พบช่องโหว่ระดับ Critical ในปลั๊กอินป้องกันสแปมของ WordPress เว็บไซต์กว่า 200,000+ แห่งอาจถูกโจมตี

พบช่องโหว่ด้านความปลอดภัยระดับ Critical สองรายการในปลั๊กอิน Spam protection, Anti-Spam และ FireWall ของ WordPress ที่อาจทำให้ผู้โจมตีที่ไม่ผ่านการยืนยันตัวตน สามารถติดตั้ง และเปิดใช้งานปลั๊กอินที่เป็นอันตรายบนเว็บไซต์ที่มีช่องโหว่ และอาจนำไปสู่การเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกลได้ (more…)

Microsoft ออกแพตซ์อัปเดตประจำเดือนพฤศจิกายน 2024 แก้ช่องโหว่ 91 รายการ และช่องโหว่ zero-day 4 รายการ

Microsoft ออก Patch Tuesday ประจำเดือนพฤศจิกายน 2024 โดยแก้ไขช่องโหว่ 91 รายการ รวมถึงช่องโหว่ zero-days 4 รายการ ที่พบว่ากำลังถูกนำมาใช้ในการโจมตีอีกด้วย (more…)

ช่องโหว่ระดับ Critical ใน Grafana เสี่ยงต่อการเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกล

Grafana เป็นแพลตฟอร์มโอเพ่นซอร์สสำหรับการวิเคราะห์ และแสดงผลข้อมูล ถูกพบว่ามีช่องโหว่ระดับ Critical ที่อาจนำไปสู่การเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกล (Remote Code Execution) (more…)

บริษัท OEMs (Origianl Equipment Manufacturer) ถูกเรียกร้องให้แก้ไขช่องโหว่ในการสื่อสารของอุปกรณ์

Qualcomm ได้เผยแพร่รายงานรายงานด้านความปลอดภัยประจำเดือนตุลาคม 2024 ซึ่งแสดงให้เห็นถึงช่องโหว่หลายประการ โดย Google’s Threat Analysis Group ได้ระบุถึงการโจมตีโดยใช้ประโยชน์จากช่องโหว่ระดับ Critical CVE-2024-43047 ในการโจมตีแบบกำหนดเป้าหมาย โดยช่องโหว่นี้เกี่ยวข้องกับไดรเวอร์ FASTRPC ซึ่งมีบทบาทสำคัญในกระบวนการสื่อสารของอุปกรณ์ การใช้ประโยชน์จากช่องโหว่นี้อาจนำไปสู่การละเมิดความปลอดภัยขั้นรุงแรง และอาจเปิดโอกาสให้ผู้ไม่หวังดีเข้าถึงข้อมูลที่สำคัญได้ (more…)

ช่องโหว่ระดับ Critical 3 รายการ เสี่ยงทำให้ผู้ใช้ ownCloud ถูกละเมิดข้อมูล

ผู้ให้บริการซอฟต์แวร์โอเพ่นซอร์ส file-sharing อย่าง ownCloud ออกมาแจ้งเตือนถึงช่องโหว่ระดับ Critical 3 รายการ ที่อาจนำไปใช้ในการเปิดเผยข้อมูลที่สำคัญ และทำให้ผู้โจมตีสามารถแก้ไขไฟล์ได้

คำอธิบายของช่องโหว่มีดังนี้

CVE-2023-49103 (CVSS score: 10.0) ช่องโหว่การเปิดเผยข้อมูล credentials และช่องโหว่การกำหนดค่าใน containerized deployments ที่ส่งผลกระทบต่อ graphapi เวอร์ชันตั้งแต่ 0.2.0 ถึง 0.3.0
CVE-2023-49105 (CVSS score: 9.8) ช่องโหว่ Authentication Bypass ใน WebDAV Api โดยใช้ Pre-Signed URLs ซึ่งส่งผลกระทบต่อเวอร์ชันหลัก ตั้งแต่ 10.6.0 ถึง 10.13.0
CVE-2023-49104 (CVSS score: 9.0) ช่องโหว่การ Bypass การตรวจสอบ Subdomain ที่ส่งผลกระทบต่อ oauth2 ก่อนเวอร์ชัน 0.6.1
ช่องโหว่แรกเกิดจาก แอป 'graphapi' จะใช้ไลบรารีของ third-party ที่จะ provide URL ให้ ซึ่งเมื่อเข้าถึง URL นี้ จะทำให้มีการเปิดเผยข้อมูล configuration ของ PHP (phpinfo) ซึ่งข้อมูลนี้รวมถึง environment ทั้งหมดใน containerized deployments ซึ่งอาจอาจรวมถึงข้อมูลที่มีความสำคัญ เช่น รหัสผ่านผู้ดูแลระบบ ownCloud, ข้อมูล Credentials ของเซิร์ฟเวอร์เมล และ license key

ช่องโหว่รายการที่สอง คือทำให้สามารถเข้าถึง แก้ไข หรือลบไฟล์ใด ๆ ก็ตามที่ไม่มีการยืนยันตัวตน หากทราบชื่อผู้ใช้ของเหยื่อ และเหยื่อไม่ได้กำหนดค่า signing-key เป็นค่าเริ่มต้น ซึ่งเป็นพฤติกรรมโดยปกติของผู้ใช้งานส่วนใหญ่

ช่องโหว่รายการที่สาม เป็นช่องโหว่ที่เกี่ยวข้องกับการควบคุมการเข้าถึงที่ไม่เหมาะสม ซึ่งทำให้ผู้โจมตีสามารถส่ง URL เพื่อเปลี่ยนเส้นทางที่ถูกสร้างขึ้นมาเป็นพิเศษ โดยข้ามขั้นตอนการตรวจสอบสิทธิ์ และทำให้ผู้โจมตีเปลี่ยนเส้นทางการเรียกกลับไปยัง TLD ที่ควบคุมโดยผู้โจมตีได้

นอกเหนือจากการเพิ่มมาตรการรักษาความปลอดภัยให้กับการตรวจสอบความถูกต้องในแอป oauth2 แล้ว ownCloud ยังแนะนำให้ผู้ใช้ปิดการใช้งานตัวเลือก "Allow Subdomains" เพื่อแก้ปัญหาอีกด้วย

การแจ้งเตือนดังกล่าวเกิดขึ้นภายหลังจากที่มีการเผยแพร่ Proof-of-Concept (PoC) สำหรับโจมตีช่องโหว่การเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกลในโซลูชัน CrushFTP (CVE-2023-43177) ที่อาจทำให้ผู้โจมตีที่ไม่ผ่านการยืนยันตัวตนสามารถเข้าถึงไฟล์ หรือเรียกใช้โปรแกรมโดยไม่ได้รับอนุญาตบนโฮสต์ และเข้าถึงรหัสผ่านที่เป็น plain-text ได้ ซึ่งช่องโหว่นี้ได้รับการแก้ไขแล้วใน CrushFTP เวอร์ชัน 10.5.2 ซึ่งเผยแพร่เมื่อวันที่ 10 สิงหาคม 2023

แนวทางแก้ไขจาก ownCloud

แนะนำให้ลบไฟล์ "owncloud/apps/graphapi/vendor/microsoft/microsoft-graph/tests/GetPhpInfo.

มัลแวร์ EnemyBot เพิ่มวิธีการโจมตีโดยใช้ช่องโหว่ระดับ Critical บน VMware และ F5 BIG-IP

EnemyBot เป็นบ็อตเน็ตที่ใช้โค้ดจากมัลแวร์หลายตัว โดยปัจจุบันกำลังขยายการโจมตีโดยใช้ช่องโหว่ความรุนแรงระดับ Critical บน Web servers, CMS, IoT และอุปกรณ์ Android

บ็อตเน็ตถูกพบครั้งแรกในเดือนมีนาคมโดยนักวิจัยจาก Securonix และในเดือนเมษายนเมื่อมีการวิเคราะห์ตัวอย่างตัวใหม่ที่ตรวจพบจากทาง Fortinet พบว่ามัลแวร์ EnemyBot ได้รวมช่องโหว่ต่างๆของ Processor architectures ไว้เป็นจำนวนมาก ซึ่งวัตถุประสงค์หลักของมัลแวร์คือการโจมตีแบบ distributed denial-of-service (DDoS) และมัลแวร์ยังมีโมดูลสำหรับการสแกนหาอุปกรณ์เป้าหมาย และการแพร่กระจายมัลแวร์

EnemyBot เวอร์ชันใหม่

จากรายงานใหม่ของ AT&T Alien Labs ระบุว่ามัลแวร์ EnemyBot เวอร์ชันล่าสุดมีการรวมเอาช่องโหว่กว่า 24 รายการ ซึ่งส่วนใหญ่มีระดับความรุนแรง Critical แต่มีหลายช่องโหว่ที่ยังไม่มีหมายเลข CVE ซึ่งทำให้ผู้ดูแลระบบป้องกันได้ยากขึ้น

เมื่อเดือนเมษายน ช่องโหว่ส่วนใหญ่จะเกี่ยวข้องกับ Router และอุปกรณ์ IoT โดยมีหมายเลขช่องโหว่เป็น CVE-2022-27226 (iRZ) และ CVE-2022-25075 (TOTOLINK) ซึ่งเป็นช่องโหว่ล่าสุด และส่วนใหญ่จะเป็นช่องโหว่เกี่ยวกับ Log4Shell

โดยเวอร์ชันใหม่ที่ถูกวิเคราะห์โดย AT&T Alien Labs ได้รวมข้อมูลช่องโหว่ที่ตัวมัลแวร์จะใช้ในการโจมตีไว้ดังต่อไปนี้:

CVE-2022-22954: Critical (CVSS: 9.8) ช่องโหว่การเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกลที่ส่งผลต่อ VMware Workspace ONE Access และ VMware Identity Manager ซึ่งมี PoC (proof of concept) exploit ที่มีการเผยแพร่ในเดือนเมษายน พ.ศ. 2565
CVE-2022-22947: ช่องโหว่ในการเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกลใน Spring โดยเป็นช่องโหว่ Zero-day ที่มีการแก้ไขในเดือนมีนาคม 2022 และเดือนเมษายน 2022
CVE-2022-1388: Critical (CVSS: 9.8) ช่องโหว่ในการเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกล ส่งผลกระทบต่อ F5 BIG-IP ซึ่งมี PoC ออกมาในช่วงเดือนพฤษภาคม พ.ศ. 2565 และได้ถูกนำมาใช้ในการโจมตีทันที

กลุ่ม Keksec ที่อยู่เบื้องหลังมัลแวร์ EnemyBot กำลังพัฒนามัลแวร์ และมีโปรเจ็กต์ที่เกี่ยวกับการโจมตีอื่น ๆ เช่น: Tsunami, Gafgyt, DarkHTTP, DarkIRC และ Necro และดูเหมือนว่ากลุ่มดังกล่าวจะมีนักพัฒนามัลแวร์ที่มีประสบการณ์ ซึ่งมีความมุ่งมั่นเป็นพิเศษสำหรับโปรเจ็กต์ใหม่ๆ โดยมีการเพิ่มการโจมตีโดยใช้ช่องโหว่ใหม่ๆ หลังจากที่มีการเผยแพร่ในทันที ซึ่งทำให้กลุ่มดังกล่าวสามารถนำช่องโหว่มาใช้ในการโจมตีได้ก่อนที่ผู้ดูแลระบบจะทำการแก้ไข

คำแนะนำในการป้องกัน

อัปเดตแพตช์ผลิตภัณฑ์ และซอฟต์แวร์ทันทีที่มีการอัปเดต และควรตรวจสอบการรับส่งข้อมูลภายใน และภายนอกเครือข่ายอย่างสม่ำเสมอ

ที่มา : bleepingcomputer

 

 

VMware แก้ไขปัญหาช่องโหว่สำคัญใน VMware Carbon Black Cloud Workload

ช่องโหว่ดังกล่าว (CVE-2021-21982) มีความรุนแรงระดับ critical ได้รับคะแนน CVSS 9.1 จาก 10 ส่งผลให้ผู้โจมตีสามารถเข้าถึงระบบได้โดยไม่ต้องพิสูจน์ตัวตน (authentication bypass) Carbon Black Cloud Workload เป็นผลิตภัณฑ์ Data Center ที่มีความสามารถด้าน security มาด้วย หากผู้โจมตีสามารถเข้าถึงหน้า URL สำหรับเข้าสู่ระบบของผู้ดูแลได้ ก็จะสามารถโจมตีเพื่อรับ authentication token และสามารถใช้งาน API ของผลิตภัณฑ์ได้

VMware Carbon Black Cloud Workload appliance เวอร์ชั่น 1.0.1 และก่อนหน้านั้น คือเวอร์ชั่นที่ได้รับผลกระทบ ควรอัพเดตเป็นเวอร์ชั่น 1.0.2

ที่มา: securityaffairs, vmware

Microsoft Patch Tuesday ประจำเดือนกุมภาพันธ์ 2021 มาแล้ว พบบางช่องโหว่ถูกใช้โจมตีจริง แนะนำให้ทำการแพตช์โดยด่วน

ไมโครซอฟต์ประกาศแพตช์ช่องโหว่ด้านความปลอดภัยใน Patch Tuesday รอบเดือนกุมภาพันธ์ 2021 เมื่อวานนี้ ซอฟต์แวร์ที่ได้รับแพตช์ในรอบนี้สูงสุดยังคงเป็น Windows ซึ่งได้รับแพตช์ไปทั้งหมด 28 รายการจากทั้งหมด 64 CVE ในมุมของผลกระทบนั้น มีช่องโหว่ทั้งหมด 11 รายการที่ถูกระบุอยู่ในเกณฑ์ Critical

จากรายการที่ประกาศ ทีมนักวิจัยจาก DB App Security ได้ตรวจพบว่าช่องโหว่ CVE-2021-1732 ซึ่งเป็นช่องโหว่ Privilege escalation ใน Windows Kernel ได้ถูกนำมาใช้โจมตีจริงโดยกลุ่ม APT ทีมนักวิจัยได้มีการเขียนรายงานการตรวจพบและการวิเคราะห์ช่องโหว่เอาไว้ ซึ่งสามารถอ่านเพิ่มได้ที่ dbappsecurity

ในขณะเดียวกัน มีการค้นพบช่องโหว่ RCE ระดับ Critical (CVSS 9.8/10) ใน TCP/IP stack ของ Windows ทั้งหมด 2 รายการ จากลักษณะของช่องโหว่ มีความเป็นไปได้สูงว่าช่องโหว่สามารถถูกโจมตีได้จากระยะไกลเพื่อรันโค้ดที่เป็นอันตราย

แพตช์ล่าสุดในรอบนี้ยังมีการแก้แพตช์ช่องโหว่รหัส CVE-2021-1733 ซึ่งเป็นช่องโหว่ Privilege escalation ในเครื่องมือ PsExec ด้วย ช่องโหว่นี้ได้เคยมีการพยายามแก้ไขแพตช์ในเครื่องมือ PsExec แล้วเมื่อเดือนมกราคม อย่างไรก็ตามนักวิจัยด้านความปลอดภัย David Wells ระบุว่าแพตช์ที่เกิดขึ้นในเดือนมกราคมนั้นไม่สมบูรณ์ ซึ่งส่งผลให้แพตช์ถูกบายพาสและยังคงโจมตีช่องโหว่ได้

ขอให้ผู้ใช้งานและผู้ดูแลระบบดำเนินการอัปเดตแพตช์โดยด่วนเพื่อจัดการความเสี่ยงที่จะมีการโจมตีโดยใช้ช่องโหว่เหล่านี้

ที่มา: zdnet,dbappsecurity,twitter,bleepingcomputer

Adobe ออกเเพตช์แก้ไขช่องโหว่ที่มีความรุนแรงระดับ Critical ในผลิตภัณฑ์ Adobe Lightroom, Adobe Prelude และ Adobe Experience Manager

Adobe เปิดตัวการอัปเดตแพตช์ด้านความปลอดภัย 4 รายการ เพื่อแก้ไขช่องโหว่ที่มีความรุนแรงระดับ Critical และส่งผลต่อผลิตภัณฑ์ Adobe Lightroom, Adobe Experience Manager (AEM) และ Adobe Prelude เวอร์ชัน Windows และ macOS โดยช่องโหว่มีรายละเอียดดังนี้

ช่องโหว่ CVE-2020-24440 เป็นช่องโหว่ประเภท Uncontrolled search path โดยช่องโหว่จะทำให้ผู้โจมตีสามารถรันโค้ดได้โดยไม่ต้องรับอนุญาตใน Adobe Prelude เวอร์ชันก่อนหน้า 9.0.1 สำหรับ Windows และ macOS
ช่องโหว่ CVE-2020-24447 เป็นช่องโหว่ประเภท Uncontrolled Search Path Element โดยช่องโหว่จะทำให้ผู้โจมตีสามารถรันโค้ดได้โดยไม่ต้องรับอนุญาตใน Adobe Lightroom Classic เวอร์ชันก่อนหน้า 10.0
ช่องโหว่ CVE-2020-24444 และ CVE-2020-24445 เป็นช่องโหว่ประเภท Blind server-side request forgery และ Cross-site scripting (XSS) ตามลำดับ โดยช่องโหว่จะทำให้ผู้โจมตีสามารถเข้าถึงข้อมูลที่ละเอียดอ่อนและเรียกใช้โค้ด JavaScript ในเบราว์เซอร์ได้โดยไม่ต้องรับอนุญาตและช่องโหว่จะมีผลกระทบกับ Adobe Experience Manager (AEM) เวอร์ชันก่อนหน้า 6.5.6.0, 6.4.8.2, 6.3.3.8 และ 6.2 SP1-CFP20
ทั้งนี้ผู้ใช้งานผลิตภัณฑ์ Adobe Lightroom, Adobe Experience Manager (AEM) และ Adobe Prelude เวอร์ชัน Windows และ macOS ควรทำการอัฟเดตแพตซ์ความปลอดภัยให้เป็นเวอร์ชันล่าสุดเพื่อเป้นการป้องกันการตกเป็นเหยื่อจากผู้ประสงค์ร้ายใช้ประโยชน์จากช่องโหว่ทำการโจมตี

ที่มา: bleepingcomputer

VMware ออกเเพตซ์เเก้ไขช่องโหว่ระดับ Critical ใน VMware ESXi, Workstation, Fusion และ Cloud Foundation

VMware ออกเเพตซ์การอัปเดตความปลอดภัยเพื่อแก้ไขช่องโหว่ 2 รายการที่สำคัญและมีความรุนแรงสูงใน VMware ESXi, Workstation, Fusion และ Cloud Foundation โดยช่องโหว่จะทำให้ผู้โจมตีสามารถเรียกใช้โค้ดและเพิ่มสิทธิ์ในระบบได้ ทั้งนี้ช่องโหว่ทั้ง 2 รายการถูกค้นพบโดย Xiao Wei และ Tianwen Tang จาก Qihoo 360 Vulcan Team ในวันแรกของการแข่งขัน Tianfu Cup Pwn ในปี 2020 ที่ผ่านมา

ช่องโหว่ CVE-2020-4004 (CVSSv3: 9.3/10) เป็นช่องโหว่ประเภท Use-after-free ที่อยู่ใน XHCI USB controller ของ VMware ESXi, Workstation, และ Fusion โดยช่องโหว่จะช่วยให้ผู้โจมตีที่มีสิทธิ์ระดับผู้ดูแลระบบทั่วไปบนเครื่อง Virtual Machine (VM) สามารถรันโค้ดในขณะที่กระบวนการ VMX ของ VM ทำงานบนโฮสต์ ซึ่งเป็นกระบวนการที่ใช้ในการคอนฟิกบนโฮสต์ VM อินสแตนซ์

ช่องโหว่ CVE-2020-4005 (CVSSv3: 8.8/10) เป็นช่องโหว่ประเภทการยกระดับสิทธิ์ใน VMware ESXi โดยช่องโหว่จะทำให้ผู้โจมตีที่มีสิทธิ์ภายใน VMX เท่านั้นสามารถยกระดับสิทธิ์ในระบบได้

ผู้ดูแลระบบควรทำการอัปเดตแพตซ์ความปลอดภัยให้เป็นเวอร์ชันล่าสุดเพื่อป้องกันผู้ประสงค์ร้ายใช้ประโยชน์จากช่องโหว่ทำการโจมตีระบบ ทั้งนี้ช่องโหว่ CVE-2020-4004 ยังมีวิธีการป้องกันอีกวิธีการหนึ่งคือการการลบ XHCI USB controller (USB 3.x) หากไม่ได้ใช้งานออกจากเครื่อง VM ที่อาจตกเป็นเป้าหมาย

ที่มา: bleepingcomputer | theregister