ช่องโหว่ในปลั๊กอินความปลอดภัยในเว็บไซต์ WordPress หลายล้านแห่งเปิดให้เข้าถึงบัญชีผู้ดูแลระบบ

พบช่องโหว่ Authentication Bypass ระดับ Critical ที่ส่งผลกระทบกับปลั๊กอิน WordPress 'Really Simple Security' (ชื่อเดิม 'Really Simple SSL') ทั้งในเวอร์ชันฟรี และเวอร์ชัน Pro (more…)

การเผยแพร่ช่องโหว่ Authentication Bypass ระดับ Critical ใน GitLab (CVE-2024-45409)

หากคุณใช้งาน GitLab แบบ Self-Managed และตั้งค่าการ authentication แบบ SAML-based แต่ยังไม่ได้อัปเกรดตั้งแต่กลางเดือนกันยายน ขอแนะนำให้ทำการอัปเกรดทันที เนื่องจากนักวิจัยด้านความปลอดภัยได้เผยแพร่การวิเคราะห์ช่องโหว่ CVE-2024-45409 และสคริปต์สำหรับโจมตีที่อาจช่วยให้ผู้ไม่หวังดีสามารถเข้าถึงบัญชีผู้ใช้งานต่าง ๆ บน GitLab ได้

รายละเอียด CVE-2024-45409

GitLab เป็นแพลตฟอร์มการพัฒนาซอฟต์แวร์ที่ได้รับความนิยมซึ่งสามารถติดตั้งโดยผู้ใช้บนเซิร์ฟเวอร์ภายในองค์กร, Kubernetes หรือผ่านผู้ให้บริการคลาวด์ได้

CVE-2024-45409 เป็นช่องโหว่ Authentication Bypass ความรุนแรงระดับ Critical ในไลบรารี Ruby-SAML และ OmniAuth-SAML ซึ่งถูกใช้ในหลายเวอร์ชันของ GitLab Community Edition (CE) และ Enterprise Edition (EE)

ช่องโหว่นี้มีผลกระทบกับ OmniAuth-SAML เวอร์ชันก่อน 2.2.1 และ Ruby-SAML เวอร์ชันก่อน 1.17.0 และได้รับการแก้ไขในเวอร์ชัน 17.3.3, 17.2.7, 17.1.8, 17.0.8, และ 16.11.10 ของ GitLab CE และ EE

การแก้ไขช่องโหว่นี้ได้รับการ backported ไปยังเวอร์ชันเก่าของ GitLab ด้วย ได้แก่ 16.10.10, 16.9.11, 16.8.10, 16.7.10, 16.6.10, 16.5.10, 16.4.7, 16.3.9, 16.2.11, 16.1.8 และ 16.0.10

ในขณะนั้น GitLab Inc.

ASUS แจ้งเตือนช่องโหว่ Authentication bypass บน Router 7 รุ่น

Asus ออกอัปเดต firmware ใหม่ ซึ่งแก้ไขช่องโหว่ที่ส่งผลกระทบต่อ Router 7 รุ่นที่ทำให้ผู้โจมตีสามารถเข้าถึงอุปกรณ์จากภายนอกได้ (more…)

PoC ของช่องโหว่ Auth Bypass ระดับ Critical บน Veeam ถูกปล่อยออกมาแล้ว อัปเดตด่วน

ชุดสาธิตการโจมตีหรือ Proof-of-Concept (PoC) ของช่องโหว่ Authentication Bypass ของ Veeam Backup Enterprise Manager (CVE-2024-29849) ถูกปล่อยออกสู่สาธารณะเรียบร้อยแล้ว ผู้ดูแลระบบควรรีบทำการอัปเดตเพื่อป้องกันการถูกโจมตีจากช่องโหว่โดยด่วน

Veeam Backup Enterprise Manager (VBEM) เป็น web-based platform สำหรับจัดการการติดตั้ง Veeam Backup & Replication ผ่านทาง web console ช่วยควบคุมงานสำรองข้อมูล และการกู้คืนข้อมูลใน backup infrastructure ขององค์กร

Veeam ได้เผยแพร่ช่องโหว่ดังกล่าวเมื่อวันที่ 21 พฤษภาคม 2024 โดยช่องโหว่ดังกล่าวทำให้ Hacker ที่ไม่ต้องผ่านการยืนยันตัวตน สามารถเข้าสู่ VBEM web interface ในฐานะผู้ใช้งานคนใดก็ได้ ซึ่งปัจจุบันสามารถแก้ไขได้โดยการอัปเดตเป็น VBEM เวอร์ชัน 12.1.2.172

รายละเอียดการโจมตี

Sina Kheirkha นักวิจัยด้านความปลอดภัยทางไซเบอร์ระบุว่า ช่องโหว่ดังกล่าวอยู่ใน 'Veeam.

Veeam แจ้งเตือนช่องโหว่ Authentication bypass ระดับ Critical บน Backup Enterprise Manager

Veeam แจ้งเตือนลูกค้าให้ทำการแก้ไขช่องโหว่ด้านความปลอดภัยระดับ Critical ซึ่งทำให้ Hacker ที่ไม่จำเป็นต้องผ่านการยืนยันตัวตนสามารถลงชื่อเข้าใช้บัญชีใด ๆ ผ่านทาง Veeam Backup Enterprise Manager (VBEM) (more…)

Fortinet แจ้งเตือนช่องโหว่ auth bypass ระดับ Critical กำลังถูกนำมาใช้ในการโจมตีอยู่ในปัจจุบัน

เมื่อวันที่ 10 ตุลาคมที่ผ่านมา Fortinet ออกมายืนยันว่าช่องโหว่ authentication bypass ที่พึ่งมีแพตซ์อัปเดตออกมาเมื่อสัปดาห์ที่แล้ว กำลังถูกนำมาใช้ในการโจมตีอยู่ในปัจจุบัน

ช่องโหว่ CVE-2022-40684 สามารถทำให้ผู้โจมตี bypass การยืนยันตัวตนบนอินเทอร์เฟซสำหรับผู้ดูแลระบบ ซึ่งจะทำให้ผู้โจมตีสามารถเข้าสู่ระบบไฟร์วอลล์ FortiGate, เว็บพร็อกซีของ FortiProxy และอินสแตนซ์การจัดการภายในองค์กร FortiSwitch Manager (FSWM) ได้

โดย Fortinet ได้เผยแพร่การอัปเดตด้านความปลอดภัยเพื่อแก้ไขช่องโหว่ดังกล่าวไปแล้วเมื่อวันพฤหัสบดีที่ผ่านมา นอกจากนี้ยังมีการแจ้งเตือนลูกค้าบางรายผ่านทางอีเมล เพื่อแจ้งให้ปิดการใช้งานอินเทอร์เฟซที่สามารถเข้าใช้งานได้จากภายนอกบนอุปกรณ์ที่มีช่องโหว่อย่างเร่งด่วน

โดยในวันนี้ Fortinet ออกมายอมรับว่าพบการโจมตีจากช่องโหว่ CVE-2022-40684 แล้วอย่างน้อยหนึ่งครั้ง

"Fortinet ทราบถึงการนำช่องโหว่ดังกล่าวไปใช้ประโยชน์ และแนะนำให้ตรวจสอบระบบด้วย IOC ที่มีลักษณะ user="Local_Process_Access," จาก log ของอุปกรณ์"

Version ของ Fortinet ที่อาจถูกโจมตีด้วยช่องโหว่ CVE-2022-40 หากไม่ได้รับการแก้ไข มีดังนี้

FortiOS : 7.2.1, 7.2.0, 7.0.6, 7.0.5, 7.0.4, 7.0.3, 7.0.2, 7.0.1, 7.0.0
FortiProxy : 7.2.0, 7.0.6, 7.0.5, 7.0.4, 7.0.3, 7.0.2, 7.0.1, 7.0.0
FortiSwitchManager : 7.2.0, 7.0.0

โดย Fortinet แนะนำให้ผู้ใช้งานอัปเดตอุปกรณ์ที่มีช่องโหว่เป็น FortiOS 7.0.7 หรือ 7.2.2 ขึ้นไป, FortiProxy 7.0.7 หรือ 7.2.1 ขึ้นไป และ FortiSwitchManager 7.2.1 ขึ้นไปเพื่อป้องกันการถูกโจมตี

PoC exploit ถูกเผยแพร่ออกสู่สาธารณะ

ข้อมูลจาก Shodan พบว่าสามารถเข้าถึง Firewall FortiGate ได้มากกว่า 140,000 ตัวจากอินเทอร์เน็ต และมีแนวโน้มว่าจะถูกโจมตีหาก admin management interfaces สามารถเข้าถึงได้โดยตรง

วิธีการแก้ไข และคำแนะนำเพิ่มเติมหากยังไม่สามารถอัปเดตแพตซ์ได้

ควรปิดการเข้าถึง administrative interface จากภายนอก หรือจำกัดการเข้าถึงเฉพาะ IP ที่ได้รับอนุญาตเท่านั้น

ที่มา : bleepingcomputer

พบช่องโหว่ Authentication Bypass บน Apache Shiro

เมื่อวันที่ 29 มิถุนายน 2565 ที่ผ่านมา ทาง Apache Shiro ได้ออกมาประกาศเกี่ยวกับช่องโหว่ Bypass การตรวจสิทธิ์ ระดับความรุนแรงสูง โดยมีหมายเลข CVE-2022-32532 โดยช่องโหว่ Apache Shiro เกิดจากแอปพลิเคชั่นที่ใช้ RegExPatternMatcher ด้วย “.” ใน Regular expression ซึ่งทำให้ผู้โจมตีสามารถส่งคำสั่ง HTTP ที่ออกแบบมาเป็นพิเศษเพื่อหลีกเลี่ยงกระบวนการตรวจสอบสิทธิ์ และสามารถเข้าถึงแอปพลิเคชันโดยไม่ได้รับอนุญาตได้

Apache Shiro เป็น Java security framework ที่มีประสิทธิภาพ และใช้งานง่าย ซึ่งใช้งานสำหรับ Authentication, Authorization, Cryptograph และ Session Management และด้วย API ที่ใช้งานได้ง่ายของ Shiro จึงสามารถนำมาใช้กับแอปพลิเคชั่นใด ๆ ได้อย่างรวดเร็ว และง่ายดาย ทั้งจากแอปพลิเคชั่นบนมือถือ ไปจนถึงเว็บ และแอปพลิเคชั่นในระดับองค์กร

Apache Shiro เวอร์ชันที่มีช่องโหว่คือเวอร์ชันตั้งแต่ 1.9.0 ลงไป ซึ่งปัจจุบัน Apache Shiro ออกเวอร์ชัน 1.9.1 เพื่อแก้ไขช่องโหว่ดังกล่าวแล้วดังนี้

[SHIRO-871] – ActiveDirectoryRealm – append suffix only if missing from username
[SHIRO-872] – fix Reproducible Builds issues
[SHIRO-883] – Add support for case insensitive regex path matching Dependency upgrade
[SHIRO-878] – Update Spring Dependencies to 5.2.20
[SHIRO-882] – Upgrade to apache pom parent 26
[SHIRO-881] – pom.

Cybersecurity and Infrastructure Security Agency (CISA) ของสหรัฐ ออกมาเตือนถึงช่องโหว่ zero-day Zoho ManageEngine ADSelfService Plus ที่กำลังถูกนำมาใช้โจมตีอย่างแพร่หลาย

Cybersecurity and Infrastructure Security Agency (CISA) ของสหรัฐ ออกมาเตือนถึงช่องโหว่ zero-day Zoho ManageEngine ADSelfService Plus ที่กำลังถูกนำมาใช้โจมตีอย่างแพร่หลาย

ช่องโหว่ดังกล่าวมีรหัสช่องโหว่ CVE-2021-40539 ซึ่งสามารถเลี่ยงการตรวจสอบยืนยันตัวตนในส่วน REST API และสามารถเรียกใช้งานโค้ดที่เป็นอันตรายได้จากระยะไกล (remote code execution) ส่งผลกระทบต่อผลิตภัณฑ์ของ Zoho ที่ใช้งาน ADSelfService Plus 6113 รายการ

ManageEngine ADSelfService Plus คือ ส่วนที่ใช้ในการจัดการรหัสผ่าน และทำ single sign-on สำหรับ Active Directory และ app บนระบบคลาวด์ ผู้ดูแลระบบสามารถบังคับใช้ 2FA ในการเข้าสู่ระบบแอปพลิเคชัน และรีเซ็ตรหัสผ่านของผู้ใช้งาน

CISA ได้ออกมาแจ้งเตือนให้บริษัทหรือองค์กร ดำเนินการตรวจสอบและ update patch ความปลอดภัยล่าสุดกับเซิร์ฟเวอร์ ManageEngine และ ตรวจสอบที่ ADSelfService Plus ไม่ให้สามารถเข้าถึงได้โดยตรงจากอินเทอร์เน็ต

ซึ่งช่องโหว่าที่เกิดขึ้น ADSelfService Plus ยังพบมีอีก 4 ช่องโหว่ด้วยกันคือ CVE-2021-37421 (CVSS score: 9.8), CVE-2021-37417 (CVSS score: 9.8), and CVE-2021-33055 (CVSS score: 9.8) ซึ่งได้รับการแก้ไขเป็นที่เรียบร้อยแล้ว

ช่องโหว่อีก 1 รายการ CVE-2021-28958 (CVSS score: 9.8) ได้รับการแก้ไขแล้วเช่นเดียวกัน

เหตุการณ์นี้เป็นครั้งที่สองที่พบการโจมตีช่องโหว่ในผลิตภัณฑ์ของ Zoho ซึ่งก่อนหน้านี้ในเดือนมีนาคม 2020 พบว่า APT41 ใช้ประโยชน์จากช่องโหว่ RCE ใน ManageEngine Desktop Central (CVE-2020-10189, คะแนน CVSS: 9.8) เพื่อดาวน์โหลดและติดตั้ง payload ที่เป็นอันตรายภายในเครือข่ายองค์กรที่มีการใช้งาน

ที่มา: thehackernews

VMware แก้ไขปัญหาช่องโหว่สำคัญใน VMware Carbon Black Cloud Workload

ช่องโหว่ดังกล่าว (CVE-2021-21982) มีความรุนแรงระดับ critical ได้รับคะแนน CVSS 9.1 จาก 10 ส่งผลให้ผู้โจมตีสามารถเข้าถึงระบบได้โดยไม่ต้องพิสูจน์ตัวตน (authentication bypass) Carbon Black Cloud Workload เป็นผลิตภัณฑ์ Data Center ที่มีความสามารถด้าน security มาด้วย หากผู้โจมตีสามารถเข้าถึงหน้า URL สำหรับเข้าสู่ระบบของผู้ดูแลได้ ก็จะสามารถโจมตีเพื่อรับ authentication token และสามารถใช้งาน API ของผลิตภัณฑ์ได้

VMware Carbon Black Cloud Workload appliance เวอร์ชั่น 1.0.1 และก่อนหน้านั้น คือเวอร์ชั่นที่ได้รับผลกระทบ ควรอัพเดตเป็นเวอร์ชั่น 1.0.2

ที่มา: securityaffairs, vmware

Palo Alto Networks Security Advisories November 2020 Updates

Palo Alto Networks ประกาศ 5 ช่องโหว่ใหม่ใน PAN-OS

เมื่อกลางสัปดาห์ที่ผ่านมา Palo Alto Networks ประกาศแพตช์จำนวน 5 ช่องโหว่ให้แก่ PAN-OS โดยมี 3 ช่องโหว่ที่มีคะแนน CVSSv3 สูงกว่า 7 คะแนน ช่องโหว่ที่น่าสนใจมีดังต่อไปนี้

CVE-2020-2050: ช่องโหว่ Authentication bypass ในกระบวนการตรวจสอบใบอนุญาตของไคลเอนต์ GlobalProtect กระทบ PAN-OS ในรุ่น 8.1 ถึง 10.0 ช่องโหว่นี้สามารถโจมตีได้ผ่านทางเครือข่าย ทำได้ง่ายและผู้โจมตีไม่จำเป็นต้องระบุตัวตน
CVE-2020-2022: ช่องโหว่ Session disclosure ใน Panorama ระหว่างการเปลี่ยน context ไปเป็น managed device กระทบ PAN-OS ในรุ่น 8.1 ถึง 10.0
CVE-2020-2000: ช่องโหว่ OS command injection และ Memory corruption กระทบ PAN-OS ในรุ่น 8.1 ถึง 10.0

ช่องโหว่ทั้งหมดได้รับการแพตช์ออกมาเป็น minor version ใหม่ เช่น หากช่องโหว่กระทบ PAN-OS 10.0.0 แพตช์จะถูกปล่อยออกมาในเวอร์ชัน 10.0.1 ผู้ดูแลระบบสามารถตรวจสอบรายละเอียดของแพตช์และช่องโหว่ได้จากแหล่งที่มา

ที่มา: security.