SolarWinds ออกอัปเดตความปลอดภัยเพื่อแก้ไขช่องโหว่ authentication bypass และ remote command execution ระดับ Critical ในซอฟต์แวร์ Web Help Desk IT help desk

ช่องโหว่ authentication bypass ดังกล่าวมีหมายเลข CVE-2025-40552 และ CVE-2025-40554 โดยช่องโหว่ที่ SolarWinds ได้แก้ไขในครั้งนี้ ได้รับการรายงานโดย Piotr Bazydlo จาก watchTowr และสามารถถูกโจมตีโดยผู้โจมตีจากภายนอกที่ไม่จำเป็นต้องผ่านการยืนยันตัวตน ด้วยวิธีการโจมตีที่มีความซับซ้อน

Bazydlo ยังพบ และรายงานช่องโหว่ระดับ Critical ในการเรียกใช้คำสั่งที่เป็นอันตรายจากระยะไกล (RCE) หมายเลข CVE-2025-40553 ซึ่งเกิดจาก Data Deserialization ที่ไม่เหมาะสม ซึ่งสามารถทำให้ Hacker ที่ไม่มีสิทธิ์สามารถเรียกใช้คำสั่งบนโฮสต์ที่มีช่องโหว่ได้

ช่องโหว่ RCE อีกรายการหมายเลข CVE-2025-40551 ที่สามารถทำให้ Hacker สามารถเรียกใช้คำสั่งที่เป็นอันตรายจากระยะไกลได้ ถูกรายงานโดย Jimi Sebree นักวิจัยด้านความปลอดภัยของ Horizon3.ai

รวมถึงทาง SolarWinds ยังได้แก้ไขช่องโหว่การเข้าถึงข้อมูล hardcoded credentials ที่มีระดับความรุนแรงสูง (CVE-2025-40537) ที่ทำให้ Hacker ที่มีสิทธิ์ต่ำสามารถเข้าถึง administrative functions ได้โดยไม่ได้รับอนุญาต ซึ่งถูกรายงานโดย Sebree

SolarWinds ได้ให้คำแนะนำโดยละเอียดสำหรับการอัปเกรดเซิร์ฟเวอร์ที่มีช่องโหว่เป็น Web Help Desk 2026.1 ซึ่งแก้ไขช่องโหว่ด้านความปลอดภัยเหล่านี้แล้ว และได้แนะนำให้ผู้ดูแลระบบอัปเดตอุปกรณ์ของตนโดยเร็วที่สุด เนื่องจาก Hacker มักใช้ช่องโหว่ด้านความปลอดภัยของ Web Help Desk ในการโจมตี

ตัวอย่างเช่น ในเดือนกันยายน 2025 ทาง SolarWinds ได้แก้ไขช่องโหว่ Patch Bypass ครั้งที่สอง (CVE-2025-26399) สำหรับช่องโหว่ RCE ของ WHD ซึ่ง CISA ได้ระบุว่าถูกใช้ในการโจมตีมานานกว่าหนึ่งปีแล้ว โดยเพิ่มช่องโหว่นี้ลงในรายการของช่องโหว่ด้านความปลอดภัยที่กำลังถูกใช้ในการโจมตี และสั่งให้หน่วยงานของรัฐบาลกลางรักษาความปลอดภัยระบบของตนภายในสามสัปดาห์

ในขณะนั้น SolarWinds ระบุว่าช่องโหว่นี้เป็น "ช่องโหว่ Patch Bypass ของ CVE-2024-28988 ซึ่งเป็นช่องโหว่ Patch Bypass ของ CVE-2024-28986 อีกที"

นอกจากนี้ CISA ยังได้ระบุช่องโหว่สำคัญเกี่ยวกับข้อมูล credentials ที่ถูกกำหนดไว้ในโค้ดของ Web Help Desk ว่ากำลังถูกใช้ในการโจมตีอย่างแพร่หลายในเดือนตุลาคม 2024 และขอให้หน่วยงานของรัฐบาลทำการแก้ไขอุปกรณ์ของตนอีกครั้ง
**

Web Help Desk (WHD) ถูกใช้งานอย่างแพร่หลายโดยบริษัทขนาดใหญ่ องค์กรด้านการดูแลสุขภาพ สถาบันการศึกษา และหน่วยงานของรัฐบาลสำหรับการจัดการฝ่ายช่วยเหลือ SolarWinds กล่าวว่าผลิตภัณฑ์การจัดการไอทีของบริษัทมีลูกค้าใช้งานมากกว่า 300,000 รายทั่วโลก

 

ที่มา : bleepingcomputer.

Microsoft ออก Patch Tuesday ประจำเดือนมกราคม 2026 โดยแก้ไขช่องโหว่ 114 รายการ ซึ่งรวมถึงช่องโหว่ Zero-Days ที่กำลังถูกใช้ในการโจมตี 1 รายการ และ ช่องโหว่ Zero-Days ที่ถูกเปิดเผยรายละเอียดออกสู่สาธารณะแล้ว 2 รายการ

โดย Patch Tuesday ประจำเดือนมกราคม 2026 มีการแก้ไขช่องโหว่ระดับ Critical จำนวน 8 รายการ ซึ่งเป็นช่องโหว่ Remote Code Execution 6 รายการ และช่องโหว่ Privilege Escalation 2 รายการ

ช่องโหว่ในแต่ละประเภทมีดังต่อไปนี้ :

ช่องโหว่การยกระดับสิทธิ์ (Privilege Escalation) 57 รายการ
ช่องโหว่การ Bypass คุณสมบัติด้านความปลอดภัย (Security Feature Bypass) 3 รายการ
ช่องโหว่การเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกล (Remote Code Execution) 22 รายการ
ช่องโหว่ในการเปิดเผยข้อมูล (Information Disclosure) 22 รายการ
ช่องโหว่ที่ทำให้เกิด DoS (Denial of Service) 2 รายการ
ช่องโหว่ของการปลอมแปลง (Spoofing) 5 รายการ

ช่องโหว่ Zero-Days 3 รายการ ที่ถูกแก้ไข

Patch Tuesday ประจำเดือนมกราคม 2026 มีการแก้ไขช่องโหว่ Zero-days 1 รายการ ที่กำลังถูกใช้ในการโจมตี และช่องโหว่ Zero-days 2 รายการ ที่เปิดเผยต่อสาธารณะ
**

ช่องโหว่ Zero-Days ที่กำลังถูกใช้ในการโจมตี
**

CVE-2026-20805 - Desktop Window Manager Information Disclosure Vulnerability
Microsoft ได้แก้ไขช่องโหว่ Desktop Window Manager ที่กำลังถูกนำไปใช้ในการโจมตี ซึ่งเกิดจากการเปิดเผยข้อมูลที่สำคัญใน Desktop Windows Manager ทำให้ Hacker ที่ได้รับ authorized สามารถเปิดเผยข้อมูลในเครื่องได้ เมื่อโจมตีช่องโหว่นี้สำเร็จ จะทำให้ Hacker สามารถอ่าน memory addresses ที่เกี่ยวข้องกับ ALPC port ซึ่งเป็นหน่วยความจำในโหมดผู้ใช้จากระยะไกลได้

Microsoft ระบุว่า Microsoft Threat Intelligence Center (MSTIC) และ Microsoft Security Response Center (MSRC) เป็นผู้ค้นพบช่องโหว่ดังกล่าว แต่ไม่ได้เปิดเผยวิธีการโจมตีช่องโหว่

ช่องโหว่ Zero-day ที่ถูกเปิดเผยต่อสาธารณะ

CVE-2026-21265 - Secure Boot Certificate Expiration Security Feature Bypass Vulnerability

Microsoft ได้แจ้งเตือนว่า Certificate ของ Windows Secure Boot ที่ออกในปี 2011 ใกล้หมดอายุแล้ว และระบบที่ไม่ได้รับการอัปเดตมีความเสี่ยงเพิ่มขึ้นที่จะถูก Bypassing Secure Boot ได้

โดยการอัปเดตความปลอดภัยจะต่ออายุ Certificate ที่ได้รับผลกระทบเพื่อรักษา Secure Boot trust chain และ verification of boot components ต่อไปได้

CVE-2023-31096 Windows Agere Soft Modem Driver Elevation of Privilege Vulnerability

ก่อนหน้านี้ Microsoft ได้แจ้งเตือนเกี่ยวกับช่องโหว่ที่กำลังถูกใช้ในการโจมตี Agere Modem driver ของ third-party ซึ่งมาพร้อมกับ Windows เวอร์ชันที่รองรับ เมื่อโจมตีสำเร็จจะสามารถยกระดับสิทธิ์เป็นผู้ดูแลระบบ บนระบบที่มีช่องโหว่ได้ ซึ่งถูกระบุว่าจะถูกลบออกในการอัปเดตในอนาคต

ใน Patch Tuesday ประจำเดือนมกราคม 2026 ทาง Microsoft ได้ลบไดรเวอร์ที่มีช่องโหว่ (agrsm64.sys และ agrsm.

รายงานจาก Mandiant ระบุว่า ช่องโหว่ใหม่ใน Fortinet FortiManager ที่เรียกว่า FortiJump และมีหมายเลข CVE-2024-47575 กำลังถูกใช้ในการโจมตีแบบ zero-day มาตั้งแต่เดือนมิถุนายน 2024 โดยใช้โจมตีเป้าหมายที่เป็นเซิร์ฟเวอร์กว่า 50 เครื่อง

ในช่วง 10 วันที่ผ่านมา มีข่าวลือเกี่ยวกับการโจมตีแบบ zero-day ของ FortiManager ที่กำลังถูกโจมตีอย่างต่อเนื่อง ซึ่งเกิดขึ้นหลังจากที่ Fortinet ได้แจ้งเตือนไปยังลูกค้าแบบส่วนตัว โดยเป็นการแจ้งเตือนด้านความปลอดภัยล่วงหน้า

วันนี้ Fortinet ได้เปิดเผยช่องโหว่ของ FortiManager โดยระบุว่าเป็นช่องโหว่ missing authentication flaw ใน API ของ "FortiGate to FortiManager Protocol" (FGFM) ที่ Fortinet สร้างขึ้น ซึ่งจะทำให้ผู้โจมตีที่ไม่ได้ผ่านการยืนยันตัวตนสามารถใช้คำสั่งตามที่ต้องการบนเซิร์ฟเวอร์ และสามารถควบคุมอุปกรณ์ FortiGate ได้

กลุ่มผู้โจมตีจะสามารถใช้ประโยชน์จากช่องโหว่นี้ได้ โดยการใช้ FortiManager และ FortiGate ที่ถูกควบคุมโดยผู้โจมตี และมี certificates ที่ถูกต้อง เพื่อใช้ในการลงทะเบียนกับเซิร์ฟเวอร์ FortiManager ที่ถูกเปิดเผยได้

เมื่ออุปกรณ์ของพวกเขาเชื่อมต่อแล้ว แม้ว่าจะอยู่ในสถานะที่ไม่ได้รับอนุญาต พวกเขาก็สามารถใช้ช่องโหว่นี้เพื่อเรียกใช้คำสั่ง API บน FortiManager และขโมยข้อมูลการตั้งค่าของอุปกรณ์ได้

Fortinet ได้ออกแพตช์สำหรับ CVE-2024-47575 และเสนอวิธีการลดความเสี่ยง เช่น อนุญาตเฉพาะบาง IP address ที่มีความจำเป็นเท่านั้นให้สามารถเชื่อมต่อได้ หรือการป้องกันไม่ให้อุปกรณ์ FortiGate ที่ไม่รู้จักลงทะเบียนโดยใช้คำสั่ง fgfm-deny-unknown enable

ช่องโหว่ถูกใช้โจมตีแบบ zero-day มาตั้งแต่เดือนมิถุนายน

Mandiant ระบุว่า กลุ่มผู้โจมตีชื่อว่า UNC5820 ได้เริ่มโจมตีอุปกรณ์ FortiManager ตั้งแต่วันที่ 27 มิถุนายน 2024

ตามรายงานจาก Mandiant ระบุว่ากลุ่ม UNC5820 ได้จัดเก็บ และขโมยข้อมูลการตั้งค่าของอุปกรณ์ FortiGate ที่มีการควบคุมโดย FortiManager ที่ถูกโจมตี

ข้อมูลนี้ประกอบด้วยรายละเอียดการตั้งค่าของอุปกรณ์ที่ถูกควบคุมโดย FortiManager รวมถึงผู้ใช้ และรหัสผ่านที่ถูกแฮชด้วย FortiOS256

ข้อมูลเหล่านี้อาจถูกใช้โดยกลุ่ม UNC5820 เพื่อใช้โจมตี FortiManager เพิ่มเติม และแพร่กระจายมัลแวร์ไปยังอุปกรณ์ Fortinet ที่อยู่ในการควบคุม และสุดท้ายก็โจมตีเข้าไปยัง environment ขององค์กร

การโจมตีครั้งแรกที่ถูกตรวจพบมาจาก IP 45[.]32[.]41[.]202 ซึ่งผู้โจมตีได้ลงทะเบียนไว้ใน FortiManager-VM ที่ไม่ได้รับอนุญาตจากเซิร์ฟเวอร์ FortiManager ที่ถูกเปิดเผย

อุปกรณ์นี้ถูกระบุชื่อว่า "localhost" และใช้ Serial Number "FMG-VMTM23017412" ดังที่แสดงด้านล่าง

จากการโจมตีครั้งนี้ Mandiant ระบุว่ามีการสร้างไฟล์ 4 ไฟล์ ได้แก่

/tmp/.tm เป็นไฟล์เก็บข้อมูลที่ถูกบีบอัดด้วย gzip ซึ่งประกอบด้วยข้อมูลที่ถูกขโมยเกี่ยวกับอุปกรณ์ FortiGate ที่ถูกควบคุม และข้อมูลเกี่ยวกับเซิร์ฟเวอร์ FortiManager รวมถึงฐานข้อมูลทั่วโลก
/fds/data/unreg_devices.

มีรายงานช่องโหว่ด้านความปลอดภัยในผลิตภัณฑ์ Device Manager ของ Kyocera ซึ่งอาจถูกนำมาใช้โดยผู้ไม่หวังดีเพื่อดำเนินกิจกรรมที่เป็นอันตรายบนระบบที่มีช่องโหว่

ช่องโหว่นี้ทำให้ผู้โจมตีสามารถใช้งาน SMB share เพื่อส่งข้อมูล hashed credentials ของ Active Directory หากไม่ได้มีการเปิดใช้งาน Policy "Restrict NTLM: Outgoing NTLM traffic to remote servers"

ช่องโหว่มีหมายเลข CVE-2023-50916 โดยคำแนะนำจาก Kyocera ที่เผยแพร่เมื่อปลายเดือนที่แล้วระบุว่า เป็นช่องโหว่ path traversal ที่ช่วยให้ผู้โจมตีสามารถดักจับ และเปลี่ยนแปลงเส้นทางในเครื่องที่ชี้ไปยังตำแหน่งสำรองของฐานข้อมูล ตามรูปแบบ universal naming convention (UNC) ซึ่งจะทำให้เว็บแอปพลิเคชันพยายาม authenticate กับ UNC path ปลอม ส่งผลให้เกิดการเข้าถึงบัญชีของลูกค้า และการโจรกรรมข้อมูลโดยไม่ได้รับอนุญาต ขึ้นอยู่กับการกำหนดค่าที่อาจถูกนำไปใช้ในการโจมตีแบบ NTLM relay attacks

ช่องโหว่ดังกล่าวได้รับการแก้ไขแล้วใน Kyocera Device Manager เวอร์ชัน 3.1.1213.0

QNAP เผยแพร่การแก้ไขช่องโหว่หลายรายการ

รายงานดังกล่าวเกิดขึ้นหลังจากที่ QNAP เปิดตัวแพตซ์แก้ไขช่องโหว่หลายรายการ รวมถึงช่องโหว่ที่มีระดับความรุนแรงสูง ซึ่งส่งผลกระทบต่อ QTS และ QuTS hero, QuMagie, Netatalk และ Video Station

ช่องโหว่หมายเลข CVE-2023-39296 ซึ่งเป็นช่องโหว่ที่อาจทำให้ผู้โจมตีจากภายนอก override แอตทริบิวต์ที่มีอยู่ด้วย incompatible แอตทริบิวต์ ซึ่งอาจทำให้ระบบล่มได้

ช่องโหว่ดังกล่าวได้รับการแก้ไขแล้วในเวอร์ชัน QTS 5.1.3.2578 build 20231110 และ QuTS hero h5.1.3.2578 build 20231110

คำอธิบายของช่องโหว่อื่น ๆ ที่มีดังนี้

CVE-2023-47559 - ช่องโหว่ cross-site scripting (XSS) ใน QuMagie ที่อาจทำให้ผู้ใช้ที่ผ่านการยืนยันตัวตนสามารถแทรกคำสั่งที่เป็นอันตรายผ่านเครือข่ายได้ (สำหรับ QuMagie 2.2.1 และเวอร์ชันใหม่กว่า)
CVE-2023-47560 - ช่องโหว่การแทรกคำสั่งของระบบปฏิบัติการใน QuMagie ที่อาจทำให้ผู้ใช้ที่ผ่านการยืนยันตัวตนสามารถรันคำสั่งผ่านเครือข่ายได้ (สำหรับ QuMagie 2.2.1 และเวอร์ชันใหม่กว่า)
CVE-2023-41287 - ช่องโหว่ SQL injection ใน Video Station ที่อาจทำให้ผู้ใช้สามารถแทรกคำสั่งที่เป็นอันตรายผ่านเครือข่ายได้ (สำหรับ Video Station 5.7.2 และเวอร์ชันใหม่กว่า)
CVE-2023-41288 - ช่องโหว่ command injection ของระบบปฏิบัติการใน Video Station ที่อาจทำให้ผู้ใช้สามารถรันคำสั่งผ่านเครือข่ายได้ (สำหรับ Video Station 5.7.2 และเวอร์ชันใหม่กว่า)
CVE-2022-43634 - ช่องโหว่การเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกลที่ไม่จำเป็นต้องผ่านการยืนยันตัวตนใน Netatalk ที่อาจทำให้ผู้โจมตีสามารถรันโค้ดได้โดยที่ไม่ได้รับอนุญาต (สำหรับ QTS 5.1.3.2578 build 20231110 และ QuTS hero h5.1.3.2578 build 20231110)
แม้ว่าจะยังไม่มีหลักฐานว่าช่องโหว่ดังกล่าวถูกนำไปใช้ในการโจมตี แต่แนะนำให้ผู้ใช้งานดำเนินการอัปเดตแพตซ์ให้เป็นเวอร์ชันล่าสุดเพื่อลดความเสี่ยงที่อาจเกิดขึ้น

ที่มา : thehackernews

เมื่อวันที่ 29 มิถุนายน 2565 ที่ผ่านมา ทาง Apache Shiro ได้ออกมาประกาศเกี่ยวกับช่องโหว่ Bypass การตรวจสิทธิ์ ระดับความรุนแรงสูง โดยมีหมายเลข CVE-2022-32532 โดยช่องโหว่ Apache Shiro เกิดจากแอปพลิเคชั่นที่ใช้ RegExPatternMatcher ด้วย “.” ใน Regular expression ซึ่งทำให้ผู้โจมตีสามารถส่งคำสั่ง HTTP ที่ออกแบบมาเป็นพิเศษเพื่อหลีกเลี่ยงกระบวนการตรวจสอบสิทธิ์ และสามารถเข้าถึงแอปพลิเคชันโดยไม่ได้รับอนุญาตได้

Apache Shiro เป็น Java security framework ที่มีประสิทธิภาพ และใช้งานง่าย ซึ่งใช้งานสำหรับ Authentication, Authorization, Cryptograph และ Session Management และด้วย API ที่ใช้งานได้ง่ายของ Shiro จึงสามารถนำมาใช้กับแอปพลิเคชั่นใด ๆ ได้อย่างรวดเร็ว และง่ายดาย ทั้งจากแอปพลิเคชั่นบนมือถือ ไปจนถึงเว็บ และแอปพลิเคชั่นในระดับองค์กร

Apache Shiro เวอร์ชันที่มีช่องโหว่คือเวอร์ชันตั้งแต่ 1.9.0 ลงไป ซึ่งปัจจุบัน Apache Shiro ออกเวอร์ชัน 1.9.1 เพื่อแก้ไขช่องโหว่ดังกล่าวแล้วดังนี้

[SHIRO-871] – ActiveDirectoryRealm – append suffix only if missing from username
[SHIRO-872] – fix Reproducible Builds issues
[SHIRO-883] – Add support for case insensitive regex path matching Dependency upgrade
[SHIRO-878] – Update Spring Dependencies to 5.2.20
[SHIRO-882] – Upgrade to apache pom parent 26
[SHIRO-881] – pom.

Ransomware Vice Society อ้างว่าอยู่เบื้องหลังการโจมตีที่เมือง Palermo ของอิตาลี

กลุ่ม ransomware Vice Society อ้างว่าเมื่อเร็วๆ นี้ได้ทำการโจมตีที่เมือง Palermo ในอิตาลี ซึ่งทำให้บริการขนาดใหญ่หยุดชะงัก

การโจมตีเกิดขึ้นเมื่อวันศุกร์ที่ผ่านมา บริการบนอินเทอร์เน็ตทั้งหมดยังคงใช้งานไม่ได้ ส่งผลกระทบต่อผู้ใช้งานกว่า 1.3 ล้านคน และนักท่องเที่ยวจำนวนมาก เจ้าหน้าที่ยอมรับว่าความรุนแรงของเหตุการณ์ที่เกิดขึ้นกระทบต่อระบบทั้งหมด และต้องออฟไลน์ระบบเพื่อควบคุมความเสียหาย โดยแจ้งว่าไฟฟ้าจะดับไปอีกสองสามวัน การปิดเครือข่ายทำให้การโจมตีดูเหมือนเป็นการโจมตีของ ransomware ไม่ใช่การโจมตี DDoS ที่เพิ่งโจมตีในประเทศอิตาลีก่อนหน้านี้ (more…)

ในวันที่ 3 ของงาน Pwn2Own งานแข่งขันของแฮ็กเกอร์ซึ่งปีนี้ถูกจัดขึ้นที่แวนคูเวอร์ประเทศแคนาดา นักวิจัยด้านความปลอดภัยได้ใช้ช่องโหว่ Zero-day 3 รายการแฮ็กระบบปฏิบัติการ Windows 11 ของ Microsoft ได้สำเร็จ

ในความพยายามครั้งแรกของทีม DoubleDragon ในการพยายามแฮ็กผ่าน Microsoft Teams ไม่สำเร็จ เนื่องจากไม่สามารถโจมตีได้สำเร็จภายในระยะเวลาที่ Microsoft กำหนด แต่ก็ยังมีผู้เข้าแข่งขันรายอื่นๆที่สามารถแฮ็ก Windows 11 ได้สำเร็จถึงสามครั้ง รวมไปถึงการแฮ็ก Ubuntu Desktop ด้วยอีกหนึ่งครั้ง ซึ่งทำให้ผู้เข้าแข่งขันได้รับเงินไปทั้งหมด $160,000

(more…)

F5 ได้ออกคำเตือนช่องโหว่ด้านความปลอดภัย ที่อาจทำให้ผู้โจมตีสามารถสั่งรันโค้ดที่เป็นอันตรายบนระบบที่เข้าถึงได้โดยไม่ต้องมีการตรวจสอบสิทธิ์ จากการดำเนินการกับไฟล์ และปิด services บน BIG-IP

ช่องโหว่นี้มีหมายเลข CVE-2022-1388 และมีระดับความรุนแรงของ CVSS v3 อยู่ที่ 9.8 ซึ่งอาจนำไปสู่การเข้าควบคุมระบบได้อย่างสมบูรณ์ โดยช่องโหว่จะเกิดขึ้นใน iControl REST component ซึ่งทำให้ผู้โจมตีสามารถส่ง request เพื่อ bypass การตรวจสอบจาก iControl REST บน BIG-IP

เนื่องจากการใช้งาน BIG-IP ในระบบที่สำคัญๆจำนวนมาก ทำให้วันนี้ทาง CISA ก็ได้ออกมาแจ้งเตือนถึงช่องโหว่ดังกล่าวด้วยเช่นเดียวกัน

โดยเวอร์ชันที่ได้รับผลกระทบมีดังนี้

BIG-IP versions 16.1.0 ถึง 16.1.2
BIG-IP versions 15.1.0 ถึง 16.1.5
BIG-IP versions 14.1.0 ถึง 14.1.4
BIG-IP versions 13.1.0 ถึง 13.1.4
BIG-IP versions 12.1.0 ถึง 12.1.6
BIG-IP versions 11.6.1 ถึง 11.6.5
ปัจจุบัน F5 ได้ออกแพตซ์แก้ไขออกมาแล้วในเวอร์ชัน v17.0.0, v16.1.2.2, v15.1.5.1, v14.1.4.6 และ v13.1.5 แต่เวอร์ชัน 12.x และ 11.x จะไม่มีแพตซ์ โดยที่ BIG-IQ Centralized Management, F5OS-A, F5OS-C และ Traffic SDC จะไม่ได้รับผลกระทบจากช่องโหว่ดังกล่าว

หากองค์กรใดที่ยังไม่สามารถอัปเดตได้ทันทีมีวิธีแก้ปัญหาชั่วคราวได้ 3 ช่องทางคือ

1.) บล็อกการเข้าถึงอินเทอร์เฟส iControl REST บน BIG-IP แต่วิธีการนี้อาจกระทบกับการทำ HA

2.) จำกัดการเข้าถึงจากผู้ใช้ หรืออุปกรณ์ที่ได้รับอนุญาตเท่านั้น

3.) แก้ไขคอนฟิคใน httpd บน BIG-IP

พบอุปกรณ์ BIG-IP เปิดให้เข้าถึงได้กว่า 16,000 เครื่อง

Warfield Shodan แสดงให้เห็นว่าขณะนี้มีอุปกรณ์ F5 BIG-IP จำนวน 16,142 เครื่องที่เข้าถึงได้โดยตรงจากอินเทอร์เน็ต อุปกรณ์เหล่านี้ส่วนใหญ่ตั้งอยู่ในสหรัฐอเมริกา รองลงมาคือจีน อินเดีย ออสเตรเลีย และญี่ปุ่นนักวิจัยด้านความปลอดภัยคาดว่าผู้โจมตีจะเริ่มสแกนหาอุปกรณ์ที่มีช่องโหว่ในเร็วๆ นี้ ดังนั้นผู้ดูแลระบบจะต้องรีบอัปเดตอุปกรณ์เหล่านี้โดยเร็วที่สุด หรืออย่างน้อยก็ใช้การบรรเทาผลกระทบ ดังนี้

ที่มา :  bleepingcomputer ,  techtalkthai

 

Google ได้ออกการอัปเดตแพตซ์ด้านความปลอดภัยเร่งด่วนสำหรับผู้ใช้งาน Google Chrome ทุกคน เนื่องจากสามารถยืนยันได้แล้วว่ามีผู้โจมตีได้ใช้ประโยชน์จากช่องโหว่ Zero-Day นี้ในการโจมตีอยู่ในปัจจุบัน

การอัพเดตล่าสุดเวอร์ชัน 99.0.4844.84 ของ Chrome นั้นเป็นการอัปเดตเพื่อจัดการกับช่องโหว่ด้านความปลอดภัยเพียงช่องโหว่เดียวเท่านั้น แสดงให้เห็นว่าการอัปเดตครั้งนี้เร่งด่วน และสำคัญมาก

Chrome ประกาศอัปเดตเมื่อวันที่ 25 มีนาคม ซึ่ง Google ยืนยันว่า "เรารับทราบถึงการพบการโจมตีโดยใช้ช่องโหว่ CVE-2022-1096 แล้วในปัจจุบัน" ดังนั้นขอแนะนำให้ผู้ใช้ Chrome ทุกคนรีบตรวจสอบให้แน่ใจว่าได้อัปเดต browsers ของคุณให้เป็นเวอร์ชันล่าสุดเรียบร้อยแล้ว

CVE-2022-1096 คืออะไร ?

ในช่วงแรกๆช่องโหว่ CVE-2022-1096 ยังไม่ค่อยเป็นที่รู้จักในวงกว้างมากนัก โดยเป็นช่องโหว่ใน "Type Confusion in V8" ซึ่ง V8 เป็น JavaScript engine ของ Chrome แต่เพราะ Google มักจะยังไม่เปิดเผยรายละเอียดการโจมตี เทคนิค หรือ ช่องโหว่จนกว่าจะมีการอัปเดตแพตซ์ออกมาเพื่อปกป้องผู้ใช้งาน

วิธีการอัปเดต Google Chrome

ไปที่ตัวเลือก Help | About ในเมนู Google Chrome หากต้องมีการอัปเดต ระบบจะเริ่มดาวน์โหลดโดยอัตโนมัติ นอกจากนี้แนะนำให้รีสตาร์ทเบราว์เซอร์หลังจากติดตั้งการอัปเดตเรียบร้อยแล้ว

ที่มา : www.

SolarWinds ออกคำเตือนเกี่ยวกับการโจมตีไปที่ instances ของ Web Help Desk (WHD) ที่เปิดให้เข้าถึงได้จากอินเทอร์เน็ต และแนะนำให้ปิดการเข้าถึงจากอินเทอร์เน็ตเพื่อเป็นการแก้ปัญหาเบื้องต้น

WHD เป็นระบบ helpdesk ticketing และ IT inventory สำหรับองค์กร ที่ออกแบบมาเพื่อช่วยให้ผู้ใช้งานบริหารจัดการงานในด้านต่างๆได้อย่างสะดวก

“ผู้ใช้งาน SolarWinds หลายราย รายงานการพยายามโจมตีจากภายนอกมาที่ instances ของ Web Help Desk 12.7.5 โดย Endpoint detection and response (EDR) ของผู้ใช้งานสามารถแจ้งเตือน และบล็อกการโจมตีได้” SolarWinds กล่าว

“เพื่อความปลอดภัย SolarWinds ขอแนะนำให้ผู้ใช้งานทั้งหมดที่มีการเปิดให้เข้าถึง Web Help Desk ได้จากอินเทอร์เน็ต ให้ปิดการเข้าถึงได้โดยตรงจากอินเทอร์เน็ตไปก่อน จนกว่าจะมีข้อมูลของการโจมตีเพิ่มเติม”

"ส่วนลูกค้าที่ไม่สามารถปิดการเชื่อมต่อของ Web Help Desk จากอินเทอร์เน็ต ขอแนะนำให้ใช้ซอฟต์แวร์ EDR และคอยเฝ้าระวังการพยายามโจมตีอย่างสม่ำเสมอ"

ช่องโหว่ของ Web Help Desk

SolarWinds ไม่ได้ให้รายละเอียดใด ๆ เกี่ยวกับเครื่องมือ หรือเทคนิคที่ใช้ในการโจมตี แต่ก็เคยมีช่องโหว่ด้านความปลอดภัยอย่างน้อยสี่ช่องโหว่ ที่พบว่าผู้โจมตีใช้โจมตีไปที่ instances WHD ได้ หากผู้ใช้งานยังไม่ได้อัพเดทแพตช์ :

Access Restriction Bypass Via Referrer Spoof - Business Logic Bypass Vulnerability (CVE-2021-32076) - Fixed in WHD 12.7.6
Enabled HTTP PUT & DELETE Methods (CVE-2021-35243) - Fixed in WHD 12.7.7 Hotfix 1
Hard-coded credentials allowing arbitrary HSQL queries execution (CVE-2021-35232) - Fixed in WHD 12.7.7 Hotfix 1
Sensitive Data Disclosure Vulnerability (CVE-2021-35251) - Fixed in WHD 12.7.8

จากรายละเอียดใน CVE-2921-35251 ผู้โจมตีสามารถใช้ประโยชน์จาก instances WHD ที่ยังไม่ได้แพตช์ เพื่อเข้าถึงข้อมูลรายละเอียดของระบบที่ติดตั้ง Web Help Desk ไว้ ซึ่งอาจจะทำให้สามารถโจมตีด้วยอีก 3 ช่องโหว่ที่เหลือได้ง่ายขึ้นอีกด้วย

ที่มา : bleepingcomputer