PPP Daemon flaw opens Linux distros, networking devices to takeover attacks

ข้อบกพร่องบน PPP Daemon เปิดให้โจมตีอุปกรณ์ Network เพื่อเข้ายึดครองระบบ

Ilja Van Sprundel ผู้อำนวยการการทดสอบการเจาะระบบจากบริษัท IOActive เปิดเผยว่า PPPD (Point-to-Point Protocol Daemon) เวอร์ชัน 2.4.2 ถึง 2.4.8 มีความเสี่ยงที่จะเกิด Buffer Overflow จากช่องโหว่ในการประมวลผลแพ็กเก็ต Extensible Authentication Protocol (EAP) ในชุดคำสั่งย่อย eap_request และ eap_response โดยการส่งแพ็คเก็ต EAP ที่ไม่พึงประสงค์ไปยังไคลเอนต์ PPP หรือเซิร์ฟเวอร์ที่มีช่องโหว่ ทำให้ผู้โจมตีระยะไกลที่ไม่ได้รับอนุญาตอาจทำให้หน่วยความจำเสียหายในกระบวนการ PPPD และสามารถรันโค้ดเพื่อเข้ายึดครองระบบได้

ช่องโหว่ (CVE-2020-8597) เป็นช่องโหว่ Buffer Overflow บน pppd (Point-to-Point Protocol Daemon) เนื่องจากข้อบกพร่องด้านลอจิกในการประมวลผลแพ็คเก็ตของ Extensible Authentication Protocol (EAP) ผู้โจมตีจะ Remote การโจมตีและส่งแพ็กเก็ต EAP ที่ออกแบบมาเป็นพิเศษ ไปยังไคลเอนต์หรือเซิร์ฟเวอร์ PPP ที่มีช่องโหว่ อาจทำให้เกิดการ Stack Buffer Overflow เพื่อรันคำสั่งพิเศษช่องโหว่นี้ เกิดจากข้อผิดพลาดในการตรวจสอบขนาดของอินพุตก่อนที่จะคัดลอกข้อมูลที่ไปยังหน่วยความจำ เนื่องจากการตรวจสอบขนาดข้อมูลไม่ถูกต้อง จึงสามารถคัดลอกข้อมูลไปยังหน่วยความจำ และอาจทำให้หน่วยความจำเสียหายซึ่งอาจนำไปสู่การรันโค้ดคำสั่งพิเศษ เนื่องจาก PPPD ทำงานร่วมกับ kernel drivers และมักจะรันด้วยสิทธิพิเศษระดับสูงของระบบ หรือแม้กระทั่งระดับสิทธิ Root การรันโค้ดใดๆก็สามารถรันด้วยสิทธิพิเศษเดียวกันนี้ได้

เมื่อวันที่ 2 กุมภาพันธ์มีการเผยแพร่การอัพเดท Patch บน Linux หลายรุ่นแล้วในไฟล์ Patch ที่ชี่อว่า eap.

‼️‼️ แจ้งเตือนระดับวิกฤต ช่องโหว่ระดับอันตรายสูงสุดที่อาจสามารถทำให้เกิด The Next WannaCry ได้กำลังถูกปล่อยออกมา ‼️‼️

Cisco Talos ทำบล็อกแจ้งเตือนใหม่โดยเผลอหลุดชื่อช่องโหว่ RCE ใน SMBv3 ที่ไมโครซอฟต์กำลังจะออกแพตช์รหัส CVE-2020-0796 โดยช่องโหว่นี้มีลักษณะ Wormable ได้ ซึ่งหมายถึงว่ามันสามารถถูกเอามาใช้แพร่กระจายได้เช่นเดียวกับกรณีของ CVE-2017-0143/0144 ที่ #WannaCry ใช้

ตอนนี้ IPS ก็เริ่มมี signature มาก่อนแล้วโดยที่ข้อมูลช่องโหว่ยังไม่มีออกมา แต่จากรายละเอียดก็พอบอกได้แต่เพียงว่าเป็นช่องโหว่ Buffer Overflow ในส่วนของกระบวนการ compress packet

ด้วยสถานการณ์ตอนนี้ Patch Tuesday ที่กำลังจะมาถึงอาจจะเป็นหนึ่งในแพตช์ที่ช่วยรักษาชีวิตของเราไว้ได้อย่างที่เราคาดไม่ถึงครับ

ที่มา : twitter

Adobe addresses 42 flaws in its five products

Adobe ออกอัปเดตแพตช์ประจำเดือนกุมภาพันธ์ 2020

Adobe ออกอัปเดตแพตช์ประจำเดือนกุมภาพันธ์เพื่อแก้ไข 42 ช่องโหว่ใน 5 ผลิตภัณฑ์ ได้แก่ Framemaker, Acrobat รวมถึง Reader, Flash Player, Digital Editions และ Experience Manager

ช่องโหว่ใน Framemaker ส่วนใหญ่ถูกจัดอยู่ในความรุนแรงระดับ Critical และมีผลกระทบกับ Framemaker บนระบบปฏิบัติการ Windows โดยช่องโหว่ที่พบคือ buffer overflow, heap overflow, out-of-bounds write, และ memory corrupt flaws ส่งผลให้ผู้โจมตีสามารถรันคำสั่งที่เป็นอันตรายด้วยสิทธิของผู้ใช้งานปัจจุบันได้

นอกจากนี้ทาง Adobe ยังกล่าวถึงช่องโหว่อีก 17 ช่องโหว่ของผลิตภัณฑ์ Acrobat รวมถึง Reader ในระบบปฏิบัติการ Windows และ MasOs ซึ่งเป็นช่องโหว่ที่มีความรุนแรงระดับ Critical 2 ช่องโหว่ ได้แก่ช่องโหว่ memory corruption ที่ส่งผลให้ผู้โจมตีสามารถรันคำสั่งที่เป็นอันตรายบนอุปกรณ์ที่มีช่องโหว่ และช่องโหว่ privilege escalation bugs ที่อนุญาตให้ผู้โจมตีสามารถเขียนไฟล์ที่เป็นอันตรายไปยังระบบได้ ในส่วนของข้อบกพร่องที่เหลืออยู่ใน Acrobat and Reader ถูกจัดลำดับความรุนแรงในระดับปานกลางได้แก่ช่องโหว่ memory leaks และช่องโหว่ information disclosure ข้อบกพร่องถูกรายงานไปยัง Adobe โดยผู้เชี่ยวชาญอิสระและนักวิจัยจาก Qihoo 360, Tencent, Renmin University of China, Cisco Talos, the Chinese Academy of Sciences, Baidu, และ McAfee

นอกจากนี้ทาง Adobe ยังเปิดเผยถึงช่องโหว่ arbitrary code execution ใน Flash Player ซึ่งหากผู้โจมตีสามารถรันคำสั่งแปลกปลอมด้วยสิทธิของผู้ใช้งานปัจจุบัน รวมถึงช่องโหว่ใน Digital Editions ได้แก่ ช่องโหว่ command injection bug, information disclosure และช่องโหว่ denial-of-service (DoS) ที่ส่งผลกระทบกับ Adobe Experience Manager เวอร์ชั่น 6.5 และ 6.4

โดยทาง Adobe ยื่นยันว่ายังไม่พบการโจมตีผ่านช่องโหว่ทั้งหมดนี้เกิดขึ้น

ที่มา : securityaffairs

WhatsApp vulnerability allowed secretive installation of spyware

แจ้งเตือนระดับวิกฤติ ช่องโหว่ล่าสุดบน WhatsApp ถูกโจมตีเพื่อฝัง Spyware สัญชาติอิสราเอล

นิตยสาร Financial Times ออกรายงานเมื่อช่วงเช้าที่ผ่านมาหลังจากมีการตรวจพบข้อมูลที่เชื่อถือได้ว่าบริษัทสัญชาติ NSO Group ซึ่งอยู่เบื้องหลังการโจมตีระบบมือถือเพื่อสอดแนม ได้ทำการโจมตีช่องโหว่ใน WhatsApp ซึ่งส่งผลให้ผู้โจมตีสามารถฝังมัลแวร์ลงที่เครื่องเป้าหมายได้

บริษัท NSO Group เป็นบริษัทสัญชาติอิสราเอลที่มีชื่อเสียงในเรื่องของการพัฒนาเทคโนโลยีสอดแนม โดยเคยมีผลงานในการพัฒนาหนึ่งในมัลแวร์บนระบบ iOS "Pegasus" ตามคำสั่งของลูกค้า อีกทั้งยังมีประวัติในการโจมตีช่องโหว่ zero-day หลายรายการด้วย โดยเชื่อกันว่า NSO Group ใช้ช่องโหว่นี้ในการโจมตีและติดตั้งมัลแวร์ลงในเป้าหมายที่ถูกจ้างวาน

ทางตัวแทนของ WhatsApp ได้ออกมาให้ข้อมูลเพิ่มเติมเกี่ยวกับช่องโหว่นี้ว่า ช่องโหว่ดังกล่าวที่รหัส CVE-2019-3568 เป็นช่องโหว่ซึ่งพึ่งถูกค้นพบเมื่อต้นเดือนที่ผ่านมา โดยลักษณะของช่องโหว่ Buffer Overflow ในส่วน VOIP stack ของแอป ซึ่งส่งผลให้ผู้โจมตีสามารถโจมตีระบบและรันโค้ดที่เป็นอันตรายจากระยะไกลได้ด้วยการส่งแพ็คเกต SRTCP มายังเบอร์โทรศัพท์ หรือหมายถึงการโทรหาเป้าหมายทั้งในระบบปฏิบัติการ iOS และแอนดรอยด์เท่านั้นเอง ช่องโหว่จะถูกโจมตีทันทีแม้ว่าเป้าหมายจะไม่ได้รับสายที่โทรเข้ามา

ทางตัวแทนของ WhatsApp ยังยืนยันเพิ่มเติมว่า มีการตรวจพบหมายเลขจำนวนหนึ่งซึ่งตกเป็นเป้าหมายและถูกโจมตี ซึ่งหนึ่งนั้นเป็นนักเคลื่อนไหวทางสิทธิมนุษยชนชาวอังกฤษ

Recommendation
ในขณะนี้ทาง WhatsApp ได้มีการปล่อยแอปพลิเคชันที่มีการแพตช์ช่องโหว่ดังกล่าวให้แก่ผู้ใช้งานแล้ว แนะนำให้ผู้ใช้งานทำการอัปเดตโดยด่วนทันที

ที่มา : cnet

Mozilla Releases Security Update for Thunderbird

Mozilla เผยแพร่แพตช์สำหรับช่องโหว่ร้ายแรงบนโปรแกรม Thunderbird ล่าสุดซึ่งทำให้ผู้โจมตีสามารถใช้ประโยชน์จากช่องโหว่บางรายการเพื่อควบคุมระบบที่ได้รับผลกระทบจากระยะไกลได้ อย่างไรก็ตามช่องโหว่นี้ไม่สามารถงานได้ผ่านทางอีเมลใน Thunderbird เนื่องจากสคริปต์จะไม่สามารถทำงานได้ถ้าเปิดอ่านอีเมล ทำให้สามารถลดความเสี่ยงที่จะถูกโจมตีได้

หนึ่งในช่องโหว่ระดับวิกฤติที่ถูกเผยแพร่ออกมานั้นคือช่องโหว่รหัส CVE-2018-12359 ซึ่งเป็นช่องโหว่ buffer overflow ที่จะเกิดขึ้นเมื่อมีการแสดงเนื้อหา Canvas ขณะปรับความสูงและความกว้างของ แบบไดนามิก ทำให้เกิดความผิดพลาดของข้อมูลซึ่งถูกเขียนขึ้นนอกขอบเขตที่คำนวณ และส่งผลให้ผู้โจมตีสามารถเขียนทับหน่วยความจำเพื่อควบคุมกระบวนการทำงานของโปรแกรมได้

NCCIC แนะนำให้ผู้ใช้และผู้ดูแลระบบตรวจสอบและอัปเดต โปรแกรม Thunderbird ให้เป็นเวอร์ชันล่าสุดทันทีเพื่อป้องกันการถูกโจมตีผ่านทางช่องโหว่นี้

ที่มา:us-cert

Valve แก้ไขช่องโหว่ Malware ที่ติดตั้งผ่านทาง Steam Games

ช่องโหว่นี้อยู่ในส่วนของ Valve's Source SDK ที่เป็น library ที่ช่วยการปรับปรุง mods และฟีเจอร์อื่นๆของเกม ทำให้ผู้ไม่หวังดีสามารถติดตั้ง Malware ที่เป็นอันตรายลงในคอมพิวเตอร์ของผู้ใช้ได้ ช่องโหว่นี้ใช้เทคนิคการโจมตีแบบ Buffer Overflow Source SDK มีไว้เพื่อให้นักพัฒนาอิสระสามารถสร้างส่วนเสริมของเกมได้ แต่ผู้ไม่หวังดีนำไปใช้เพื่อใส่ Exploit Code สำหรับช่องโหว่ที่ค้นพบ ตัวอย่างเช่น ในเกมแนว FPS มีการใส่โค้ดที่ทำให้ผู้เล่นโดนโจมตีอยู่ฝ่ายเดียว

ในช่วงสองสามเดือนที่ผ่านมา Valve ได้พยายามแก้ไขช่องโหว่ใน Source SDK และแจ้งสตูดิโอเกมต่างๆเพื่อปรับปรุงเกมของพวกเขา เช่น CS: GO, TF2, Hl2: DM, Portal 2 และ L4D2 และยังแจ้งเหล่าผู้พัฒนา Mods ให้อัพเดต Steam Source SDK เพื่อความปลอดภัย

นักวิจัยคิดว่าช่องโหว่นี้ไม่ได้กระทบแค่ผู้เล่นเกมทั่วไป แต่บริษัทที่มีการติดตั้งเครื่องเกมในสำนักงานจะมีความเสี่ยงตามไปด้วย ดังนั้นจึงไม่ควรติดตั้งเกมลงในอุปกรณ์ที่ใช้ในการทำงานและไม่ควรใช้ระบบ Network ร่วมกัน การติดตั้ง ASLR ที่ช่วยป้องกัน Buffer Overflow ก็สามารถป้องกันได้ในระดับหนึ่ง และไม่ควรติดตั้ง Mods จากผู้พัฒนาที่ไม่น่าเชื่อถือ

ที่มา : bleepingcomputer

Vulnerability Summary for CVE-2017-7269

Zhiniang Peng และ Chen Wu. จาก Information Security Lab & School of Computer Science & Engineering, South China University of Technology Guangzhou, China ได้พบช่องโหว่ Buffer Overflow ใน ScStoragePathFromUrl function ของ WebDAV service ของ Internet Information Services (IIS) 6.0 ที่ทำงานบน Microsoft Windows Server 2003 R2 ได้รับ CVE เป็น CVE-2017-7269 ซึ่งทำให้ Hacker สามารถยึดเครื่องหรือสั่งงานเครื่องจากระยะไกลได้เลย ทั้งนี้ Microsoft EOL (End Of Life) ของ Microsoft Windows Server 2003 R2 มาตั้งแต่ 7/14/2015 ทาง Microsoft ยังไม่มีการออก patch เพื่อแก้ไขช่องโหว่นี้

ทั้งนี้ทาง i-secure พร้อมรับมือภัยคุกคามนี้แล้วครับ สร้าง signature เพื่อทำการ block การโจมตีนี้แล้ว
ระบบที่ได้รับผลกระทบ: Internet Information Services (IIS) 6.0 ที่ทำงานบน Microsoft Windows Server 2003 R2
ผลกระทบ: Buffer Overflow (High Severity)
วิธีแก้ไข: ปิดการใช้งาน PROPFIND Method หรือใช้งาน Web Application Firewall ป้องกันการโจมตี หรือใช้งาน Microsoft Windows Server version ที่ใหม่กว่า

ที่มา : NVD

Palo Alto reveals critical bugs and March 16th patch deadline

Palo Alto Networks ได้ออกมาเปิดเผยถึงช่องโหว่ 4 รายการ ซึ่งรวมถึงช่องโหว่ Remote Code Execution และ DDOS ในนั้นด้วย โดยระบบของ Palo Alto Networks ที่ถูกพบช่องโหว่พร้อมออก Patch มาให้อัพเดตกันอย่างเร่งด่วนมีดังนี้

GlobalProtect/SSL VPN Web Interface พบช่องโหว่ร้ายแรงและช่องโหว่ระดับปานกลางในการทำ Buffer Overflow ที่เปิดให้ผู้โจมตีทำ DoS ได้
Management Web Interface พบช่องโหว่ระดับสูงที่ทำ Remote Code Execution ได้
Command Line Interface พบช่องโหว่ระดับต่ำที่ทำให้ผู้โจมตีสามารถเรียกใช้คำสั่งด้วยสิทธิ์ Root ได้

สำหรับช่องโหว่เหล่านี้ PAN-OS ที่ได้รับผลกระทบนั้นได้แก่รุ่น 5.0.17, 5.1.10, 6.0.12, 6.1.9, 7.0.5 และก่อนหน้าทั้งหมด ดังนั้นผู้ใช้งาน Palo Alto Networks ควรรีบ Patch ทันที

ที่มา : theregister

Kaspersky Patches Critical Vulnerability in Antivirus Products

Kaspersky ประกาศออกแพทช์แก้ไขช่องโหว่ร้ายแรงบนผลิตภัณฑ์ Kaspersky Anti-Virus ที่ถูกค้นพบและเปิดเผยโดยวิศวกรด้านความปลอดภัยของ Google เมื่อสัปดาห์ที่ผ่านมา

Tavis Ormandy วิศวกรจาก Google ได้รายงานว่าพบช่องโหว่บน Kaspersky Anti-Virus เวอร์ชั่น 2015, 2016 พร้อมทั้งโพสรูปบนทวิตเตอร์ส่วนตัวว่าสามารถโจมตี Kaspersky Anti-Virus ได้สำเร็จ แต่ยังไม่ได้รับการยืนยันว่า Kaspersky Internet Security และผลิตภัณฑ์อื่นๆ จะมีช่องโหว่ดังกล่าวนี้ด้วยหรือไม่

อย่างไรก็ตาม Tavis Ormandy ไม่ได้บอกรายละเอียดเกี่ยวกับช่องโหว่นี้ บอกแต่ว่าเป็นช่องโหว่ Buffer Overflow บนโปรแกรมที่ตั้งค่าแบบพื้นฐานหรือ default configuration หลังจากที่ได้รายงานช่องโหว่ดังกล่าว ทาง Kaspersky ได้มีการออกแพทช์เพื่อแก้ไขช่องโหว่นี้ ผ่านทางการอัพเดทแบบอัตโนมัติให้กับผู้ใช้ Kaspersky Anti-Virus แล้วภายใน 24 ชั่วโมง

ที่มา : securityweek

Serious Android crypto key theft vulnerability affects 86% of devices

ทีมนักวิจัยความปลอดภัยจาก IBM ค้นพบช่องโหว่ของ Android ในส่วนที่เกี่ยวข้องกับการเก็บคีย์ (Android KeyStore service)

Android KeyStore เป็นเซอร์วิสของระบบปฏิบัติการ Android ให้แอพสามารถเก็บข้อมูลสำคัญ (เช่น คีย์ที่ใช้ถอดรหัสข้อมูล) ไว้ในพื้นที่ปลอดภัยของระบบ อย่างไรก็ตาม ทีมวิจัยพบบั๊กในโค้ดของ KeyStore ที่อาจถูกจู่โจมด้วยวิธี buffer overflow ได้

กูเกิลรับทราบปัญหานี้มานานแล้ว แต่กลับแพตช์แก้บั๊กนี้ให้เฉพาะ Android 4.4 KitKat เท่านั้น ในขณะที่ Android 4.3 ลงไปยังมีความเสี่ยงจากบั๊กนี้อยู่

อย่างไรก็ตาม ในทางปฏิบัติแล้ว การโจมตีด้วยบั๊กนี้อาจทำได้ยากพอสมควร เพราะ Android มีมาตรการความปลอดภัยอื่นๆ มาช่วยกรอง เช่น Data Execution Prevention (จำกัดพื้นที่ของโค้ดที่สามารถรันได้) และตัว KeyStore ถูกออกแบบมาให้ตายแล้วเกิดใหม่ (respawn) ทุกครั้งที่ใช้งาน เมื่อบวกกับฟีเจอร์การสุ่มพื้นที่หน่วยความจำในการรัน (Address Space Layout Randomization - ASLR) ผลคือผู้โจมตีต้องสุ่มหาตำแหน่งของ KeyStore ก่อนเสมอ

ที่มา : ars technica