Microsoft ออก Patch Tuesday ประจำเดือนธันวาคม 2024 โดยแก้ไขช่องโหว่ 71 รายการ รวมถึงช่องโหว่ zero-days 1 รายการ ที่พบว่ากำลังถูกนำมาใช้ในการโจมตีอีกด้วย

Patch Tuesday ประจำเดือนพฤศจิกายน 2024 ได้แก้ไขช่องโหว่ระดับ Critical จำนวน 16 รายการ ซึ่งเป็นช่องโหว่การเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกล (remote code execution)

ช่องโหว่ในแต่ละประเภทมีดังต่อไปนี้ :

ช่องโหว่การยกระดับสิทธิ์ (Privilege Escalation) 27 รายการ
ช่องโหว่การเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกล (Remote Code Execution) 30 รายการ
ช่องโหว่ในการเปิดเผยข้อมูล (Information Disclosure) 7 รายการ
ช่องโหว่ที่ทำให้เกิด DoS (Denial of Service) 5 รายการ
ช่องโหว่ของการปลอมแปลง (Spoofing) 1 รายการ
ทั้งนี้ไม่ได้รวมช่องโหว่ของ Edge จำนวน 2 รายการที่ได้รับการแก้ไขไปก่อนหน้านี้เมื่อวันที่ 5 และ 6 ธันวาคม 2024

ช่องโหว่ Zero-Days ที่ได้รับการเปิดเผยออกสู่สาธารณะ

Patch Tuesday ประจำเดือนธันวาคม 2024 ได้แก้ไขช่องโหว่ zero-days โดยเป็นช่องโหว่ที่กำลังถูกใช้ในการโจมตี และได้รับการเปิดเผยออกสู่สาธารณะแล้ว 1 รายการ แต่ยังไม่ได้รับการแก้ไข

ช่องโหว่ Zero-Days ที่กำลังถูกใช้ในการโจมตี 1 รายการใน Patch Tuesday ประจำเดือนธันวาคม 2024 :

CVE-2024-49138 - Windows Common Log File System Driver Elevation of Privilege Vulnerability

Microsoft ได้แก้ไขช่องโหว่ zero-day ที่กำลังถูกใช้ในการโจมตีอย่างต่อเนื่อง ซึ่งทำให้ Hacker สามารถได้รับสิทธิ์ SYSTEM บน Windows ได้ โดยช่องโหว่ดังกล่าวถูกค้นพบโดย Advanced Research Team ของ CrowdStrike

ทั้งนี้ยังไม่มีการเปิดเผยข้อมูลว่าช่องโหว่ดังกล่าวถูกนำไปใช้ในการโจมตีได้อย่างไร

การอัปเดตด้านความปลอดภัยจากบริษัทอื่น ๆ

นอกจาก Microsoft ได้ออกแพตซ์อัปเดต Patch Tuesday ประจำเดือนธันวาคม 2024 แล้ว ยังมีบริษัทอื่น ๆ ที่ออกแพตซ์อัปเดตด้านความปลอดภัยเช่นกัน ได้แก่ :

Adobe ออกแพตซ์อัปเดตด้านความปลอดภัยสำหรับผลิตภัณฑ์ต่าง ๆ มากมาย รวมถึง Photoshop, Commerce, Illustrator, InDesign, After Effects, Bridge และอื่น ๆ อีกมากมาย
CISA ออกคำแนะนำเกี่ยวกับช่องโหว่ของระบบควบคุมอุตสาหกรรมใน MOBATIME, Schneider Electric, National Instruments, Horner Automation, Rockwell Automation และ Ruijie
Cleo security file transfer ได้รับผลกระทบจากการโจมตีจากช่องโหว่ zero-day เพื่อขโมยข้อมูล
Cisco ออกแพตซ์อัปเดตด้านความปลอดภัยสำหรับผลิตภัณฑ์หลายรายการ รวมถึง Cisco NX-OS และ Cisco ASA
พบช่องโหว่ zero-day บน router ของ IO-Data กำลังถูกใช้ในการโจมตีเพื่อเข้าควบคุมอุปกรณ์
0patch เปิดตัวแพตช์ที่ไม่เป็นทางการสำหรับช่องโหว่ zero-day ของ Windows ที่ทำให้ Hacker สามารถขโมยข้อมูล NTLM credentials ได้
OpenWrt ออกแพตซ์อัปเดตด้านความปลอดภัยสำหรับช่องโหว่ Sysupgrade ที่ทำให้ผู้ Hacker สามารถเผยแพร่ firmware images ที่เป็นอันตรายได้
SAP ออกแพตซ์อัปเดตด้านความปลอดภัยสำหรับผลิตภัณฑ์หลายรายการซึ่งเป็นส่วนหนึ่งของ Patch Day เดือนธันวาคม 2024
Veeam ออกแพตซ์อัปเดตด้านความปลอดภัยสำหรับช่องโหว่ RCE ที่สำคัญใน Service Provider Console
ที่มา : bleepingcomputer

Cleo ออกแพตซ์อัปเดตด้านความปลอดภัยสำหรับช่องโหว่แบบ Zero-Day ใน LexiCom, VLTransfer และ Harmony software ที่กำลังถูกใช้ในการโจมตีเพื่อขโมยข้อมูลอยู่ในปัจจุบัน

ในเดือนตุลาคม 2024 ทาง Cleo ได้แก้ไขช่องโหว่ CVE-2024-50623 (คะแนน CVSS 8.8/10 ความรุนแรงระดับ High) ซึ่งเป็นช่องโหว่การเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกลก่อนการยืนยันตัวตนใน managed file transfer software และแจ้งเตือนให้ผู้ใช้งานอัปเดตเพื่อแก้ไขช่องโหว่โดยด่วน

นักวิจัยด้านความปลอดภัยของ Huntress ได้พบหลักฐานการโจมตี Cleo software ที่ติดตั้ง fully patch 5.8.0.21 เป็นครั้งแรกเมื่อวันที่ 3 ธันวาคม 2024 ตามมาด้วยการเพิ่มขึ้นอย่างเห็นได้ชัดของการโจมตีในวันอาทิตย์ที่ 8 ธันวาคม 2024 หลังจากที่ Hacker ค้นพบวิธี Bypass CVE-2024-50623 ได้อย่างรวดเร็ว (โดยยังไม่มี CVE-ID) ทำให้สามารถนำเข้า และดำเนินการคำสั่ง bash หรือ PowerShell ที่ต้องการได้โดยใช้ประโยชน์จากการตั้งค่า default Autorun folder

ทาง Huntress แนะนำให้ทำการย้ายระบบ Cleo ที่เชื่อมอินเทอร์เน็ตทั้งหมดไปไว้หลังไฟร์วอลล์จนกว่าจะมีการอัปเดตแพตช์ใหม่

โดยปัจจุบันช่องโหว่ Zero-Day ดังกล่าว กำลังถูกใช้ในการโจมตีอย่างต่อเนื่อง โดยผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์อย่าง Kevin Beaumont เชื่อมโยงการโจมตีเข้ากับกลุ่ม Ransomware ในชื่อ Termite ซึ่งเพิ่งอ้างสิทธิ์ในการโจมตีผู้ให้บริการ software as a service (SaaS) ชื่อ Blue Yonder

รวมถึง Shodan ได้ติดตาม Cleo servers ทั่วโลก 421 แห่ง ซึ่ง 327 แห่งอยู่ในสหรัฐอเมริกา Yutaka Sejiyama นักวิจัยด้านภัยคุกคามของ Macnica ยังพบ Cleo servers 743 แห่งที่สามารถเข้าถึงได้ทางออนไลน์ (379 แห่งใช้ Harmony, 124 แห่งใช้ VLTrader และ 240 แห่งใช้ LexiCom)

การออกอัปเดตสำหรับป้องกันการโจมตีจากมัลแวร์ Malichus

ปัจจุบัน Cleo ได้ออกอัปเดตเพื่อป้องกันการโจมตีที่เกิดขึ้น และแนะนำให้ลูกค้าทำการอัปเดตเป็นเวอร์ชัน 5.8.0.24 โดยเร็วที่สุด เพื่อป้องกัน Cleo servers ที่เปิดให้เข้าถึงได้จากอินเทอร์เน็ตจากการถูกโจมตี

Cleo แนะนำให้ลูกค้าทุกคนอัปเดต instances ของ Harmony, VLTrader และ LexiCom เป็นเวอร์ชันล่าสุด (เวอร์ชัน 5.8.0.24) ทันทีเพื่อแก้ไขช่องโหว่ หลังจากทำการอัปเดต ระบบจะบันทึกข้อผิดพลาด สำหรับไฟล์ใด ๆ ที่พบเมื่อเริ่มต้นใช้งานที่เกี่ยวข้องกับช่องโหว่ดังกล่าว และลบไฟล์เหล่านั้นออก

ทั้งนี้ Cleo แนะนำให้ผู้ที่ไม่สามารถอัปเดตได้ทันที ให้ทำการปิดการใช้งานคุณสมบัติ Autorun โดยไปที่ Options และเลือก Autorun directory ออก (วิธีนี้จะไม่ป้องกันการโจมตีขาเข้า แต่จะช่วยลด attack surface)

โดยล่าสุดพบว่า Hacker ใช้ประโยชน์จากแพตช์ที่ได้รับการอัปเดต ในการเรียกใช้เพย์โหลด Java Archive (JAR) ที่ถูกเข้ารหัส ซึ่งเป็นส่วนหนึ่งของ Java-based post-exploitation framework โดยที่ Rapid7 เป็นผู้ค้นพบขณะทำการสืบสวนการโจมตี

Huntress ยังได้วิเคราะห์มัลแวร์ในชื่อ Malichus โดยระบุว่ามัลแวร์นี้กำลังถูกนำไปใช้โจมตีเฉพาะบนอุปกรณ์ Windows เท่านั้น แม้ว่าจะรองรับ Linux ก็ตาม ตามรายงานของ Binary Defense ARC Labs ผู้โจมตีสามารถใช้ Malichus สำหรับการถ่ายโอนไฟล์ การเรียกใช้คำสั่ง และการสื่อสารบนเครือข่าย

จนถึงขณะนี้ Huntress ค้นพบบริษัทอย่างน้อย 10 แห่งที่ Cleo servers ถูกควบคุมภายหลังการโจมตีที่กำลังดำเนินอยู่นี้ และระบุว่ายังมีเหยื่อรายอื่น ๆ ที่อาจตกเป็นเหยื่อได้ รวมถึง Sophos ยังพบ IOCs บน Cleo hosts มากกว่า 50 แห่งอีกด้วย โดยส่วนใหญ่อยู่ในสหรัฐอเมริกา ที่เป็นองค์กรค้าปลีก

การโจมตีเหล่านี้คล้ายคลึงกับการโจมตีเพื่อขโมยข้อมูลของ Clop ที่กำหนดเป้าหมายการโจมตีไปยังช่องโหว่ zero-day ใน MOVEit Transfer, GoAnywhere MFT และ Accellion FTA ในช่วงไม่กี่ปีที่ผ่านมา

ที่มา : bleepingcomputer

พบช่องโหว่ Zero-day ใหม่ที่ทำให้ผู้ไม่หวังดีสามารถขโมยข้อมูล NTLM credentials ได้ โดยการหลอกให้เป้าหมายเปิดไฟล์อันตรายใน Windows Explorer

ช่องโหว่ดังกล่าวถูกพบโดยทีม 0patch ซึ่งเป็นแพลตฟอร์มที่ให้การสนับสนุนอย่างไม่เป็นทางการสำหรับ Windows เวอร์ชันที่สิ้นสุดการสนับสนุน และได้รายงานให้ Microsoft ทราบแล้ว อย่างไรก็ตาม ยังไม่มีการออกแพตช์อย่างเป็นทางการในขณะนี้

(more…)

Mandiant ได้ระบุเทคนิคใหม่ในการ bypass เทคโนโลยี Browser Isolation และสามารถดำเนินการคำสั่ง และควบคุม (C2) ผ่าน QR codes ได้

Browser Isolation เป็นเทคโนโลยีด้านความปลอดภัยที่ได้รับความนิยมมากขึ้นเรื่อย ๆ ซึ่งจะส่ง requests จาก local web browser ทั้งหมดไปยัง remote web browsers ที่โฮสต์บนคลาวด์ หรือ Virtual Machines (VM)

(more…)

วันนี้ (10 ธันวาคม 2024) Ivanti ออกมาแจ้งเตือนเกี่ยวกับช่องโหว่ใหม่ที่มีระดับความรุนแรงสูงสุดเกี่ยวกับการ authentication bypass ในโซลูชัน Cloud Services Appliance (CSA)

ช่องโหว่ด้านความปลอดภัย (CVE-2024-11639 และได้รับการรายงานโดยทีมวิจัยของ CrowdStrike) สามารถทำให้ผู้โจมตีจากภายนอกสามารถได้รับสิทธิ์ผู้ดูแลระบบในอุปกรณ์ที่มีช่องโหว่ที่ใช้ Ivanti CSA เวอร์ชัน 5.0.2 หรือเวอร์ชันก่อนหน้า โดยไม่ต้องผ่านการยืนยันตัวตน หรือการโต้ตอบจากผู้ใช้งาน ด้วยการหลีกเลี่ยงการยืนยันตัวตนด้วยช่องทาง หรือเส้นทางอื่น

(more…)

ช่องโหว่ใน Bootloader ของ Cisco NX-OS ส่งผลกระทบต่อสวิตช์มากกว่า 100 ตัว ทำให้ผู้โจมตีสามารถ bypass การตรวจสอบ image signature ของระบบได้

โดย Cisco ได้ปล่อยแพตช์ความปลอดภัยสำหรับช่องโหว่ CVE-2024-20397 (คะแนน CVSS 5.2) ใน Bootloader ของซอฟต์แวร์ NX-OS ซึ่งผู้โจมตีอาจใช้ประโยชน์เพื่อ bypass image signature ของระบบได้

ช่องโหว่ใน Bootloader ของ Cisco NX-OS Software อาจทำให้ผู้โจมตีที่ไม่ผ่านการยืนยันตัวตนซึ่งเข้าถึงระบบได้ในระดับ physical หรือผู้โจมตีในระบบที่มีสิทธิ์ระดับผู้ดูแลระบบ สามารถ bypass image signature ของระบบ NX-OS ได้

สาเหตุของช่องโหว่นี้มาจากการตั้งค่า Bootloader ที่ไม่ปลอดภัย ทำให้ผู้โจมตีสามารถใช้คำสั่ง Bootloader หลายคำสั่งเพื่อทริกเกอร์ให้เกิดช่องโหว่ได้

การโจมตีที่ประสบความสำเร็จอาจทำให้ผู้โจมตี bypass image signature ของระบบ NX-OS และโหลดซอฟต์แวร์ที่ไม่ผ่านการตรวจสอบได้

ช่องโหว่ดังกล่าวส่งผลกระทบต่อผลิตภัณฑ์ Cisco ต่อไปนี้ที่ใช้ NX-OS Software กับเวอร์ชัน BIOS ที่มีช่องโหว่ โดยไม่คำนึงถึงการตั้งค่าการใช้งาน

UCS 6500 Series Fabric Interconnects (CSCwj35846)
MDS 9000 Series Multilayer Switches (CSCwh76163)
Nexus 3000 Series Switches (CSCwm47438)
Nexus 7000 Series Switches (CSCwh76166)
Nexus 9000 Series Fabric Switches ในโหมด ACI (CSCwn11901)
Nexus 9000 Series Switches ในโหมด NX-OS แบบ Standalone (CSCwm47438)
UCS 6400 Series Fabric Interconnects (CSCwj35846)
Cisco ระบุว่า ไม่มีวิธีการอื่นในการลดผลกระทบจากช่องโหว่

บริษัท PSIRT ระบุว่า ยังไม่พบการโจมตีที่ใช้ประโยชน์จากช่องโหว่ CVE-2024-20397

โดย Cisco จะไม่แก้ไขช่องโหว่สำหรับ Nexus 92160YC-X ที่หมดระยะเวลาการสนับสนุนด้านความปลอดภัย และช่องโหว่แล้ว

ที่มา : securityaffairs 

Veeam ได้ปล่อยอัปเดตแพตช์ด้านความปลอดภัยในวันนี้ (3 ธันวาคม 2024) เพื่อแก้ไขช่องโหว่สองรายการใน Service Provider Console (VSPC) รวมถึงช่องโหว่ Remote code execution (RCE) ระดับ Critical ที่พบระหว่างการทดสอบภายใน

(more…)

ช่องโหว่ระดับ Critical หมายเลข CVE-2024-44308 กำลังถูกนำไปใช้ในการโจมตีอย่างต่อเนื่อง โดยกระทบกับ Apple Safari หลายเวอร์ชันบนแพลตฟอร์ม iOS, visionOS และ macOS

ช่องโหว่ดังกล่าวอยู่ภายในคอมไพเลอร์ DFG JIT ของ WebKit ทำให้เกิดการโจมตีในรูปแบบการเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกลได้ (RCE) (more…)

บทนำ

AWS SSM Session Manager เป็นเครื่องมือที่ทำให้สามารถ Remote เข้าไปยัง EC2 Instances ได้โดยไม่ต้องเปิดการเข้าถึงจาก Internet ซึ่งถือเป็น Best Practice ที่ทาง Amazon Web Services (AWS) แนะนำ แทนการใช้ Secure Shell (SSH) เนื่องจากความเสี่ยงในการเปิด Port SSH ให้เข้าถึงได้จาก Internet

SSM Session Manager มีหลายฟีเจอร์ โดยหนึ่งใน​ feature คือ port forwarding ที่ช่วยสร้างช่องทางการเชื่อมต่อผ่าน SSM Service ระหว่างผู้ใช้งานกับ EC2 Instances ได้อย่างปลอดภัยโดยไม่ต้องมีการเปิด Port ใด ๆ (more…)

พบแอปพลิเคชันของมัลแวร์ SpyLoan ชุดใหม่จำนวน 15 แอปพลิเคชันบน Google Play โดยมียอดดาวน์โหลดไปแล้วกว่า 8 ล้านครั้ง ซึ่งมุ่งเป้าหมายไปที่ผู้ใช้งานในภูมิภาคอเมริกาใต้, เอเชียตะวันออกเฉียงใต้ และแอฟริกาเป็นหลัก (more…)