพันธ์ (February Android Security) Google ได้เปิดเผยว่ามีช่องโหว่ร้ายแรง 3 ตัว (CVE-2019-1986, CVE-2019-1987, CVE2019-1988) โดยหนึ่่งในนั้นเป็นช่องโหว่ .PNG โดยส่งผลกระทบกับระบบปฎิบัติการแอนดรอยด์ ตั้งแต่ Nougat(7.0) จนถึงปัจจุบัน(9.0) รวมแล้วการประกาศประจำเดือนนี้เป็นช่องโหว่ที่มีระดับความร้ายแรง (Critical) ทั้งหมด 11 รายการ และมี 3 รายการที่เป็นช่องโหว่เกี่ยวกับ Framework และจากช่องโหว่ที่ถูกแก้ไขแล้ว 42 รายการ มี 30 รายการที่ถูกจัดความรุนแรงอยู่ในระดับสูง (high) ทั้งนี้คำอธิบายรายละเอียดของช่องโหว่ คาดว่าจะถูกเปิด เผยในภายหลัง

ที่มา: threatpost.