สำนักงานความมั่นคงแห่งชาติ (National Security Agency - NSA) ได้ออกแจ้งเตือนถึงกลุ่มแฮกเกอร์ที่ได้รับการสนับสนุนจากรัฐบาลของรัสเซียกำลังใช้ประโยชน์จากช่องโหว่ CVE-2020-4006 ในผลิตภัณฑ์ VMware Workspace One ที่เพิ่งได้รับการแก้ไขช่องโหว่ในการขโมยข้อมูลที่มีความละเอียดอ่อนจากเป้าหมาย

ช่องโหว่ CVE-2020-4006 เป็นช่องโหว่ Command injection ช่องโหว่ถูกพบใน Administrative configurator ของ VMware Workspace ONE Access บางรุ่น, Access Connector, Identity Manager และ Identity Manager Connector โดยผู้โจมตีที่สามารถเข้าถึงระบบ Administrative configurator ในเครือข่ายด้วยพอร์ต 8443 และมีรหัสผ่านที่ถูกต้องของ VMware สามารถรันคำสั่งบนระบบปฏิบัติการด้วยสิทธิ์เต็มของผู้ดูแลระบบระบบปฏิบัติการได้ ซึ่งผลิตภัณฑ์ที่ได้รับผลกระทบจากช่องโหว่นี้ได้แก่

VMware Workspace One Access 20.10 (Linux)
VMware Workspace One Access 20.01 (Linux)
VMware Identity Manager 3.3.1 ถึง 3.3.3 (Linux)
VMware Identity Manager Connector 3.3.2, 3.3.1 (Linux)
VMware Identity Manager Connector 3.3.3, 3.3.2, 3.3.1 (Windows)
การตรวจจับการโจมตีเกิดจากที่ทาง NSA ได้สังเกตเห็นกลุ่มแฮกเกอร์ที่ได้ทำการเชื่อมต่อกับอินเทอร์เฟซ Administrative configurator ในผลิตภัณฑ์ที่มีช่องโหว่และทำการแทรกซึมเครือข่ายขององค์กรเพื่อติดตั้ง Web shell หลังจากนั้นกลุ่มแฮกเกอร์ได้ใช้ Web shell ทำการขโมยข้อมูลที่มีความละเอียดอ่อน โดยใช้ SAML credential เพื่อเข้าถึงเซิร์ฟเวอร์ Microsoft Active Directory Federation Services (ADFS) ภายในเครือข่าย

ทั้งนี้ผู้ดูแลระบบทำการอัปเดตแพตช์ความปลอดภัยเป็นการด่วน เพื่อเป็นการป้องกันผู้ประสงค์ร้ายทำการโจมตีระบบ ทั้งนี้ผู้ดูแลระบบสามารถเข้าไปดูรายละเอียดและดาวน์โหลดแพตช์เพิ่มเติมได้ที่: vmware

ที่มา: bleepingcomputer | securityaffairs

Felix Wilhelm จาก Google Project Zero เปิดเผยช่องโหว่ใหม่รหัส CVE-2020-15228 ใน Github Actions ที่ได้มีการแจ้งเตือนไปตั้งแต่ปลายเดือนกรกฎาคม โดยช่องโหว่ดังกล่าวเกิดจากการคำสั่งในกลุ่ม workflow commands ที่ทำให้ Actions runner สามารถรันคำสั่ง shell ใน runner machine ได้ ซึ่งทำให้ช่องโหว่นี้มีความเสี่ยงที่จะถูกโจมตีเพื่อทำ command injection

ช่องโหว่จริงๆ อยู่ที่วิธีการที่ Action runner ประมวลผล workflow commands โดยปกตินั้นหากต้องการเรียกใช้ workflow command เราจะทำการเรียกใช้โดยใช้คำสั่ง echo ของ Linux จากนั้นให้ใส่ workflow commands ที่ครอบด้วย marker ลงไป โดย marker แตกต่างกันตามเวอร์ชันของ Action runner เช่นหากเป็นรุ่นแรกนั้น marker คือตัวอักษร ## และสำหรับรุ่นที่ 2 จะมี marker คือ :: ตามตัวอย่างเช่น echo '::set-output name=SELECTED_COLOR::green'

Action runner จะมองหา workflow commands จาก STDOUT ของคำสั่ง echo หรือคำสั่งใดๆ ก็ตามและนำข้อมูลทั้งหมดไปรัน Felix ระบุว่ากระบวนการตรงนี้มีโอกาสที่สูงมากที่จะถูกทำ command injection หากภายใน echo นั้นมี untrusted code อยู่ หรือมีการรับข้อมูลจากผู้ใช้มารัน ผู้ไม่ประสงค์ดีสามารถทำการ inject ข้อมูลในส่วนนี้ จากนั้นใช้คำสั่งอย่าง set-env หรือ add-path เพื่อแก้ไข environment varible ของ runner machine ตอน workflow กำลังทำงานอยู่ได้

การจะโจมตีช่องโหว่ได้นั้นขึ้นอยู่กับว่ามีการรับ untrusted input เข้าไปประมวลผลใน workflow ในขั้นตอนใด ตัวอย่างซึ่ง Felix ยกมานั้นคือโครงการหนึ่งของ vscode ซึ่งนำ GitHub Actions มาใช้ในการกระจาย Issues ไปยังโครงการอื่นโดยมีการรับข้อมูลจาก Issues มา ผู้โจมตีสามารถทำการ inject คำสั่งผ่านการสร้าง Issues เพื่อโจมตีช่องโหว่นี้ได้

GitHub ใช้เวลาเกือบ 3 เดือนในการแก้ไขปัญหานี้แต่กลับไม่สามาถรปิดการใช้งานหรือแก้ไขช่องโหว่โดยตรงได้ GitHub จึงได้มีการออกคำแนะนำในการใช้งานเพื่อลดความเสี่ยงแทนที่ https://github.

 

Adobe ออกแพตช์เพื่อแก้ไขช่องโหว่ความรุนแรงระดับ Critical ในอุปกรณ์ดังนี้

แก้ไขช่องโหว่ memory corruption ใน Photoshop CC ส่งผลกระทบทำให้ผู้โจมตีสามารถรันคำสั่งที่เป็นอันตรายด้วย User ที่ใช้งานอยู่
แก้ไขช่องโหว่ command injection ใน Brackets โดย Tavis Ormandy นักวิจัยด้านความปลอดภัยจาก Google Project Zero เบื้องต้นผู้เชี่ยวชาญยังไม่ได้ให้รายละเอียดใดๆ เกี่ยวกับช่องโหว่ดังกล่าว
แก้ไขช่องโหว่ Privilege escalation ใน ColdFusion ที่เกิดจากการเข้าถึงโฟลเดอร์ที่ไม่ปลอดภัยจากค่าเริ่มต้น บริษัทตั้งข้อสังเกตว่าผู้ใช้ที่ปฏิบัติตามขั้นตอน lockdown ระหว่างการติดตั้งจะไม่ได้รับผลกระทบดังกล่าว

Adobe กล่าวว่ายังไม่พบหลักฐานว่าข้อผิดพลาดเหล่านี้ถูกนำไปใช้ในทางไม่ดีและได้ทำการแจ้งลูกค้าว่าการสนับสนุน Acrobat 2015 และ Reader 2015 จะสิ้นสุดในวันที่ 7 เมษายน 2020 และผลิตภัณฑ์จะไม่ได้รับแพตช์รักษาความปลอดภัยอีกต่อไปหลังจากนั้น

ที่มา securityweek

 

Adobe ออกแพตช์นอกรอบสำหรับแพลตฟอร์มการพัฒนาเว็บแอปพลิเคชัน ColdFusion แก้ช่องโหว่สามช่องโหว่ซึ่งรวมถึงช่องโหว่สองช่องที่จัดอยู่ในประเภท “critical”

ColdFusion 2016 อัปเดตเป็นเวอร์ชั่น 12 และ ColdFusion 2018 อัปเดตเป็นเวอร์ชั่น 5 เพื่อแก้ไขช่องโหว่การโจมตีในรูปแบบ path traversal ซึ่งทำให้หลบเลี่ยง access control ได้ (CVE-2019-8074) และแก้ช่องโหว่ command injection ซึ่งสามารถโจมตีเพื่อรันคำสั่งอันตรายได้ (CVE-2019-8073)

อีกช่องโหว่ที่ถูกแก้ไขเป็นช่องโหว่เปิดเผยข้อมูลโดยไม่จำเป็น ความร้ายแรงระดับ important

นักวิจัยจาก Foundeo, Knownsec 404 Team และ Aura Information Security ได้รับเครดิตในการค้นพบช่องโหว่เหล่านั้น

Adobe กล่าวว่ายังไม่พบการโจมตีที่ใช้ประโยชน์จากช่องโหว่เหล่านี้และเชื่อว่าจะยังไม่มีการโจมตีเร็วๆ นี้ อย่างไรก็ตามผู้ใช้ไม่ควรเพิกเฉยต่ออัปเดตแพตช์เนื่องจากเมื่อปีที่แล้วพบการโจมตีโดยใช้ช่องโหว่ใน ColdFusion

ที่มา securityweek

Adobe ทำการแก้ไขช่องโหว่ด้านความปลอดภัยบน Flash, ColdFusion และ Campaign Classic

Adobe ออกแพตช์แก้ไขประจำเดือนมิถุนายน 2019 ช่องโหว่ส่วนใหญ่ที่ถูกแก้นี้มักจะเป็นช่องโหว่ที่ทำให้รันโค้ดได้โดยไม่ได้รับอนุญาต

ใน Adobe Flash มีการแก้ไขเพียงช่องโหว่เดียวสำหรับซอฟต์แวร์รุ่น 32.0.0.192 และก่อนหน้าบนระบบ Windows, macOS, Linux และ Chrome OS คือช่องโหว่ CVE-2019-7845 ช่องโหว่ด้านความปลอดภัยที่ทำให้ผู้โจมตีสามารถรันโค้ดได้โดยไม่ได้รับอนุญาตได้

Adobe ColdFusion รุ่น 11 , 2016 และ 2018 มีแก้ไข 3 ช่องโหว่ คือ CVE-2019-7838, CVE-2019-7839 และ CVE-2019-7840 เป็นช่องโหว่ที่สามารถแนบไฟล์ที่เป็นอันตราย ช่องโหว่ command injection และช่องโหว่ที่ทำให้รันโค้ดที่ไม่ปลอดภัยโดยไม่ได้รับอนุญาตได้

และใน Adobe Campaign Classic แก้ไข 7ช่องโหว่ มีช่องโหว่ร้ายแรงมากคือ CVE-2019-7850 เป็นช่องโหว่ command injection ส่วนช่องโหว่อื่น CVE-2019-7843, CVE-2019-7941, CVE-2019-7846, CVE-2019-7848 และ CVE-2019-7849 สามารถทำให้ข้อมูลรั่วไหลได้ และ CVE-2019- 7847 ให้สิทธิ์ในการเข้าถึงอ่าน file system ได้

Adobe ได้ขอบคุณนักวิจัยจาก Zero Day Initiative ของ Trend Micro ทีม 404 Booz Allen Hamilton และโซลูชั่น Cyber ของ Aon สำหรับการรายงานช่องโหว่ต่างๆ ในแพตช์ครั้งนี้

ผู้ใช้ควรทำการ update patch เพื่อหลีกเลี่ยงการโจมตีผ่านช่องโหว่ดังกล่าว

ที่มา:zdnet