Veeam ออกแพตช์อัปเดตสำหรับช่องโหว่ Remote Code Execution หมายเลข CVE-2025-23120 ความรุนแรงระดับ Critical โดยเป็นช่องโหว่ในซอฟต์แวร์ Backup & Replication ซึ่งส่งผลกระทบต่อการติดตั้งที่มีการเชื่อมต่อกับ domain controller (more…)

ผู้จำหน่ายซอฟต์แวร์ Trimble ได้ออกมาแจ้งเตือนการค้นพบ Hacker กำลังใช้ช่องโหว่ Deserialization บน Cityworks เพื่อโจมตี และเรียกใช้คำสั่งที่เป็นอันตรายจากระยะไกลผ่าน IIS servers รวมถึงติดตั้ง Cobalt Strike beacon เพื่อเข้าถึงระบบเครือข่ายของเป้าหมาย

Trimble Cityworks เป็นซอฟต์แวร์การจัดการสินทรัพย์ และการจัดการใบสั่งงานที่เน้นไปที่ระบบสารสนเทศภูมิศาสตร์ (GIS) ซึ่งได้รับการออกแบบมาโดยเฉพาะสำหรับรัฐบาลท้องถิ่น สาธารณูปโภค และองค์กรโยธาธิการ

โดยช่วยให้เทศบาล และหน่วยงานโครงสร้างพื้นฐานจัดการสินทรัพย์สาธารณะ ประมวลผลคำสั่งงาน จัดการการอนุญาต และใบอนุญาต การวางแผนด้านทุน และการจัดทำงบประมาณ รวมถึงงานในด้านอื่น ๆ อีกด้วย

CVE-2025-0994 (คะแนนCVSS 8.6 ความรุนแรงระดับ High) เป็นช่องโหว่ Deserialization ที่ทำให้ผู้ใช้งานที่ผ่านการยืนยันตัวตนสามารถเรียกใช้คำสั่งที่เป็นอันตรายจากระยะไกล (RCE) ผ่าน Microsoft Internet Information Services (IIS) ได้ โดยส่งผลกระทบต่อ Cityworks เวอร์ชันก่อน 15.8.9 และ Cityworks ที่มีเวอร์ชัน Office Companion ก่อน 23.10

Trimble ระบุว่า บริษัทได้ทำการตรวจสอบรายงานของลูกค้าเกี่ยวกับ Hacker ที่สามารถเข้าถึงเครือข่ายของลูกค้าได้โดยไม่ได้รับอนุญาตโดยใช้ช่องโหว่ดังกล่าว ซึ่งแสดงให้เห็นว่ากำลังมีการโจมตีโดยใช้ช่องโหว่ดังกล่าวอยู่

Trimble ได้ออกอัปเดตแพตซ์เพื่อแก้ไขช่องโหว่ในเวอร์ชันล่าสุด 15.8.9 และ 23.10 ซึ่งเปิดตัวเมื่อวันที่ 28 และ 29 มกราคม 2025 ตามลำดับ

การโจมตีโดยใช้ช่องโหว่ CVE-2025-0994 เพื่อเข้าสู่ระบบของเป้าหมาย

สำนักงานความปลอดภัยโครงสร้างพื้นฐาน และความปลอดภัยไซเบอร์ของสหรัฐอเมริกา (CISA) ได้ออกคำแนะนำแจ้งเตือนให้ผู้ใช้งานรักษาความปลอดภัยเครือข่ายจากช่องโหว่ดังกล่าวโดยด่วน

ผู้ดูแลระบบที่จัดการการระบบ on-premise จะต้องทำการอัปเดตด้านความปลอดภัยโดยเร็วที่สุด ในขณะที่อินสแตนซ์ที่โฮสต์บนคลาวด์ (CWOL) จะได้รับการอัปเดตโดยอัตโนมัติ

Trimble ระบุว่าได้ค้นพบว่าการจัดการระบบ on-premise บางส่วนอาจมีสิทธิ์ของ IIS identity permissions ที่มากเกินไป โดยได้เตือนว่าระบบเหล่านี้ไม่ควรทำงานภายใต้สิทธิ์ผู้ดูแลระบบในระดับ local หรือระดับ domain-level administrative privileges

นอกจากนี้ การใช้งานบางกรณียังมีการกำหนดค่า attachment directory ที่ไม่ถูกต้อง Trimble แนะนำให้จำกัด root folders ของ attachment ให้ประกอบไปด้วย attachment เท่านั้น

แม้ว่า CISA จะยังไม่ได้เปิดเผยถึงวิธีการโจมตีโดยใช้ช่องโหว่ดังกล่าว แต่ Trimble ได้เปิดเผย Indicators of Compromise (IOC) ที่พบว่าใช้ช่องโหว่ดังกล่าวในการโจมตีเป้าหมาย

IOC เหล่านี้แสดงให้เห็นว่า Hacker ได้ปรับใช้เครื่องมือต่าง ๆ สำหรับการเข้าถึงจากระยะไกล รวมถึง WinPutty และ Cobalt Strike beacons

รวมถึง Microsoft ยังเตือนอีกว่า Hacker กำลังมุ่งเป้าหมายการโจมตีไปยัง IIS Server เพื่อแพร่กระจายมัลแวร์ด้วย ViewState code injection โดยใช้ machine keys ของ ASP.NET ที่เปิดให้เข้าถึงได้จากอินเทอร์เน็ต

ที่มา : bleepingcomputer.

นักวิจัยด้านความปลอดภัย Ling Yizhou ได้เปิดเผยช่องโหว่ใน Zend Framework 3.0.0 โดยช่องโหว่ดังกล่าวจะทำให้ผู้ประสงค์ร้ายสามารถทำการโจมตีแบบ Remote Code Execution (RCE) ได้จากปัญหาของการ Deserialization ช่องโหว่นี้ถูกติดตามด้วยรหัส CVE-2021-3007

ช่องโหว่ CVE-2021-3007 มีที่มาจากกระบวนการ Deserialization ที่อาจนำไปสู่การเรียกใช้โค้ดจากระยะไกลหากผู้โจมตีสามารถเข้าถึงและควบคุม Content ที่เกี่ยวข้องกับเมธอด__destruct ของคลาส Zend\Http\Response\StreamในStream.

CVE-2020-2555: RCE ข้อผิดพลาดกระบวนการ Deserialization ใน Oracle WebLogic Server (09/03/2020)

นักวิจัยด้านความปลอดภัย Jang จาก VNPT ISC ได้ประกาศการค้นพบช่องโหว่ใหม่ผ่านโครงการ Zero Day Initiative (ZDI) กับไลบรารี Oracle Coherence ซึ่งใช้ใน Oracle WebLogic Server

ช่องโหว่ใหม่ล่าสุดรหัสผ่าน CVE-2020-2555 นี้เป็นช่องโหว่ Deserialization ซึ่งส่งผลให้ผู้โจมตีสามารถรันโค้ดที่เป็นอันตรายได้จากระยะไกล (Remote code execution - RCE) และมีความง่ายในการโจมตี ด้วยคุณลักษณะของช่องโหว่นี้ การประเมินความรุนแรงของช่องโหว่ด้วยเกณฑ์ CVSS จึงทำให้ช่องโหว่นี้ได้รับคะแนนสูงถึง 9.8 หรืออยู่ในระดับวิกฤติสูงสุด

ในขณะนี้ทาง Oracle ได้เผยแพร่ Patch เพื่อแก้ไขช่องโหว่แก่ Oracle Coherence ในรุ่น 3.7.1.17, 12.1.3.0.0, 12.2.1.3.0 และ 12.2.1.40 เราขอแนะนำผู้ใช้ทำการอัพเกรด Oracle Coherence โดยเร็วที่สุด และขอแนะนำให้ผู้ใช้ที่ใช้ Oracle WebLogic Server ปิดการใช้งานโปรโตคอล T3 เพื่อหลีกเลี่ยงการโจมตีที่เป็นอันตรายด้วย

ที่มา : zerodayinitiative