มีการเปิดเผยช่องโหว่ด้านความปลอดภัยระดับ Critical ในซอฟต์แวร์ MegaRAC Baseboard Management Controller (BMC) ของ AMI ที่อาจทำให้ผู้โจมตีสามารถ bypass การยืนยันตัวตน และดำเนินการโจมตีหลังจากเจาะระบบได้

ช่องโหว่นี้มีหมายเลข CVE-2024-54085 และมีคะแนน CVSS v4 ที่ระดับ 10.0 แสดงให้เห็นถึงระดับความรุนแรงขั้นสูงสุด

บริษัทด้านความปลอดภัยเฟิร์มแวร์ Eclypsium ให้ข้อมูลกับ The Hacker News โดยระบุว่า "ผู้โจมตีทั้งจากภายใน และภายนอกเครือข่ายสามารถใช้ช่องโหว่นี้ได้ผ่าน remote management interfaces (Redfish) หรือโฮสต์ภายในที่เชื่อมต่อกับอินเตอร์เฟซของ BMC (Redfish)"

"การใช้ช่องโหว่นี้ทำให้ผู้โจมตีสามารถควบคุมเซิร์ฟเวอร์ที่ถูกโจมตีจากระยะไกลได้ โดยติดตั้งมัลแวร์ หรือแรนซัมแวร์จากระยะไกล, แก้ไขเฟิร์มแวร์ ทำให้ชิ้นส่วนของเมนบอร์ด (BMC หรืออาจรวมถึง BIOS/UEFI) ไม่สามารถใช้งานได้ รวมถึงอาจก่อให้เกิดความเสียหายทาง physical กับเซิร์ฟเวอร์ (เช่น แรงดันไฟฟ้าเกิน หรือทำให้ใช้งานไม่ได้โดยสิ้นเชิง) และสร้าง reboot loops ที่เหยื่อไม่สามารถหยุดได้"

ช่องโหว่นี้ยังสามารถถูกนำไปใช้เพื่อก่อกวนระบบ โดยทำให้อุปกรณ์ที่ได้รับผลกระทบ reboot อย่างต่อเนื่องผ่านคำสั่งที่เป็นอันตราย ซึ่งอาจนำไปสู่การหยุดทำงานของระบบแบบไม่มีกำหนด จนกว่าอุปกรณ์ หรือฮาร์ดแวร์นั้นจะถูกตั้งค่าใหม่ทั้งหมด

CVE-2024-54085 เป็นช่องโหว่ในรายการล่าสุดของจำนวนช่องโหว่ที่ถูกพบใน AMI MegaRAC BMCs ตั้งแต่เดือนธันวาคม 2022 โดยทั้งหมดถูกระบุภายใต้ชื่อ BMC&C :

CVE-2022-40259 - ช่องโหว่ Arbitrary Code Execution ผ่าน Redfish API
CVE-2022-40242 - ช่องโหว่ Default credentials เพื่อเข้าถึง UID = 0 shell ผ่าน SSH
CVE-2022-2827 - ช่องโหว่ User enumeration ผ่าน API
CVE-2022-26872 - ช่องโหว่ Password reset interception ผ่าน API
CVE-2022-40258 - ช่องโหว่ Weak password hashes สำหรับ Redfish & API
CVE-2023-34329 - ช่องโหว่ Authentication Bypass ผ่าน HTTP Header Spoofing
CVE-2023-34330 - ช่องโหว่ Code injection ผ่าน Dynamic Redfish Extension interface

Eclypsium ระบุว่า CVE-2024-54085 มีความคล้ายคลึงกับ CVE-2023-34329 เนื่องจากช่องโหว่ทั้งสองรายการสามารถใช้เพื่อ bypass การยืนยันตัวตนได้ และก่อให้เกิดผลกระทบในลักษณะเดียวกัน โดยช่องโหว่นี้ได้รับการยืนยันว่าส่งผลกระทบต่ออุปกรณ์ดังต่อไปนี้ :

HPE Cray XD670
Asus RS720A-E11-RS24U
ASRockRack

AMI ได้ออกแพตช์แก้ไขช่องโหว่นี้แล้วเมื่อวันที่ 11 มีนาคม 2025 ที่ผ่านมา แม้ว่าจะยังไม่มีหลักฐานว่าช่องโหว่ดังกล่าวกำลังถูกนำไปใช้ในการโจมตีจริง แต่ผู้ใช้งานควรอัปเดตระบบของตนทันทีที่ผู้ผลิต หรือผู้จำหน่าย OEM ได้ออกแพตช์แก้ไขช่องโหว่เหล่านี้ และปล่อยอัปเดตให้กับลูกค้า

ตอนนี้ทั้ง HPE และ Lenovo ได้ปล่อยแพตช์อัปเดตด้านความปลอดภัยสำหรับผลิตภัณฑ์ของพวกเขาแล้ว และรวมถึงการแก้ไขช่องโหว่ CVE-2024-54085 จาก AMI อีกด้วย

Eclypsium ระบุเพิ่มเติมว่า "การติดตั้งแพตช์สำหรับช่องโหว่เหล่านี้ไม่ใช่เรื่องง่าย เนื่องจากจะต้องมีการหยุดการทำงานของอุปกรณ์ โดยช่องโหว่นี้ส่งผลกระทบเฉพาะกับซอฟต์แวร์ BMC ของ AMI อย่างไรก็ตาม เนื่องจาก AMI เป็นหัวใจสำคัญของ BIOS supply chain ผลกระทบจึงตกไปที่ผู้ผลิต หรือผู้จำหน่ายฮาร์ดแวร์มากกว่า"

ที่มา : thehackernews

แฮ็กเกอร์กำลังใช้ประโยชน์จากช่องโหว่ความปลอดภัยระดับ Critical ใน PHP เพื่อติดตั้งโปรแกรมขุดสกุลเงินดิจิทัล และโทรจันการเข้าถึงระยะไกล (RATs) เช่น Quasar RAT

ช่องโหว่นี้มีหมายเลข CVE-2024-4577 ซึ่งเป็นช่องโหว่ Argument Injection ใน PHP บนระบบ Windows ที่รันในโหมด CGI โดยทำให้ผู้โจมตีสามารถรันโค้ดที่เป็นอันตรายจากระยะไกลได้

บริษัทด้านความปลอดภัยทางไซเบอร์ Bitdefender ระบุว่า มีความพยายามโจมตีโดยใช้ช่องโหว่ CVE-2024-4577 เพิ่มขึ้นอย่างมากตั้งแต่ปลายปีที่แล้ว โดยมีการโจมตีมากที่สุดในไต้หวัน (54.65%), ฮ่องกง (27.06%), บราซิล (16.39%), ญี่ปุ่น (1.57%) และอินเดีย (0.33%)

ประมาณ 15% ของความพยายามโจมตีโดยใช้ช่องโหว่ที่ตรวจพบ เกี่ยวข้องกับการตรวจสอบช่องโหว่พื้นฐาน โดยใช้คำสั่งเช่น "whoami" และ "echo <test_string>" อีก 15% เกี่ยวข้องกับการตรวจสอบระบบ ซึ่งรวมถึงการตรวจสอบ Process Enumeration, การค้นหาเครือข่าย, ข้อมูลผู้ใช้ และโดเมน และการเก็บข้อมูลของระบบ

Martin Zugec ผู้อำนวยการฝ่ายโซลูชันทางเทคนิคของ Bitdefender เปิดเผยว่า อย่างน้อย 5% ของการโจมตีที่ตรวจพบ นำไปสู่การติดตั้ง XMRig เครื่องขุดสกุลเงินดิจิทัล

Zugec เสริมว่า "อีกหนึ่งแคมเปญเล็ก ๆ ที่เกี่ยวข้องกับการติดตั้ง Nicehash Miners ซึ่งเป็นแพลตฟอร์มที่ช่วยให้ผู้ใช้งานสามารถขาย computing power เพื่อแลกกับคริปโตฯ"

"กระบวนการขุดถูกปลอมแปลงเป็นแอปพลิเคชันที่ดูเหมือนถูกต้องตามปกติ เช่น javawindows.

พบช่องโหว่ด้านความปลอดภัยระดับ Critical สองรายการในปลั๊กอิน Spam protection, Anti-Spam และ FireWall ของ WordPress ที่อาจทำให้ผู้โจมตีที่ไม่ผ่านการยืนยันตัวตน สามารถติดตั้ง และเปิดใช้งานปลั๊กอินที่เป็นอันตรายบนเว็บไซต์ที่มีช่องโหว่ และอาจนำไปสู่การเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกลได้ (more…)

Microsoft ออก Patch Tuesday ประจำเดือนพฤศจิกายน 2024 โดยแก้ไขช่องโหว่ 91 รายการ รวมถึงช่องโหว่ zero-days 4 รายการ ที่พบว่ากำลังถูกนำมาใช้ในการโจมตีอีกด้วย (more…)

Grafana เป็นแพลตฟอร์มโอเพ่นซอร์สสำหรับการวิเคราะห์ และแสดงผลข้อมูล ถูกพบว่ามีช่องโหว่ระดับ Critical ที่อาจนำไปสู่การเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกล (Remote Code Execution) (more…)

Qualcomm ได้เผยแพร่รายงานรายงานด้านความปลอดภัยประจำเดือนตุลาคม 2024 ซึ่งแสดงให้เห็นถึงช่องโหว่หลายประการ โดย Google’s Threat Analysis Group ได้ระบุถึงการโจมตีโดยใช้ประโยชน์จากช่องโหว่ระดับ Critical CVE-2024-43047 ในการโจมตีแบบกำหนดเป้าหมาย โดยช่องโหว่นี้เกี่ยวข้องกับไดรเวอร์ FASTRPC ซึ่งมีบทบาทสำคัญในกระบวนการสื่อสารของอุปกรณ์ การใช้ประโยชน์จากช่องโหว่นี้อาจนำไปสู่การละเมิดความปลอดภัยขั้นรุงแรง และอาจเปิดโอกาสให้ผู้ไม่หวังดีเข้าถึงข้อมูลที่สำคัญได้ (more…)

ผู้ให้บริการซอฟต์แวร์โอเพ่นซอร์ส file-sharing อย่าง ownCloud ออกมาแจ้งเตือนถึงช่องโหว่ระดับ Critical 3 รายการ ที่อาจนำไปใช้ในการเปิดเผยข้อมูลที่สำคัญ และทำให้ผู้โจมตีสามารถแก้ไขไฟล์ได้

คำอธิบายของช่องโหว่มีดังนี้

CVE-2023-49103 (CVSS score: 10.0) ช่องโหว่การเปิดเผยข้อมูล credentials และช่องโหว่การกำหนดค่าใน containerized deployments ที่ส่งผลกระทบต่อ graphapi เวอร์ชันตั้งแต่ 0.2.0 ถึง 0.3.0
CVE-2023-49105 (CVSS score: 9.8) ช่องโหว่ Authentication Bypass ใน WebDAV Api โดยใช้ Pre-Signed URLs ซึ่งส่งผลกระทบต่อเวอร์ชันหลัก ตั้งแต่ 10.6.0 ถึง 10.13.0
CVE-2023-49104 (CVSS score: 9.0) ช่องโหว่การ Bypass การตรวจสอบ Subdomain ที่ส่งผลกระทบต่อ oauth2 ก่อนเวอร์ชัน 0.6.1
ช่องโหว่แรกเกิดจาก แอป 'graphapi' จะใช้ไลบรารีของ third-party ที่จะ provide URL ให้ ซึ่งเมื่อเข้าถึง URL นี้ จะทำให้มีการเปิดเผยข้อมูล configuration ของ PHP (phpinfo) ซึ่งข้อมูลนี้รวมถึง environment ทั้งหมดใน containerized deployments ซึ่งอาจอาจรวมถึงข้อมูลที่มีความสำคัญ เช่น รหัสผ่านผู้ดูแลระบบ ownCloud, ข้อมูล Credentials ของเซิร์ฟเวอร์เมล และ license key

ช่องโหว่รายการที่สอง คือทำให้สามารถเข้าถึง แก้ไข หรือลบไฟล์ใด ๆ ก็ตามที่ไม่มีการยืนยันตัวตน หากทราบชื่อผู้ใช้ของเหยื่อ และเหยื่อไม่ได้กำหนดค่า signing-key เป็นค่าเริ่มต้น ซึ่งเป็นพฤติกรรมโดยปกติของผู้ใช้งานส่วนใหญ่

ช่องโหว่รายการที่สาม เป็นช่องโหว่ที่เกี่ยวข้องกับการควบคุมการเข้าถึงที่ไม่เหมาะสม ซึ่งทำให้ผู้โจมตีสามารถส่ง URL เพื่อเปลี่ยนเส้นทางที่ถูกสร้างขึ้นมาเป็นพิเศษ โดยข้ามขั้นตอนการตรวจสอบสิทธิ์ และทำให้ผู้โจมตีเปลี่ยนเส้นทางการเรียกกลับไปยัง TLD ที่ควบคุมโดยผู้โจมตีได้

นอกเหนือจากการเพิ่มมาตรการรักษาความปลอดภัยให้กับการตรวจสอบความถูกต้องในแอป oauth2 แล้ว ownCloud ยังแนะนำให้ผู้ใช้ปิดการใช้งานตัวเลือก "Allow Subdomains" เพื่อแก้ปัญหาอีกด้วย

การแจ้งเตือนดังกล่าวเกิดขึ้นภายหลังจากที่มีการเผยแพร่ Proof-of-Concept (PoC) สำหรับโจมตีช่องโหว่การเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกลในโซลูชัน CrushFTP (CVE-2023-43177) ที่อาจทำให้ผู้โจมตีที่ไม่ผ่านการยืนยันตัวตนสามารถเข้าถึงไฟล์ หรือเรียกใช้โปรแกรมโดยไม่ได้รับอนุญาตบนโฮสต์ และเข้าถึงรหัสผ่านที่เป็น plain-text ได้ ซึ่งช่องโหว่นี้ได้รับการแก้ไขแล้วใน CrushFTP เวอร์ชัน 10.5.2 ซึ่งเผยแพร่เมื่อวันที่ 10 สิงหาคม 2023

แนวทางแก้ไขจาก ownCloud

แนะนำให้ลบไฟล์ "owncloud/apps/graphapi/vendor/microsoft/microsoft-graph/tests/GetPhpInfo.

EnemyBot เป็นบ็อตเน็ตที่ใช้โค้ดจากมัลแวร์หลายตัว โดยปัจจุบันกำลังขยายการโจมตีโดยใช้ช่องโหว่ความรุนแรงระดับ Critical บน Web servers, CMS, IoT และอุปกรณ์ Android

บ็อตเน็ตถูกพบครั้งแรกในเดือนมีนาคมโดยนักวิจัยจาก Securonix และในเดือนเมษายนเมื่อมีการวิเคราะห์ตัวอย่างตัวใหม่ที่ตรวจพบจากทาง Fortinet พบว่ามัลแวร์ EnemyBot ได้รวมช่องโหว่ต่างๆของ Processor architectures ไว้เป็นจำนวนมาก ซึ่งวัตถุประสงค์หลักของมัลแวร์คือการโจมตีแบบ distributed denial-of-service (DDoS) และมัลแวร์ยังมีโมดูลสำหรับการสแกนหาอุปกรณ์เป้าหมาย และการแพร่กระจายมัลแวร์

EnemyBot เวอร์ชันใหม่

จากรายงานใหม่ของ AT&T Alien Labs ระบุว่ามัลแวร์ EnemyBot เวอร์ชันล่าสุดมีการรวมเอาช่องโหว่กว่า 24 รายการ ซึ่งส่วนใหญ่มีระดับความรุนแรง Critical แต่มีหลายช่องโหว่ที่ยังไม่มีหมายเลข CVE ซึ่งทำให้ผู้ดูแลระบบป้องกันได้ยากขึ้น

เมื่อเดือนเมษายน ช่องโหว่ส่วนใหญ่จะเกี่ยวข้องกับ Router และอุปกรณ์ IoT โดยมีหมายเลขช่องโหว่เป็น CVE-2022-27226 (iRZ) และ CVE-2022-25075 (TOTOLINK) ซึ่งเป็นช่องโหว่ล่าสุด และส่วนใหญ่จะเป็นช่องโหว่เกี่ยวกับ Log4Shell

โดยเวอร์ชันใหม่ที่ถูกวิเคราะห์โดย AT&T Alien Labs ได้รวมข้อมูลช่องโหว่ที่ตัวมัลแวร์จะใช้ในการโจมตีไว้ดังต่อไปนี้:

CVE-2022-22954: Critical (CVSS: 9.8) ช่องโหว่การเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกลที่ส่งผลต่อ VMware Workspace ONE Access และ VMware Identity Manager ซึ่งมี PoC (proof of concept) exploit ที่มีการเผยแพร่ในเดือนเมษายน พ.ศ. 2565
CVE-2022-22947: ช่องโหว่ในการเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกลใน Spring โดยเป็นช่องโหว่ Zero-day ที่มีการแก้ไขในเดือนมีนาคม 2022 และเดือนเมษายน 2022
CVE-2022-1388: Critical (CVSS: 9.8) ช่องโหว่ในการเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกล ส่งผลกระทบต่อ F5 BIG-IP ซึ่งมี PoC ออกมาในช่วงเดือนพฤษภาคม พ.ศ. 2565 และได้ถูกนำมาใช้ในการโจมตีทันที

กลุ่ม Keksec ที่อยู่เบื้องหลังมัลแวร์ EnemyBot กำลังพัฒนามัลแวร์ และมีโปรเจ็กต์ที่เกี่ยวกับการโจมตีอื่น ๆ เช่น: Tsunami, Gafgyt, DarkHTTP, DarkIRC และ Necro และดูเหมือนว่ากลุ่มดังกล่าวจะมีนักพัฒนามัลแวร์ที่มีประสบการณ์ ซึ่งมีความมุ่งมั่นเป็นพิเศษสำหรับโปรเจ็กต์ใหม่ๆ โดยมีการเพิ่มการโจมตีโดยใช้ช่องโหว่ใหม่ๆ หลังจากที่มีการเผยแพร่ในทันที ซึ่งทำให้กลุ่มดังกล่าวสามารถนำช่องโหว่มาใช้ในการโจมตีได้ก่อนที่ผู้ดูแลระบบจะทำการแก้ไข

คำแนะนำในการป้องกัน

อัปเดตแพตช์ผลิตภัณฑ์ และซอฟต์แวร์ทันทีที่มีการอัปเดต และควรตรวจสอบการรับส่งข้อมูลภายใน และภายนอกเครือข่ายอย่างสม่ำเสมอ

ที่มา : bleepingcomputer

 

 

ช่องโหว่ดังกล่าว (CVE-2021-21982) มีความรุนแรงระดับ critical ได้รับคะแนน CVSS 9.1 จาก 10 ส่งผลให้ผู้โจมตีสามารถเข้าถึงระบบได้โดยไม่ต้องพิสูจน์ตัวตน (authentication bypass) Carbon Black Cloud Workload เป็นผลิตภัณฑ์ Data Center ที่มีความสามารถด้าน security มาด้วย หากผู้โจมตีสามารถเข้าถึงหน้า URL สำหรับเข้าสู่ระบบของผู้ดูแลได้ ก็จะสามารถโจมตีเพื่อรับ authentication token และสามารถใช้งาน API ของผลิตภัณฑ์ได้

VMware Carbon Black Cloud Workload appliance เวอร์ชั่น 1.0.1 และก่อนหน้านั้น คือเวอร์ชั่นที่ได้รับผลกระทบ ควรอัพเดตเป็นเวอร์ชั่น 1.0.2

ที่มา: securityaffairs, vmware

ไมโครซอฟต์ประกาศแพตช์ช่องโหว่ด้านความปลอดภัยใน Patch Tuesday รอบเดือนกุมภาพันธ์ 2021 เมื่อวานนี้ ซอฟต์แวร์ที่ได้รับแพตช์ในรอบนี้สูงสุดยังคงเป็น Windows ซึ่งได้รับแพตช์ไปทั้งหมด 28 รายการจากทั้งหมด 64 CVE ในมุมของผลกระทบนั้น มีช่องโหว่ทั้งหมด 11 รายการที่ถูกระบุอยู่ในเกณฑ์ Critical

จากรายการที่ประกาศ ทีมนักวิจัยจาก DB App Security ได้ตรวจพบว่าช่องโหว่ CVE-2021-1732 ซึ่งเป็นช่องโหว่ Privilege escalation ใน Windows Kernel ได้ถูกนำมาใช้โจมตีจริงโดยกลุ่ม APT ทีมนักวิจัยได้มีการเขียนรายงานการตรวจพบและการวิเคราะห์ช่องโหว่เอาไว้ ซึ่งสามารถอ่านเพิ่มได้ที่ dbappsecurity

ในขณะเดียวกัน มีการค้นพบช่องโหว่ RCE ระดับ Critical (CVSS 9.8/10) ใน TCP/IP stack ของ Windows ทั้งหมด 2 รายการ จากลักษณะของช่องโหว่ มีความเป็นไปได้สูงว่าช่องโหว่สามารถถูกโจมตีได้จากระยะไกลเพื่อรันโค้ดที่เป็นอันตราย

แพตช์ล่าสุดในรอบนี้ยังมีการแก้แพตช์ช่องโหว่รหัส CVE-2021-1733 ซึ่งเป็นช่องโหว่ Privilege escalation ในเครื่องมือ PsExec ด้วย ช่องโหว่นี้ได้เคยมีการพยายามแก้ไขแพตช์ในเครื่องมือ PsExec แล้วเมื่อเดือนมกราคม อย่างไรก็ตามนักวิจัยด้านความปลอดภัย David Wells ระบุว่าแพตช์ที่เกิดขึ้นในเดือนมกราคมนั้นไม่สมบูรณ์ ซึ่งส่งผลให้แพตช์ถูกบายพาสและยังคงโจมตีช่องโหว่ได้

ขอให้ผู้ใช้งานและผู้ดูแลระบบดำเนินการอัปเดตแพตช์โดยด่วนเพื่อจัดการความเสี่ยงที่จะมีการโจมตีโดยใช้ช่องโหว่เหล่านี้

ที่มา: zdnet,dbappsecurity,twitter,bleepingcomputer