Adobe Flash zero-day exploit… leveraging ActiveX… embedded in Office Doc… BINGO!

Gigamon Applied Threat Research (ATR) และ Qihoo 360 เปิดเผยการโจมตีที่ใช้ประโยชน์จากช่องโหว่ CVE-2018-15982 บนตัว Adobe Flash ร่วมกับการทำฟิชชิ่ง ส่งผลทำให้ Adobe ปล่อยแพทช์ฉุกเฉินเพื่อแก้ไขช่องโหว่ดังกล่าวโดยทันที

การโจมตีเกิดจากการเรียกใช้ ActiveX ที่ฝังอยู่ในเอกสาร Microsoft Office ที่แนบมากับอีเมลฟิชชิ่งที่มีเนื้อหาเฉพาะทาง โดยทีมนักวิจัยตั้งข้อสังเกตว่าอีเมลฟิชชิ่งคล้ายว่าถูกเลียนแบบมาจากเอกสารของคลินิกการแพทย์ในรัสเซีย แต่ไม่ได้กำหนดเป้าหมายเฉพาะเจาะจงว่าจะเป็นบริษัทหรือกลุ่มองค์กรใด

เมื่อเป้าหมายเปิดไฟล์เอกสาร จะทำให้ ActiveX เรียกใช้ Flash Player และสั่งให้ code อันตรายทำการโจมตีผ่าน ช่องโหว่ CVE-2018-15982 และดาวน์โหลดติดตั้งมัลแวร์ที่เป็นเครื่องมือควบคุมจากระยะไกลเพื่อเก็บรวบรวมข้อมูลระบบและส่งต่อไปยัง C&C ของผู้โจมตี

ตอนนี้ Adobe ได้ปล่อย patch ปรับปรุงความปลอดภัยสำหรับ Adobe Flash Player สำหรับ Windows, MacOS, Linux และ Chrome OS แล้ว

ที่มา:theregister

Kubernetes’ first major security hole discovered

พบช่องโหว่ความปลอดภัยที่สำคัญของ Kubernetes

Kubernetes กลายเป็นระบบคอนเทนเนอร์บนคลาวด์ที่เป็นที่นิยมมากที่สุด ล่าสุดมีการค้นพบช่องโหว่ความปลอดภัยที่สำคัญ Kubernetes Privilege Escalation (CVE-2018-1002105) มีความความรุนแรงเป็น Critical (CVSS 9.8/10)

ช่องโหว่นี้ส่งผลให้ผู้ใช้งานที่ส่ง request ซึ่งได้รับการดัดแปลง เพื่อทำการเชื่อมต่อผ่านทาง API ของ Kubernetes ไปยัง backend server ได้ เมื่อการเชื่อมต่อสำเร็จแล้ว ผู้ใช้งานจะสามารถส่ง request ใดๆ ก็ตามไปยัง backend server ได้โดยตรง

ในการกำหนดค่าเริ่มต้นผู้ใช้ทั้งหมด ไม่ว่าเป็นแบบ authenticated หรือ unauthenticated จะได้รับอนุญาตให้ดำเนินการเรียกใช้งาน API ที่มีช่องโหว่ดังกล่าวนี้ ดังนั้นไม่ว่าผู้ใช้งานจะเป็นใครก็ตามก็สามารถทำการโจมตีได้ และจากรายงานระบุว่ายังไม่มีวิธีการที่สามารถใช้ตรวจจับการโจมตีผ่านช่องโหว่ดังกล่าวได้อย่างง่ายดาย

อย่างไรก็ตามยังมีข่าวดีในข่าวร้ายสำหรับผู้ใช้งานบางคน ข่าวดีคือมีการแก้ไขช่องโหว่ดังกล่าวออกมาแล้ว แต่ข่าวร้ายคือผู้ใช้งานต้องทำการอัปเกรดเวอร์ชั่นของ Kubernetes ซึ่งอาจไม่เป็นที่ชอบใจของผู้ใช้งานบางราย โดยผู้ใช้งานเวอร์ชั่น v1.0.x ถึง1.9.x จะต้องหยุดใช้งานและทำการอัปเดทเป็นเวอร์ชั่น v1.10.11, v1.11.5, v1.12.3 และ v1.13.0-rc.

Cisco addressed SQL Injection flaw in Cisco Prime License Manager

ทาง Cisco ได้ประกาศเรื่องการอัพเดทแพทช์เพื่อแก้ไขปัญหาช่องโหว่ใน web framework สำหรับ Cisco Prime License Manager ที่ส่งผลทำให้แฮกเกอร์สามารถโจมตีด้วยวิธี SQL Injection ได้

จากข่าวรายงานว่าช่องโหว่ดังกล่าวถูกพบโดย Suhail Alaskar จาก Saudi Information Technology Company โดยช่องโหว่นี้เกิดจากข้อบกพร่องที่ไม่มีการตรวจสอบความถูกต้องเมื่อผู้ใช้งานป้อนข้อมูลในหน้าเว็บ ทำให้แฮกเกอร์สามารถเรียกใช้งานโดยส่งคำขอ HTTP POST ที่แอบซ่อนคำสั่ง SQL ที่เป็นอันตรายไปยังเว็บแอปพลิเคชันที่มีช่องโหว่ ส่งผลให้แฮกเกอร์สามารถแก้ไขและลบข้อมูลในฐานข้อมูล Prime License Manager (PLM) ได้ หรือได้รับสิทธิ์การเข้าถึง shell โดยใช้สิทธิ์ผู้ใช้ postgres ได้

Cisco Prime License Manager ที่ได้รับผลกระทบ ประกอบด้วย Prime License Manager เวอร์ชัน 11.0.1 และใหม่กว่า, Cisco Unified Communications Manager และ Cisco Unity Connection ที่ต่ำกว่าเวอร์ชัน 12.0 แนะนำให้ผู้ใช้งานที่ได้รับผลกระทบทำการอัพเดทแพทช์ ciscocm.