มัลแวร์ Mirai botnet เวอร์ชันใหม่ กำลังใช้ช่องโหว่ Command Injection ในอุปกรณ์บันทึกวิดีโอดิจิทัล (DVR) รุ่น TBK DVR-4104 และ DVR-4216 เพื่อเข้าควบคุมอุปกรณ์เหล่านี้ (more…)

Aquabotv3 ซึ่งเป็น Mirai Botnet ตัวใหม่ กำลังมุ่งเป้าโจมตีช่องโหว่ CVE-2024-41710 ซึ่งเป็นช่องโหว่ Command Injection ใน Mitel SIP phone อย่างต่อเนื่อง (more…)

Hewlett Packard Enterprise (HPE) ออกอัปเดตแพตซ์สำหรับซอฟต์แวร์ Instant AOS-8 และ AOS-10 เพื่อแก้ไขช่องโหว่ระดับ Critical 2 รายการใน Aruba Networking Access Point (more…)

Ivanti ออกมาแจ้งเตือนการพบกลุ่ม Hacker กำลังใช้ช่องโหว่ของ Cloud Services Appliance (CSA) อีกหนึ่งรายการ เพื่อทำการโจมตีไปยังเป้าหมาย

CVE-2024-8963 (คะแนน CVSS 9.4/10 ความรุนแรงระดับ Critical) เป็นช่องโหว่จาก path traversal ซึ่งทำให้ Hacker ที่ไม่ผ่านการยืนยันตัวตน สามารถเข้าถึงฟังก์ชันการทำงานที่ถูกจำกัด (more…)

QNAP ผู้ผลิตอุปกรณ์ Network Attached Storage (NAS) ของไต้หวัน แจ้งเตือนช่องโหว่ 3 รายการในผลิตภัณฑ์ NAS software ซึ่งรวมถึง QTS, QuTS hero, QuTScloud และ myQNAPcloud ที่อาจทำให้ Hacker สามารถเข้าถึงอุปกรณ์ได้ ผ่านการ authentication bypass, command injection และ SQL injection (more…)

อุปกรณ์ขยายสัญญาณ WiFi 6 ยอดนิยมอย่าง D-Link DAP-X1860 มีช่องโหว่ที่ทำให้เกิดการโจมตีแบบ DoS (denial of service) และการโจมตีแบบ command injection ได้

โดยอุปกรณ์ขยายสัญญาณ WiFi 6 รุ่น D-Link DAP-X1860 เป็นอุปกรณ์ที่ได้รับความนิยมอย่างมากจากผู้ใช้งาน เนื่องจากเป็นอุปกรณ์ที่มีราคาไม่แพง และใช้งานง่าย รวมถึงยังได้รับคะแนนรีวิวที่ดีเยี่ยมจากผู้ใช้งานบนเว็บไซต์ Amazon อีกด้วย

ทีมนักวิจัยจากประเทศเยอรมนี (RedTeam) ที่เป็นผู้ค้นพบช่องโหว่นี้ ซึ่งมีหมายเลข CVE-2023-45208 ระบุว่า แม้จะพยายามแจ้งเตือนไปยัง D-Link หลายครั้ง แต่ยังไม่ได้รับการตอบกลับ และไม่มีการเผยแพร่แพตซ์สำหรับแก้ไข

รายละเอียดช่องโหว่

ปัญหาอยู่ที่ฟังก์ชันการสแกนเครือข่ายของ D-Link DAP-X1860 โดยเฉพาะการที่ไม่สามารถวิเคราะห์ SSID ที่มีเครื่องหมาย (') ในชื่อได้ โดยทำให้มีการอ่านความหมายผิดว่าเป็นการสิ้นสุดคำสั่ง

ในทางเทคนิคแล้วปัญหานี้มาจากฟังก์ชัน parsing_xml_stasurvey ในไลบรารี libcgifunc.

Aruba Networks ออกแพตซ์อัปเดตแก้ไขช่องโหว่ระดับ critical 6 รายการ ที่ส่งผลกระทบต่อ ArubaOS หลายเวอร์ชัน โดยช่องโหว่ดังกล่าวส่งผลกระทบต่อ Aruba Mobility Conductor, Aruba Mobility Controller, Aruba-managed WLAN Gateway และ SD-WAN Gateway

Aruba Networks เป็นบริษัทในเครือ Hewlett Packard Enterprise ซึ่งมีความเชี่ยวชาญด้านโซลูชั่นเครือข่ายคอมพิวเตอร์ และการเชื่อมต่อแบบไร้สาย

โดยช่องโหว่ดังกล่าวถูกพบโดย Erik de Jong ซึ่งเป็นนักวิเคราะห์ด้านความปลอดภัย ซึ่งได้มีการแจ้งไปยังโครงการ bug bounty program ของ Aruba Networks

โดยช่องโหว่ที่ได้รับการอัปเดตในครั้งนี้แบ่งออกเป็น 2 ประเภท คือ ช่องโหว่ command injection และช่องโหว่ stack-based buffer overflow ซึ่งได้ส่งผลโดยตรงไปยัง PAPI protocol (โปรโตคอลการจัดการ Aruba Networks access point)

CVE-2023-22747, CVE-2023-22748, CVE-2023-22749 และ CVE-2023-22750 (คะแนน CVSS v3 9.8/10 ระดับความรุนแรง critical) เป็นช่องโหว่ command injection ที่สามารถหลีกเลี่ยงการตรวจสอบสิทธิ และสั่งรันโค้ดที่เป็นอันตรายจากระยะไกลผ่าน PAPI protocol Port: 8211 UDP และควบคุมระบบโดยใช้สิทธิ Privileged User บน ArubaOS

CVE-2023-22751 และ CVE-2023-22752 (คะแนน CVSS v3 9.8/10 ระดับความรุนแรง critical) เป็นช่องโหว่ stack-based buffer overflow ที่สามารถหลีกเลี่ยงการตรวจสอบสิทธิ และสั่งรันโค้ดที่เป็นอันตรายจากระยะไกลผ่าน PAPI protocol Port: 8211 UDP และควบคุมระบบโดยใช้สิทธิ Privileged User บน ArubaOS

Version ที่ได้รับผลกระทบ

ArubaOS 6.0.19 และต่ำกว่า
ArubaOS 10.0.4 และต่ำกว่า
ArubaOS 3.1.0 และต่ำกว่า
SD-WAN 7.0.0-2.3.0.8 และต่ำกว่า

การป้องกัน

ทำการอัปเดตเพื่อป้องกันช่องโหว่ใน Version ดังนี้

ArubaOS 10.0.5 ขึ้นไป
ArubaOS 11.0.0 ขึ้นไป
ArubaOS 3.1.1 ขึ้นไป
SD-WAN 7.0.0-2.3.0.9 ขึ้นไป

นอกจากนี้ยังมีผลิตภัณฑ์อีกหลาย Version ที่ได้ End of Life (EoL) ไปแล้ว แต่ได้รับผลกระทบจากช่องโหว่เหล่านี้เช่นกัน ซึ่งจะไม่สามารถทำการอัปเดตเพื่อป้องกันช่องโหว่ ได้ เช่น

ArubaOS 5.4.x
ArubaOS 7.xx
ArubaOS 8.xx
ArubaOS 9.xx
SD-WAN 6.0.4-2.2.xx

โดยทาง Aruba Networks ได้แนะนำให้ทำการ ปิดใช้งานโหมด “Enhanced PAPI Security” เพื่อป้องกันแทน

 

ที่มา : bleepingcomputer

ช่องโหว่ F5 BIG-IP

F5 ได้ออกประกาศเผยแพร่ช่องโหว่ระดับความรุนแรงสูง ที่ส่งผลกระทบต่ออุปกรณ์ BIG-IP ทำให้สามารถ Denial-of-service (DoS) จากการเรียกใช้งานคำสั่งจากระยะไกล

โดยช่องโหว่มีหมายเลข CVE-2023-22374 (คะแนน CVSS: 7.5/8.5 ระดับความรุนแรงสูง) เป็นช่องโหว่ที่เกิดจากอินเทอร์เฟซ iControl Simple Object Access Protocol ( SOAP) เนื่องจากอินเทอร์เฟซ iCONtrol SOAP ทำงานในสิทธิ Root เมื่อ Hacker โจมตีสำเร็จก็จะได้สิทธิ Root ไปด้วย ทำให้สามารถหลบเลี่ยงการตรวจสอบด้านความปลอดภัย และเรียกใช้งานคำสั่งที่เป็นอันตรายจากระยะไกลได้

ซึ่งการโจมตีเกิดขึ้นโดยการแทรกอักขระสตริงรูปแบบใดก็ได้ลงในพารามิเตอร์การค้นหาที่ส่งผ่านไปยัง syslog โดยช่องโหว่ดังกล่าวถูกค้นพบ และรายงานช่องโหว่จากบริษัท Rapid7 เมื่อวันที่ 6 ธันวาคม 2022

F5 BIG-IP version ที่ได้รับผลกระทบ

version 13.1.5
version 14.1.4.6 - 14.1.5
version 15.1.5.1 - 15.1.8
version 16.1.2.2 - 16.1.3 และ 17.0.0

การป้องกัน

จำกัดการเข้าถึง iControl SOAP API ไว้เฉพาะผู้ใช้งานที่เชื่อถือได้เท่านั้น

ช่องโหว่ Command Injection ใน Cisco IOx

Cisco ออกแพตซ์อัปเดตเพื่อแก้ไขช่องโหว่บน application hosting environment บน Cisco IOx ที่ทำให้สามารถหลบเลี่ยงการตรวจสอบด้านความปลอดภัย และเรียกใช้งานคำสั่งที่เป็นอันตรายจากระยะไกล รวมไปถึงเรียกใช้งานเพย์โหลดที่เป็นอันตราย เพื่อติดตั้งมัลแวร์ และ backdoor

CVE-2023-20076 (คะแนน CVSS: 7.2/10 ระดับความรุนแรงสูง) เป็นช่องโหว่โหว่บน application hosting environment ที่ทำให้สามารถหลบเลี่ยงการตรวจสอบด้านความปลอดภัย และเรียกใช้งานคำสั่งที่เป็นอันตรายจากระยะไกลด้วยสิทธิ Root บน host operating system

Trellix บริษัทด้านความปลอดภัยทางไซเบอร์ เป็นผู้ที่ค้นพบช่องโหว่ดังกล่าว รวมถึงได้ทำการวิเคราะห์ และพบว่า ช่องโหว่ CVE-2023-20076 สามารถหลบเลี่ยงการตรวจสอบด้านความปลอดภัย ด้วยไฟล์ TAR archive extraction ซึ่งอาจอนุญาตให้เขียนใน host operating system ด้วยสิทธิ Root และเรียกใช้งานคำสั่งที่เป็นอันตรายจากระยะไกลเพื่อเรียกใช้งานเพย์โหลดที่เป็นอันตราย ในการติดตั้ง backdoor บนเครื่องที่ถูกโจมตี รวมไปถึงสามารถที่จะฝังตัวอยู่ในระบบ (Persistence) ถึงแม้จะมีการรีบูตระบบ และการอัปเกรดเฟิร์มแวร์ก็ตาม ซึ่งจะลบออกได้หลังจากรีเซ็ตเป็นค่าเริ่มต้นจากโรงงานเท่านั้น

ถึงแม้ว่าในการโจมตีช่องโหว่ดังกล่าว จำเป็นต้องได้รับการพิสูจน์ตัวตน และมีสิทธิ์ของผู้ดูแลระบบ แต่ Hacker ก็มีหลากหลายวิธีที่จะเพิ่มระดับสิทธิ์บนระบบได้ เช่น phishing หรือการทำ social engineering เพื่อขโมยข้อมูลจากเหยื่อที่เป็นเป้าหมาย

ปัจจุบันทาง Cisco ได้ออกแพตซ์อัปเดตเพื่อปิดช่องโหว่ดังกล่าวแล้ว

อุปกรณ์ Cisco ที่ได้รับผลกระทบ

ช่องโหว่นี้ส่งผลกระทบต่ออุปกรณ์ที่ใช้ซอฟต์แวร์ Cisco IOS XE และเปิดใช้งานคุณสมบัติ Cisco IOx

Cisco 800 Series Industrial ISRs
Cisco Catalyst Access Points
Cisco CGR1000 Compute Modules
Cisco IC3000 Industrial Compute Gateways
Cisco IR510 WPAN Industrial Routers

การป้องกัน

ผู้ดูแลระบบควรเร่งอัปเดตเพื่อปิดช่องโหว่โดยด่วน

ที่มา : thehackernews

นักพัฒนาของไลบรารี Node.js "systeminformation" ได้มีการเผยแพร่เวอร์ชันของไลบรารีดังกล่าวหลังจากมีการตรวจพบช่องโหว่ Command injection ในตัวไลบรารีซึ่งปัจจุบันถูกติดตามด้วยรหัส CVE-2021-21315 ความน่ากังวลของสถานการณ์ดังกล่าวนั้นอยู่ที่ความนิยมของไลบรารีนี้ที่มียอดดาวน์โหลดรายสัปดาห์สูงถึง 800,000 ครั้ง ซึ่งหลังจากมีการเปิดเผยการแพตช์ไป อาจทำให้เกิดการโจมตีที่สร้างผลกระทบเป็นวงกว้างได้

ไลบรารี systeminformation เป็นไลบรารีใน Node.

สำนักงานความมั่นคงแห่งชาติ (National Security Agency - NSA) ได้ออกแจ้งเตือนถึงกลุ่มแฮกเกอร์ที่ได้รับการสนับสนุนจากรัฐบาลของรัสเซียกำลังใช้ประโยชน์จากช่องโหว่ CVE-2020-4006 ในผลิตภัณฑ์ VMware Workspace One ที่เพิ่งได้รับการแก้ไขช่องโหว่ในการขโมยข้อมูลที่มีความละเอียดอ่อนจากเป้าหมาย

ช่องโหว่ CVE-2020-4006 เป็นช่องโหว่ Command injection ช่องโหว่ถูกพบใน Administrative configurator ของ VMware Workspace ONE Access บางรุ่น, Access Connector, Identity Manager และ Identity Manager Connector โดยผู้โจมตีที่สามารถเข้าถึงระบบ Administrative configurator ในเครือข่ายด้วยพอร์ต 8443 และมีรหัสผ่านที่ถูกต้องของ VMware สามารถรันคำสั่งบนระบบปฏิบัติการด้วยสิทธิ์เต็มของผู้ดูแลระบบระบบปฏิบัติการได้ ซึ่งผลิตภัณฑ์ที่ได้รับผลกระทบจากช่องโหว่นี้ได้แก่

VMware Workspace One Access 20.10 (Linux)
VMware Workspace One Access 20.01 (Linux)
VMware Identity Manager 3.3.1 ถึง 3.3.3 (Linux)
VMware Identity Manager Connector 3.3.2, 3.3.1 (Linux)
VMware Identity Manager Connector 3.3.3, 3.3.2, 3.3.1 (Windows)
การตรวจจับการโจมตีเกิดจากที่ทาง NSA ได้สังเกตเห็นกลุ่มแฮกเกอร์ที่ได้ทำการเชื่อมต่อกับอินเทอร์เฟซ Administrative configurator ในผลิตภัณฑ์ที่มีช่องโหว่และทำการแทรกซึมเครือข่ายขององค์กรเพื่อติดตั้ง Web shell หลังจากนั้นกลุ่มแฮกเกอร์ได้ใช้ Web shell ทำการขโมยข้อมูลที่มีความละเอียดอ่อน โดยใช้ SAML credential เพื่อเข้าถึงเซิร์ฟเวอร์ Microsoft Active Directory Federation Services (ADFS) ภายในเครือข่าย

ทั้งนี้ผู้ดูแลระบบทำการอัปเดตแพตช์ความปลอดภัยเป็นการด่วน เพื่อเป็นการป้องกันผู้ประสงค์ร้ายทำการโจมตีระบบ ทั้งนี้ผู้ดูแลระบบสามารถเข้าไปดูรายละเอียดและดาวน์โหลดแพตช์เพิ่มเติมได้ที่: vmware

ที่มา: bleepingcomputer | securityaffairs