The U.S. Cybersecurity and Infrastructure Security Agency (CISA) หรือหน่วยงานรักษาความปลอดภัยทางไซเบอร์ และโครงสร้างพื้นฐานของสหรัฐ ได้เพิ่มช่องโหว่ 3 รายการไปยัง Known Exploited Vulnerabilities (KEV) ซึ่งเป็นรายการช่องโหว่ที่กำลังถูกนำมาใช้ในการโจมตี (more…)

VMware Horizon Servers ที่หลายองค์กรใช้งานเพื่อทำให้เข้าถึง Apps ต่างๆ ขององค์กรได้อย่างปลอดภัยสำหรับผู้ใช้งานที่ต้องทำงานจากที่บ้าน หรือต้องใช้การ Remote เข้ามาในการทำงาน ซึ่งทำให้เป็นเป้าหมายยอดนิยมสำหรับผู้โจมตีที่ต้องการใช้ประโยชน์จากช่องโหว่ Apache Log4j Remote code execution ที่มีการเปิดเผยในเดือนธันวาคม พ.ศ. 2564

นักวิจัยจาก Sophos กล่าวในสัปดาห์นี้ว่าพวกเขาได้สังเกตเห็นว่าการโจมตีเซิร์ฟเวอร์ Horizon ที่มีช่องโหว่ซึ่งเริ่มตั้งแต่วันที่ 19 มกราคม พ.ศ. 2565 จนถึงปัจจุบัน ในการโจมตีหลายผู้โจมตีพยายามจะมีการพยายามติดตั้ง cryptocurrency miners เช่น JavaX miner, Jin, z0Miner, XMRig และเครื่องมืออื่นๆ ที่คล้ายคลึงกัน และในหลายกรณี Sophos สังเกตเห็นผู้โจมตีพยายามติดตั้ง backdoors เพื่อทำให้สามารถเข้าถึงระบบที่ควบคุมไว้ได้อย่างต่อเนื่อง

การวิเคราะห์ชี้ให้เห็นว่าการที่ผู้โจมตีใช้ backdoors ก็เพื่อเป็น Initial access brokers (IABs) ที่ทำให้ผู้โจมตีรายอื่นสามารถเข้าถึงเครือข่ายที่ถูกควบคุมไว้ โดยมีการเก็บค่าบริการ โดยกลุ่มผู้โจมตีด้วย Ransomware เป็นลูกค้ารายใหญ่ที่สุดของ Initial access brokers ดังนั้นจึงเป็นไปได้ว่าปัจจุบันการโจมตี VMware Horizon เป็นพฤติกรมขั้นต้นของการโจมตีด้วย ransomware ที่มุ่งเป้าไปที่ช่องโหว่ Log4j ใน VMware Horizon Servers เวอร์ชันที่ยังไม่ได้รับการแก้ไข Sophos กล่าว

UK National Health Service (NHS) เป็นหนึ่งในบริษัทแรกๆ ที่เตือนเกี่ยวกับการโจมตีที่มุ่งเป้าไปยัง VMware Horizon Servers ที่มีช่องโหว่ Log4j (CVE-2021-44228)

(more…)

Apache Software Foundation ได้เผยแพร่การอัปเดตความปลอดภัยเพิ่มเติมสำหรับ HTTP Server เพื่อแก้ไขสิ่งที่ถูกระบุว่าเป็น "การแก้ไขที่ไม่สมบูรณ์" สำหรับช่องโหว่ Path Traversal และ Remote Code Execution ซึ่งได้รับการแก้ไขไปก่อนหน้านี้

CVE-2021-42013 ช่องโหว่ใหม่นี้ถูกระบุว่าถูกสร้างขึ้นจากช่องโหว่ CVE-2021-41773 ซึ่งเป็นช่องโหว่ Path Traversal ที่อาจทำให้ผู้โจมตีสามารถเข้าถึง และดูไฟล์ที่จัดเก็บบนเซิร์ฟเวอร์ที่มีช่องโหว่ได้ โดยจะส่งผลกระทบต่อ Apache web servers เวอร์ชัน 2.4.49
แม้ว่าช่องโหว่นั้นจะได้รับการแก้ไขในเวอร์ชัน 2.4.50 แต่เพียงหนึ่งวันหลังจากมีการปล่อยแพตช์ ช่องโหว่นี้ถูกนำไปใช้ในการทำ Remote Code Execution หากโมดูล "mod_cgi" ถูกโหลดและกำหนดค่า "require all denied" จึงทำให้ Apache ต้องออกการอัปเดตแพตช์ฉุกเฉินอีกรอบ

Apache ได้ให้คำแนะนำสำหรับ "การแก้ไขช่องโหว่ CVE-2021-41773 ใน Apache HTTP Server 2.4.50 นั้นไม่เพียงพอ ผู้โจมตีสามารถใช้การโจมตีแบบ Path Traversal เพื่อจับคู่ URL กับไฟล์ที่อยู่นอกไดเรกทอรีที่กำหนดค่าโดยคำสั่ง Alias-like" หากไฟล์ที่อยู่นอกไดเร็กทอรีเหล่านี้ไม่ได้รับการป้องกันโดยการกำหนดค่า Default 'require all dissolve' คำขอเหล่านี้ก็สามารถดำเนินการได้สำเร็จ หากสคริปต์ CGI ถูกเปิดใช้งานสำหรับ aliased paths ซึ่งจะทำให้สามารถเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกลได้

Apache Software Foundation ให้เครดิต Juan Escobar จาก Dreamlab Technologies, Fernando Muñoz จาก NULL Life CTF Team และ Shungo Kumasaka ในการรายงานช่องโหว่

สำนักงานความปลอดภัยทางไซเบอร์ และโครงสร้างพื้นฐานของสหรัฐอเมริกา (CISA) กล่าวว่า "พบการสแกนระบบที่มีช่องโหว่อย่างต่อเนื่อง ซึ่งคาดว่าจะเร็วขึ้น และมีแนวโน้มว่าจะนำไปสู่การโจมตี" จึงแนะนำให้ทุกองค์กรดำเนินการแก้ไขช่องโหว่ทันทีหากยังไม่ได้ดำเนินการ

คำแนะนำ
ผู้ใช้ทุกคนควรอัปเดตเป็นเวอร์ชันล่าสุด (2.4.51) เพื่อลดความเสี่ยงที่เกี่ยวข้องกับช่องโหว่ดังกล่าว

ที่มา: thehackernews.

นักวิจัยจาก Palo Alto Network ได้เปิดเผยถึงการตรวจพบมัลแวร์ Cryptojacking ชนิดใหม่ที่มีชื่อว่า Pro-Ocean ของกลุ่มแฮกเกอร์ Rocke ที่พุ่งเป้าหมายไปยังเซิร์ฟเวอร์อินสแตนซ์ที่มีช่องโหว่ของ Apache ActiveMQ, Oracle WebLogic และ Redis

มัลแวร์ Pro-Ocean กำหนดเป้าหมายการโจมตีไปยังแอปพลิเคชันบนคลาวด์เซิร์ฟเวอร์และใช้ประโยชน์จากช่องโหว่ของเซิร์ฟเวอร์ Oracle WebLogic (CVE-2017-10271), Apache ActiveMQ (CVE-2016-3088) และอินสแตนซ์ Redis ที่ไม่ได้รับการแพตช์ความปลอดภัยเพื่อเข้าควบคุมเซิร์ฟเวอร์ของเป้าหมาย

นักวิจัยจาก Palo Alto Networks ได้ทำการวิเคราะห์มัลแวร์และพบว่ามัลแวร์มีความสามารถของรูทคิตและเวิร์มที่ถูกทำการปรับปรุงใหม่ ซึ่งจะช่วยให้มัลแวร์สามารถซ่อนกิจกรรมที่เป็นอันตรายและแพร่กระจายไปยังซอฟต์แวร์ที่อยู่บนเครือข่ายของเป้าหมายได้ นอกจากนี้มัลแวร์ยังมีความสามารถของ Cryptojacking ที่ถูกใช้ในการขุด Monero ที่มาพร้อมกับโมดูลที่จะคอย Monitor การใช้งานของ CPU ซึ่งถาหากมีการใช้งาน CPU มากกว่า 30% ตัวมัลแวร์จะทำการ Kill โปรเซสการทำงานทิ้ง เพื่อเป็นการป้องกันการถูกตรวจจับความผิดปกติของการทำงาน

ทั้งนี้ผู้ดูแลระบบเซิร์ฟเวอร์ Oracle WebLogic, Apache ActiveMQ และอินสแตนซ์ Redis ควรรีบทำการอัปเดตแพตช์ความปลอดภัยให้เป็นเวอร์ชันล่าสุดเพื่อป้องกันการตกเป็นเป้าหมายการโจมตีของมัลแวร์ Pro-Ocean

ที่มา: bleepingcomputer

Apache ออกประกาศแก้ไขช่องโหว่ต่างๆ บนซอฟต์แวร์เว็บเซิร์ฟเวอร์ของตนเอง เนื่องจากช่องโหว่เหล่านี้เปิดให้รันโค้ดอันตรายและอาจทำให้ผู้โจมตีทำเซิร์ฟเวอร์ล่ม หรือไม่สามารถให้บริการต่อได้ (Denial of Service)

ช่องโหว่ที่พบมี 3 รายการ CVE-2020-9490, CVE-2020-11984, CVE-2020-11993 ถูกค้นพบโดย Felix Wilhelm จาก Google Project Zero ทาง Apache Foundation ได้ทราบรายละเอียดจึงนำไปแก้ไขในเวอร์ชันล่าสุด (2.4.46)

ช่องโหว่แรก (CVE-2020-11984) เป็นปัญหาเกี่ยวกับช่องโหว่ในการรันโค้ดจากระยะไกลด้วยการทำ Buffer Overflow กับโมดูล "mod_uwsgi" ซึ่งอาจทำให้ผู้โจมตีสามารถเข้ามาดู, เปลี่ยนแปลงหรือลบข้อมูลได้ โดยขึ้นอยู่กับสิทธิที่เกี่ยวข้องกับแอปพลิเคชันที่ทำงานบนเซิร์ฟเวอร์
ส่วนช่องโหว่ที่สอง (CVE-2020-11993) เป็นช่องโหว่ที่เกิดขึ้นเมื่อเปิดใช้งานดีบั๊กในโมดูล "mod_http2" ช่องโหว่จะทำให้ log statement ที่ทำการบันทึกการเชื่อมต่อทำงานผิดพลาดและอาจส่งผลให้หน่วยความจำเกิดเสียหายเนื่องจากการใช้งาน log pool ร่วมกัน
ช่องโหว่รายการสุดท้าย (CVE-2020-9490) เป็นช่องโหว่ที่มีความรุนแรงที่สุดและยังอยู่ในโมดูล HTTP/2 ช่องโหว่จะทำให้ผู้โจมตีที่ใช้ Cache-Digest Header ที่ออกเเบบมาเป็นพิเศษทำการโจมตีในหน่วยความจำเพื่อทำให้หน่วยความจำเสียหายซึ่งนำไปสู่ความผิดพลาดและการปฏิเสธบริการ (DoS)
แนะนำให้ติดตั้งเวอร์ชันล่าสุดของซอฟต์แวร์เซิร์ฟเวอร์ Apache เพื่อป้องกันไม่ให้แฮกเกอร์เข้ามาควบคุมได้

ที่มา: thehackernews.

หน่วยงาน Cybersecurity and Infrastructure Security Agency (CISA) ได้ออกคำเเนะนำและเเจ้งเตือนให้ผู้ดูเเลระบบและผู้ใช้ Apache Struts 2 ให้ทำการอัปเดตเเพตซ์เพื่อเเก้ไขช่องโหว่หลังพบว่ามีผู้ปล่อย PoC ของช่องโหว่ลง GitHub

ช่องโหว่ที่สำคัญและได้คำเเนะนำให้รีบอัปเดตเเพตซ์คือ CVE-2019-0230 และ CVE-2019-0233 มีผลกระทบกับ Apache Struts เวอร์ชัน 2.0.0 ถึง 2.5.20

ช่องโหว่ CVE-2019-0230 เป็นช่องโหว่ที่เกิดจากการการประมวลผลแท็กภายในแอตทริบิวต์ของ Object-Graph Navigation Language (OGNL) เมื่อ Struts พยายามทำการประมวลผลแท็กอินพุตภายในแอตทริบิวต์ ช่องโหว่จะทำส่งผลให้ผู้โจมตีที่ส่ง OGNL ที่เป็นอันตรายสามารถเรียกใช้โค้ดจากระยะไกล ช่องโหว่นี้ถูกค้นพบโดย Matthias Kaiser จาก Apple Information Security

ช่องโหว่ CVE-2019-0233 เป็นช่องโหว่ในการเเก้ไขสิทธิ์ในการเข้าถึงไฟล์ในระหว่างการอัปโหลดไฟล์ ซึ่งอาจส่งผลให้ผู้โจมตีสามารถแก้ไขคำขอระหว่างการดำเนินการอัปโหลดไฟล์ การดำเนินการในลักษณะนี้จะส่งผลให้ไฟล์ที่ทำการอัปโหลดล้มเหลว เมื่อเกิดความพยายามทำหลายๆ ครั้งอาจส่งผลให้เกิดการปฏิเสธเงื่อนไขการให้บริการหรือ Denial of service (DoS) ช่องโหว่นี้ถูกค้นพบโดย Takeshi Terada จาก Mitsui Bussan Secure Directions, Inc

CISA ได้ออกคำเเนะนำให้ผู้ดูเเลระบบและผู้ใช้ Apache Struts 2 ให้รีบทำการอัปเดตเเพตซ์ให้เป็น Apache Struts เวอร์ชั่น 2.5.22 เพื่อเเก้ไขช่องโหว่ดังกล่าวและป้องกันผู้ประสงค์ร้ายใช้ประโยชน์จาก PoC ของช่องโหว่ที่ถูกเปิดภายใน GitHub ทำการโจมตีระบบ

ที่มา:

us-cert.

หน่วยงานด้านความมั่นคงปลอดภัยและโครงสร้างพื้นฐานทางไซเบอร์ หรือ Cybersecurity and Infrastructure Security Agency (CISA) ได้ออกคำเเนะนำผู้ดูแลระบบให้ทำการอัพเดตเเพตซ์ความปลอดภัยใน Apache โดยช่องโหว่ดังกล่าวสามารถทำให้ผู้โจมตีสามารถทำให้เกิด Denial of Service (DoS) บนระบบได้ ช่องโหว่ถูกติดตามด้วยรหัส CVE-2020-13934 และ CVE-2020-13935

ช่องโหว่มีผลกระทบกับ Apache Tomcat 10.0.0-M1 ถึง 10.0.0-M6, Apache Tomcat 9.0.0.M5 ถึง 9.0.36, Apache Tomcat 8.5.1 to 8.5.56 และ Apache Tomcat 7.0.27 ถึง 7.0.104

ในการบรรเทาความเสี่ยงนั้นผู้ดูแลระบบควรทำการอัพเดต Apache Tomcat ให้เป็นเวอร์ชั่น 10.0.0-M7 หรือมากกว่า, 9.0.37 หรือมากกว่า, 8.5.57 หรือมากกว่า

ที่มา:

us-cert.

Apache HTTP ได้ปล่อย httpd 2.4.39 เพื่อแก้ปัญหาช่องโหว่ที่พบในเวอร์ชั่นก่อนหน้า

พบช่องโหว่การยกระดับสิทธิ์บน Apache HTTP อนุญาตให้ผู้ใช้ที่มีสิทธิ์ในการเขียนและเรียกสคริปต์บนเครื่อง สามารถสั่งรัน script ที่เป็นอันตรายโดยใช้สิทธิ์ root บนระบบ Unix ได้ (CVE-2019-0211) ส่งผลกระทบต่อ Apache HTTP Server ทุกรุ่นตั้งแต่ 2.4.17 ถึง 2.4.38

นอกจากนี้ยังมีการแก้ไขช่องโหว่ที่สำคัญ อีก 2 ช่องโหว่ซึ่งเป็นปัญหาการ bypass สิทธิ์ในการใช้งานเครื่อง โดยช่องโหว่แรก (CVE-2019-0217) ส่งผลให้ผู้ใช้งานสามารถใช้ชื่อผู้ใช้ และรหัสผ่านที่มีอยู่เพื่อเข้าถึงเครื่องโดยใช้สิทธิ์ของผู้ใช้งานคนอื่นได้ ช่องโหว่ที่ 2 (CVE-2019-0215) มีผลกระทบกับ Apache 2.4.37 และ Apache 2.4.38 เท่านั้น โดยเป็นปัญหาในส่วนของ mod_ssl บน TLSv1.3 ส่งผลให้ client สามารถข้ามข้อจำกัดเกี่ยวกับการควบคุมสิทธิ์ความปลอดภัยบนเครื่องได้ นอกจากนี้ยังมีการแก้ปัญหาความรุนแรงระดับต่ำ (low) อีก 3 รายการ CVE-2019-0197, CVE-2019-0196 และ CVE-2019-0220

ที่มา : bleepingcomputer

Apache HTTP ได้ปล่อย httpd 2.4.39 เพื่อแก้ปัญหาช่องโหว่ที่พบในเวอร์ชั่นก่อนหน้า

พบช่องโหว่การยกระดับสิทธิ์บน Apache HTTP อนุญาตให้ผู้ใช้ที่มีสิทธิ์ในการเขียนและเรียกสคริปต์บนเครื่อง สามารถสั่งรัน script ที่เป็นอันตรายโดยใช้สิทธิ์ root บนระบบ Unix ได้ (CVE-2019-0211) ส่งผลกระทบต่อ Apache HTTP Server ทุกรุ่นตั้งแต่ 2.4.17 ถึง 2.4.38

นอกจากนี้ยังมีการแก้ไขช่องโหว่ที่สำคัญ อีก 2 ช่องโหว่ซึ่งเป็นปัญหาการ bypass สิทธิ์ในการใช้งานเครื่อง โดยช่องโหว่แรก (CVE-2019-0217) ส่งผลให้ผู้ใช้งานสามารถใช้ชื่อผู้ใช้ และรหัสผ่านที่มีอยู่เพื่อเข้าถึงเครื่องโดยใช้สิทธิ์ของผู้ใช้งานคนอื่นได้ ช่องโหว่ที่ 2 (CVE-2019-0215) มีผลกระทบกับ Apache 2.4.37 และ Apache 2.4.38 เท่านั้น โดยเป็นปัญหาในส่วนของ mod_ssl บน TLSv1.3 ส่งผลให้ client สามารถข้ามข้อจำกัดเกี่ยวกับการควบคุมสิทธิ์ความปลอดภัยบนเครื่องได้ นอกจากนี้ยังมีการแก้ปัญหาความรุนแรงระดับต่ำ (low) อีก 3 รายการ CVE-2019-0197, CVE-2019-0196 และ CVE-2019-0220

ที่มา: bleepingcomputer.

Apache มีการปล่อยแก้ไขช่องโหว่ในไลบารีของ commons-fileupload (CVE-2016-1000031) ที่ถูกใช้ใน Apache Struts เวอร์ชัน 2.3.36 และเวอร์ชั่นก่อนหน้า ส่งผลให้สามารถโจมตีผ่านช่องโหว่นี้เพื่อควบคุมระบบได้ แต่ Struts เวอร์ชันตั้งแต่ 2.5.12 เป็นต้นไปจะไม่ได้รับผลกระทบ

แนะนำให้ผู้ช้งาน Apache Struts เวอร์ชัน 2.3.36 และก่อนหน้า ทำการอัพเดตแพทช์ความปลอดภัย และอัปเกรดเป็นไลบรารี Commons FileUpload เวอร์ชันปัจจุบันคือ 1.3.3

ที่มา: us-cert