VMware ออกเเพตซ์เเก้ไขช่องโหว่ที่มีระดับความรุนเเรง “Critical” 10 รายการใน VMware Workstation และ Fusion

VMware ได้เปิดเผยถึงช่องโหว่ 10 รายการที่ส่งผลต่อผลิตภัณฑ์ VMware ESXi, Workstation และ Fusion ซึ่งช่องโหว่มีความรุนเเรงระดับ “Critical” โดยช่องโหว่ที่สำคัญมีรายละเอียดดังนี้

ช่องโหว่ CVE-2020-3962 (CVSSv3: 9.3) และ CVE-2020-3969 (CVSSv3: 8.1) เป็นช่องโหว่ที่ส่งผลต่ออุปกรณ์ SVGA ทำให้ผู้โจมตีสามารถเข้าถึงเครื่อง VM ที่ทำการเปิด 3D graphic ใช้งานอยู่ อาจทำให้ผู้โจมตีสามารถใช้ช่องโหว่นี้เพื่อเรียกใช้งานโค้ดบน hypervisor จากเครื่อง VM
ช่องโหว่ CVE-2020-3970 เป็นช่องโหว่ที่ส่งผลกับ VMware ESXi, Workstation และ Fusion ทำให้ผู้โจมตีที่ไม่มีสิทธิ์ในการเข้าถึงเครื่อง VM สามารถทำการ Denial of Service (DoS) โปรเซส vmx บนเครื่อง VM ที่ทำการเปิด 3D graphic ใช้งานอยู่
ช่องโหว่ CVE-2020-3967 เป็นช่องโหว่ที่ส่งผลต่ออุปกรณ์คอนโทรลเลอร์ USB 2.0 สำหรับผลิตภัณฑ์ VMware ESXi, Workstation และ Fusion โดยช่องโหว่จะทำให้ผู้โจมตีที่สามารถเข้าถึงเครื่อง VM ทำการเรียกใช้โค้ดบน hypervisor

ช่องโหว่ดังกล่าวส่งผลกับ VMware ESXi เวอร์ชั่น 6.5, 6.7 และ 7.0, Workstation เวอร์ชั่น 15.X และ Fusion เวอร์ชั่น 11.X ทั้งนี้ผู้ใช้งานและผู้ดูแลระบบควรทำการอัพเดตและติดตั้งแพตซ์ให้เป็นเวอร์ชั่นใหม่ล่าสุดเพื่อป้องกันการใช้ประโยชน์จากช่องโหว่

ที่มา: securityaffairs | vmware

 

เตือนภัยสำหรับผู้ WFH: พบช่องโหว่ระดับ “Critical” ใน D-Link Router รุ่นเก่า

นักวิจัยจาก Palo Alto Networks Unit 42 ได้เปิดเผยถึงช่องโหว่ระดับ “Critical” ใน D-Link DIR-865L จำนวน 6 รายการ โดย  นั้นได้ End Of Support ไปแล้วในสหรัฐอเมริกาและกำลังจะหยุดการจำหน่ายในทวีปยุโรป โดยรายละเอียดของช่องโหว่มีดังนี้

CVE-2020-13782 (CVSS 9.8): เป็นช่องโหว่ที่ผู้โจมตีสามารถใช้ Command Injection ได้บนเราเตอร์ด้วยสิทธิ์ระดับผู้ดูแลระบบ ซึ่งถือว่าเป็นช่องโหว่ที่มีความอันตรายอย่างมาก
CVE-2020-13786 (CVSS 8.8): เป็นช่องโหว่ Cross-Site Request Forgery (CSRF)
CVE-2020-13785 (CVSS 7.5): ช่องโหว่เกิดจาการเข้ารหัสของอุปกรณ์ที่ไม่มีความเเข็งแกร่งเพียงพอ
CVE-2020-13784 (CVSS 7.5): ช่องโหว่สามารถทำให้ผู้โจมตีทำการสร้าง Session Cookie ได้ถ้ารู้เวลาการเข้าใช้ของผู้ใช้งาน
CVE-2020-13783 (CVSS 7.5): ช่องโหว่สามารถทำให้ผู้โจมตีสามารถค้นหารหัสผ่านและทราบรหัสผ่านได้ เนื่องจากอุปกรณ์ทำการจัดเก็บข้อมูลแบบ Plain text
CVE-2020-13787 (CVSS 7.5): ช่องโหว่เกิดจากการใช้งานโปรโตคอล WEP บนอุปกรณ์ ทำให้ผู้โจมตีสามารถดักจับข้อมูลได้แบบ plaintext
นักวิจัยจาก Palo Alto Networks Unit 42 ยังกล่าวอีกว่าหลังจากการรายงานช่องโหว่ D-Link ได้ทำการปล่อย Beta Firmware เพื่อเเก้ไขช่องโหว่เพียง 3 ช่องโหว่จากช่องโหว่ทั้งหมด ซึ่ง BleepingComputer ได้ทำการสอบถามถึงการเเก้ไขช่องโหว่ D-Link ได้เเจ้งกับ BleepingComputer ว่า D-Link DIR-865L นั้นได้ End Of Support ไปแล้วในประเทศสหรัฐอเมริกา ทาง D-Link จึงขอเเนะนำให้ผู้ใช้งานทำการเปลื่ยนเราเตอร์เป็นรุ่นใหม่ที่สามรถรองรับการอัพเดต Firmware ได้

ทั้งนี้นักวิจัยจาก Unit 42 นั้นได้ออกคำเเนะนำให้ผู้ใช้งาน D-Link DIR-865L ทำการตั้งค่าเราเตอร์ให้เปลื่ยนไปใช้งาน HTTPS เพื่อป้องกันการโจมตี Session Hijacking และทำการเปลื่ยน Time Zone บนเราเตอร์เพื่อป้องกันการโจมตีแบบสุ่มการสร้าง Session ID

ที่มา:bleepingcomputer  threatpost   hackread

Microsoft ทำการแก้ไข 3 ช่องโหว่ ‘Zero-day’ และ 15 ช่องโหว่ระดับ ‘Critical’ ในรายงานแพตช์ประจำเดือนเมษายน

Microsoft ได้เปิดตัวแพตช์อัปเดตความปลอดภัยเดือนเมษายน 2020 โดย Microsoft แจ้งว่าได้ทำการแก้ไขช่องโหว่ 113 รายการในผลิตภัณฑ์ Microsoft โดยแบ่งออกเป็นช่องโหว่ระดับ Critical 15 รายการ, ช่องโหว่ระดับ Important 93 รายการ, ช่องโหว่ระดับ Moderate 3 รายการและช่องโหว่ระดับ Low อีก 2 รายการ

ทั้งนี้ Microsoft ได้ทำการแก้ไขช่องโหว่ ‘Zero-day’ ด้วยกัน 3 รายการโดยพบว่ามีช่องโหว่ 2 รายการถูกใช้ในการโจมตีระบบแล้ว

รายละเอียดของช่องโหว ‘Zero-day’

CVE-2020-1020 (CVSS 7.8) - ช่องโหว่การรันโค้ดโจมตีระยะไกลของ Adobe Font Manager Library ผู้โจมตีสามารถใช้ช่องโหว่เพื่อลอบรันโค้ดจากทางไกลได้ (RCE) แต่สำหรับ Windows 10 ผู้โจมตีจะสามารถเข้าโจมตีใน AppContainer Sandbox ด้วยสิทธิ์จำกัดและจะสามารถติดตั้งโปรแกรม, เรียกดู, เปลี่ยนแปลงหรือลบข้อมูลได้ รวมถึงสร้างบัญชีผู้ใช้ใหม่ที่มีสิทธิ์เต็มของผู้ใช้งาน อย่างไรก็ดีมีหลายทางที่ผู้โจมตีจะใช้ช่องโหว่ได้ เช่น หลอกให้เหยื่อเปิดไฟล์เอกสารที่สร้างขึ้นแบบพิเศษหรือดูผ่าน Windows Preview
CVE-2020-0938 (CVSS 7.8) - ช่องโหว่การรันโค้ดโจมตีระยะไกลของ Adobe Font Manager Library เช่นเดียวกันกับ CVE-2020-1020
CVE-2020-1027 (CVSS 7.8) - เป็นช่องโหว่ยกระดับสิทธิ์ที่เกิดขึ้นใน Windows Kernel
Microsoft ยังได้เปิดเผยว่าช่องโหว่ Zero-day ทั้ง 3 ได้รับการรายงานจากทีมความปลอดภัยของกูเกิลทั้งจาก Project Zero และ Threat Analysis Group (TAG) นอกจากนี้ยังมีช่องโหว่ระดับรายแรงและช่องโหว่อื่นๆ กว่า 100 รายการถูกแพตช์ในครั้งนี้เช่นกัน ผู้สนใจสามารถดูรายละเอียดเพิ่มเติมได้
แพตช์ความปลอดภัยที่เปิดให้อัพเดตคือ KB4549951 และ KB4549949 ผู้ใช้ควรติดตั้งการอัพเดตแพตช์ความปลอดภัยเพื่อลดความเสี่ยงของข้อมูลและระบบ

ที่มา: www.

Adobe ปล่อยแพทช์ประจำเดือนเมษายน แก้ไขช่องโหว่ทั้งหมด 43 รายการ ที่รวมถึงช่องโหว่สำคัญ (Critical) 24 รายการในผลิตภัณฑ์ 8 รายการด้วย

ช่องโหว่สำคัญ 24 รายการ เป็นช่องโหว่ที่ส่งผลให้ผู้ไม่หวังดีสามารถสั่งรันคำสั่งที่เป็นอันตรายได้ (code execution) บนผลิตภัณฑ์หลายรายการ ยกตัวอย่างเช่น Acrobat Reader, Adobe Flash และ Adobe Shockwave Player เป็นต้น สำหรับในรอบนี้ผลิตภัณฑ์ที่มีจำนวนช่องโหว่ที่ได้รับการแก้ไขมากที่สุด คือ Acrobat Reader มีทั้งหมด 21 รายการ และ 11 รายการเป็นช่องโหว่สำคัญ (Critical) ประกอบด้วย Acrobat DC (2019.010.20098 และก่อนหน้า), Acrobat Reader 2017 (2017.011.30127 และก่อนหน้า), Acrobat Reader DC Classic 2015 (2015.006.30482 และก่อนหน้า) ทั้งบน Windows และ macOS

นอกจากนี้ยังแก้ไขช่องโหว่การรันคำสั่งอันตรายใน Adobe Shockwave Player (เวอร์ชั่น 12.3.4.204 และก่อนหน้า) ทั้งหมด 7 รายการ, ใน Adobe Flash 1 รายการ และช่องโหว่เกี่ยวกับการเปิดเผยข้อมูล (information disclosure) อีก 1 รายการ, ใน Adobe XD 2 รายการ, ใน InDesign 1 รายการ, ใน Adobe Bridge CC 2 รายการ และช่องโหว่เกี่ยวกับการเปิดเผยข้อมูลอีก 6 รายการ และแก้ไขช่องโหว่ความรุนแรงระดับกลาง (Moderate) ใน Adobe Dreamweaver

ผู้ใช้งานที่มีการใช้งานผลิตภัณฑ์ที่ได้รับผลกระทบ ควรทำการอัพเดตให้เป็นเวอร์ชั่นล่าสุด และติดตามข้อมูลเกี่ยวกับความปลอดภัยของผลิตภัณฑ์อย่างสม่ำเสมอ

ที่มา: threatpost

Adobe ได้ทำการแก้ไขช่องโหว่ที่มีสำคัญและร้ายแรง 75 รายการ ครอบคลุม Acrobat Reader DC, Adobe Flash Player, Adobe Coldfusion และ Creative Cloud Desktop

แพทช์ที่ออกมาเป็นการแก้ไขช่องโหว่ระดับร้ายแรง (Critical) 43 รายการใน Acrobat Reader ซึ่งรวมถึงแก้ไข ข้อผิดพลาด zero-day ที่ 0patch ได้ปล่อยแพทช์ชั่วคราวออกมาก่อนหน้านี้ ข้อผิดพลาดดังกล่าวทำให้ผู้โจมตีสามารถขโมยข้อมูลชื่อผู้ใช้งาน และรหัสผ่านที่อยู่ในรูปแบบของค่า hash นอกจากนี้ยังมีช่องโหว่อื่นๆ เช่น
- CVE-2018-19725 และ CVE-2019-7041 เป็นช่องโหว่ที่ทำให้ผู้ใช้งานสามารถเพิ่มระดับสิทธิ์ตัวเองได้ (Privilege Escalation)
- CVE-2019-7030 เป็นช่องโหว่ที่ทำให้มีการเปิดเผยข้อมูล

นอกจากนี้ยังมีช่องโหว่อื่นๆ อย่างเช่น ช่องโหว่ที่ทำให้สามารถสั่งรันคำสั่งได้ตามต้องการ และช่องโหว่ที่เกี่ยวกับการจัดการหน่วยความจำของข้อมูล (buffer, out of bound และ use-after-free) โดยเวอร์ชันที่ได้รับผลกระทบ ได้แก่ Acrobat DC และ Acrobat Reader DC Continuous (เวอร์ชั่น 2019.010.20069 และรุ่นก่อนหน้า) Acrobat และ Acrobat Reader Classic 2017 (เวอร์ชั่น 2017.011.30113 ขึ้นไป) และ Acrobat DC และ Reader DC Classic 2015 (รุ่น 2015.006.30464 และรุ่นก่อนหน้า) ทั้งบน Windows และ macOS

รวมทั้งช่องโหว่ใน ColdFusion (CVE-2019-7091) ส่งผลให้มีการเปิดเผยข้อมูลโดยไม่ตั้งใจ และช่องโหว่อื่นที่ได้รับการแก้ไข ได้แก่ ช่องโหว่การยกระดับสิทธิ์ (CVE-2019-7093) ใน Creative Cloud Desktop (รุ่น 4.7.0.400 และรุ่นก่อนหน้า), ช่องโหว่การเปิดเผยข้อมูล (CVE-2019-7090) ใน Adobe Flash (รุ่น 32.0.0.114 และก่อนหน้า บน Desktop Runtime, Google Chrome, Microsoft Edge และ IE 11)

แนะนำให้ผู้ใช้งานทำการอัพเดตแพทช์ที่ออกมาประจำเดือนกุมภาพันธ์นี้ เพื่อแก้ไขช่องโหว่ที่เกิดขึ้น

ที่มา: threatpost.

VMware ได้อัปเดตเพื่อแก้ไขความปลอดภัยบน AirWatch console ที่มีความรุนแรงอยู่ในระดับ Critical
โดยเป็นช่องโหว่ของการ Bypass SAML authentication
โดยช่องโหว่ดังกล่าวสามารถทำให้ผู้โจมตีควบคุมระบบที่ได้รับผลกระทบ

ผู้ดูแลระบบหรือผู้ใช้งานสามารถศึกษารายละเอียดได้จาก VMware Security Advisory (VMSA-2018-0024) และควรทำการอัปเดตให้เป็นเวอร์ชั่นปัจจุบัน

ที่มา: us-cert

แจ้งเตือนช่องโหว่ XSRF/CSRF บน phpMyAdmin ความร้ายแรงระดับ Critical

โครงการ phpMyAdmin ได้มีการปล่อยแพตช์ช่องโหว่รหัส PMASA-2017-9 ซึ่งเป็นช่องโหว่ XSRF/CSRF ที่ถูกระบุว่ามีความร้ายแรงระดับสูงสุด (critical) เมื่อช่วงปลายเดือนที่ผ่านมา โดยมีเวอร์ชันที่ได้รับผลกระทบคือเวอร์ชัน 4.7.x (ก่อนหน้า 4.7.7)

ช่องโหว่ Cross-site Request Forgery (CSRF) เป็นช่องโหว่ที่เกิดจากการไม่ตรวจสอบแหล่งที่มาของข้อมูลที่ถูกส่งมาเว็บแอปพลิเคชันที่ชัดเจน รวมไปถึงไม่มีการป้องกันการส่งข้อมูลในลักษณะดังกล่าวที่เหมาะสม เช่น ผู้โจมตีอาจใช้ช่องโหว่นี้ในการหลอก/บังคับให้ผู้ใช้งานคลิก URL ที่ผู้โจมตีเตรียมไว้เพื่อใช้ประโยชน์จากสิทธิ์หรือการยืนยันตัวตนของผู้ใช้งาน ส่งผลเป็นการโจมตีระบบได้

แพตช์สำหรับช่องโหว่นี้มาแล้ว แนะนำให้ตรวจสอบรายละเอียดแพตช์จากแหล่งที่มา

Recommendation: แพตช์สำหรับช่องโหว่นี้มาแล้ว แนะนำให้ตรวจสอบรายละเอียดแพตช์จากแหล่งที่มา

ที่มา phpmyadmin

Cisco ออก Patch อุดช่องโหว่ WebEx ซึ่งเป็นแพลตฟอร์มของการติดต่อสื่อสารหรือประชุมออนไลน์ ที่มีช่องโหว่ความรุนแรงระดับ Critical ส่งผลให้ผู้โจมตีสามารถทำ Remote Code Execution ได้
ช่องโหว่ 6 รายการ ส่งผลกระทบต่อ WebEx Network Recording Player สำหรับ Advanced Recording Format (ARF) และไฟล์ WebEx Recording Format (WRF) ทำให้ผู้บุกรุกสามารถโจมตีได้จากระยะไกลเพื่อทำให้เกิด Denial-of-Service (DoS) ในซอฟต์แวร์และอาจจะรันโค้ดที่เป็นอันตรายโดยการหลอกให้เหยื่อเปิดไฟล์ ARF หรือ WRF ที่สร้างขึ้นมาเป็นพิเศษ และผู้บุกรุกยังสามารถส่งไฟล์ที่เป็นอันตรายไปยังเหยื่อได้ทางอีเมลล์หรือสั่งให้เปิดเว็บโฮสติ้งได้อีกด้วย

ช่องโหว่ที่ได้รับการแก้ไข ได้แก่ WebEx Business Suite meeting sites, WebEx Meetings sites, WebEx Meetings Server, และ WebEx ARF และ WRF Players Cisco ให้ข้อมูลรายละเอียดเกี่ยวกับเวอร์ชันที่ได้รับผลกระทบและการแก้ไข โดยช่องโหว่ได้รับรหัส CVE ดังต่อไปนี้ : CVE-2017-12367, CVE-2017-12368, CVE-2017-12369, CVE-2017-12370, CVE-2017-12371 และ CVE-2017-12372
ช่องโหว่เหล่านี้ถูกรายงานโดย Andrea Micalizzi (rgod) และ Steven Seeley จาก Offensive Security โดยใช้ Zero Day Initiative ของ Trend Micro (ZDI)

ที่มา: securityweek

Cisco ได้ทำการ patch ช่องโหว่ความรุนแรงระดับสูง(High) และสูงมาก(Critical) ที่พบในผลิตภัณฑ์ ซึ่งประกอบไปด้วย Cloud Services Platform (CSP), Firepower Extensible Operating System (FXOS), NX-OS และ Small Business IP phones ช่องโหว่ที่ร้ายแรงที่สุดในครั้งนี้คือ CVE-2017-12251, เป็นการเข้าถึงโดยไม่ได้รับอนุญาติซึ่งส่งผลต่อ Cloud Services Platform 2100

Cloud Services Platform(CSP) เป็นบริการที่ถูกใช้ในหลายองค์กร เพื่อที่จะนำบริการของ Cisco หรือบริการ Virtual Network รายอื่นๆ มาใช้งาน ช่องโหว่นี้ถูกพบใน Web Console ของ CSP หากโจมตี และสามารถ Authenticate ได้สำเร็จ จะสามารถเข้าถึงบริการ หรือแม้กระทั่ง virtual machines (VMs) บนอุปกรณ์ CSP ที่ได้รับผลกระทบ รายงานได้ระบุว่ายังไม่พบว่ามีการโจมตีช่องโหว่นี้เกิดขึ้น โดยเวอร์ชันที่ได้รับผลกระทบ คือ 2.1.0, 2.1.1, 2.1.2, 2.2.0, 2.2.1 และ 2.2.2

นอกจากนี้ Cisco ยังได้แจ้งไปยังลูกค้าเกี่ยวกับเรื่องช่องโหว่ความรุนแรงระดับสูงของ DoS(CVE-2017-3883) ซึ่งส่งผลกระทบต่อการ Authentication, การ Authorization และ Accounting(AAA) บน FXOS และ NX-OS ผู้โจมตีสามารถทำการ brute-force login กับตัวเครื่องที่มีการตั้งค่าด้วยระบบป้องกัน AAA หากสำเร็จจะสามารถทำการ remote เข้ามาสั่งรีโหลดตัวเครื่องได้ โดยช่องโหว่มีผลกระทบต่อ Firepower appliances, Nexus, Multilayer Director switches, และ Unified Computing System บางตัว

Cisco ยังมีการะบุเพิ่มเติมถึงช่องโหว่อีกสองตัว CVE-2017-12260 และ CVE-2017-12259 ซึ่งส่งผลกระทบต่อ Small Business IP phones โดยช่องโหว่ตัวแรกส่งผลกระทบต่อการทำงานของ Session Initiation Protocol (SIP) ใน IP Phones รุ่น SPA50x, SPA51x และ SPA52x, ตัวที่สองส่งผลกระทบต่อการทำงานเช่นเดียวกัน แต่เป็น IP Phones รุ่น SPA51x เท่านั้น ช่องโหว่สองตัวนี้ทำให้เกิด DoS จากการส่งคำขอพิเศษที่ถูกดัดแปลงแล้ว(specially crafted SIP requests) ไปยังเครื่องเป้าหมาย

ที่มา: securityaffairs

Jenkins ออกแพตช์ด้านความปลอดภัยครอบคลุมหลาย 10 ช่องโหว่

Jenkins ประกาศแพตช์ด้านความปลอดภัยวันนี้โดยมีช่องโหวที่ถูกปิดโดยแพตช์ดังกล่าวหลายช่องโหว่ ได้แก่ ช่องโหว่ CSRF ทั้งหมด 22 ช่องโหว่ ช่องโหว่รันโค้ดจากระยะไกลโดยไม่ต้องพิสูจน์ตัวตน 1 ช่องโหว่ซึ่งเป็นปัญหาในกระบวนการ serialization มีความร้ายแรงระดับ critical และช่องโหว่ปลอมแปลงชื่อผู้ใช้งานบน CLI หนึ่งช่องโหว่

สำหรับเวอร์ชันของ Jenkins ที่ได้รับผลกระทบจากใน main line คือเวอร์ชันน้อยกว่า 2.57 และใน LTS คือน้อยกว่าเวอร์ชัน 2.46.2 แนะนำให้อัพเดตเพื่อลดความเสี่ยงของช่องโหว่โดยด่วน

ที่มา: jenkins