การวิจัยใหม่ได้ค้นพบช่องโหว่ด้านความปลอดภัยใน Tunneling Protocol หลายตัว ซึ่งอาจทำให้ผู้โจมตีสามารถทำการโจมตีได้หลากหลายรูปแบบ (more…)

Cisco ปล่อยแพตช์อัปเดตด้านความปลอดภัยเพื่อแก้ไขช่องโหว่ Denial-of-Service (DoS) ใน ClamAV ซึ่งปัจจุบันพบว่ามี Proof-of-Concept (PoC) exploit code ที่สามารถใช้ในการโจมตีได้ (more…)

Palo Alto Networks ออกแจ้งเตือนว่าพบ Hacker กำลังใช้ช่องโหว่ Denial of Service (DoS) CVE-2024-3393 เพื่อหยุดการทำงานของ Firewall โดยบังคับให้ Reboot (more…)

The Cybersecurity and Infrastructure Security Agency (CISA) แจ้งเตือนถึงช่องโหว่ใหม่ใน Rockwell Automation FactoryTalk ThinManager โดยการแจ้งเตือนมีหมายเลข ICSA-24-305-01 ซึ่งระบุถึงความเสี่ยงด้านความปลอดภัยที่ร้ายแรง ซึ่งอาจส่งผลกระทบกับผู้ใช้งานซอฟต์แวร์ โดยมีคะแนน CVSS v4 ที่ 9.3 โดยช่องโหว่เหล่านี้ทีมรักษาความปลอดภัยจำเป็นต้องให้ความสนใจ เพื่อป้องกันการโจมตีที่อาจเกิดขึ้นกับระบบควบคุมอุตสาหกรรม (more…)

Cisco ได้แก้ไขช่องโหว่การโจมตีแบบปฏิเสธการให้บริการ (Denial of Service หรือ DoS) ในซอฟต์แวร์ Cisco ASA และ Firepower Threat Defense (FTD) ซึ่งช่องโหว่นี้ถูกค้นพบระหว่างการโจมตีแบบ large-scale brute force ที่เกิดขึ้นกับอุปกรณ์ Cisco VPN ในเดือนเมษายน

ช่องโหว่นี้มีหมายเลข CVE-2024-20481 และส่งผลกระทบต่อ Cisco ASA และ Cisco FTD ทุกเวอร์ชันจนถึงซอฟต์แวร์เวอร์ชันล่าสุด

เอกสารคำแนะนำด้านความปลอดภัยสำหรับ CVE-2024-20481 ระบุว่าเป็นช่องโหว่ในบริการ Remote Access VPN (RAVPN) ของซอฟต์แวร์ Cisco Adaptive Security Appliance (ASA) และ Cisco Firepower Threat Defense (FTD) โดยเป็นช่องโหว่ที่อาจทำให้ผู้โจมตีจากภายนอกที่ไม่ได้ผ่านการยืนยันตัวตน สามารถทำให้บริการของ RAVPN ล่มจากการโจมตีแบบ Denial of Service (DoS) ได้

"ช่องโหว่นี้เกิดจากการที่ทรัพยากรถูกใช้จนหมด ซึ่งผู้โจมตีใช้ประโยชน์จากช่องโหว่นี้โดยการส่งคำขอการยืนยันตัวตนสำหรับ VPN จำนวนมากไปยังอุปกรณ์ที่ได้รับผลกระทบ และถ้าการโจมตีสำเร็จจะทำให้ทรัพยากรถูกใช้งานจนหมด ส่งผลให้บริการ RAVPN ของอุปกรณ์ที่ได้รับผลกระทบเกิดการปฏิเสธการให้บริการ (DoS)"

Cisco ระบุว่าเมื่อการโจมตีแบบ DDoS นี้ส่งผลกระทบต่ออุปกรณ์ อาจจำเป็นต้องทำการรีโหลดอุปกรณ์เพื่อให้บริการ RAVPN กลับมาทำงานอีกครั้ง

โดยทีม Cisco Product Security Incident Response Team (PSIRT) ระบุว่า พวกเขาทราบถึงการโจมตีช่องโหว่นี้ที่กำลังเกิดขึ้น แต่ช่องโหว่นี้ไม่ได้ถูกใช้เพื่อโจมตีอุปกรณ์ Cisco ASA ในลักษณะของการโจมตีแบบ DoS

โดยช่องโหว่นี้ถูกค้นพบจากการโจมตีแบบ large-scale brute-force ที่เกิดขึ้นในเดือนเมษายน โดยมีการโจมตีรหัสผ่านของบริการ VPN บนอุปกรณ์เครือข่ายจำนวนมาก เช่น

Cisco Secure Firewall VPN
Checkpoint VPN
Fortinet VPN
SonicWall VPN
RD Web Services
Miktrotik
Draytek
Ubiquiti

การโจมตีเหล่านี้ถูกออกแบบมาเพื่อรวบรวมข้อมูลการเข้าสู่ระบบ VPN สำหรับเครือข่ายองค์กร ซึ่งข้อมูลเหล่านี้สามารถนำไปขายใน dark web และอาจส่งให้กับกลุ่มแรนซัมแวร์เพื่อใช้ในการเข้าถึงเครือข่าย หรือใช้โจมตีระบบเพื่อขโมยข้อมูล

อย่างไรก็ตาม เนื่องจากมีการส่งคำขอการยืนยันตัวตนต่อเนื่องจำนวนมาก และรวดเร็วไปยังอุปกรณ์ ทำให้ทรัพยากรของอุปกรณ์ถูกใช้ไปจนหมดโดยที่ผู้โจมตีไม่ได้ตั้งใจดำเนินการ ส่งผลให้อุปกรณ์ Cisco ASA และ FTD เกิดเหตุการณ์ Denial of Service

ช่องโหว่นี้จัดอยู่ในประเภทช่องโหว่แบบ CWE-772 ซึ่งระบุไว้ว่าซอฟต์แวร์ไม่ได้ทำการปล่อยทรัพยากรที่มีการจัดการไว้อย่างเหมาะสมระหว่างการยืนยันตัวตนในรูปแบบ VPN ยกตัวอย่างเช่น หน่วยความจำ

Cisco ระบุว่าช่องโหว่นี้สามารถถูกโจมตีได้ก็ต่อเมื่อมีการเปิดใช้บริการ RAVPN เท่านั้น

ผู้ดูแลระบบสามารถตรวจสอบได้ว่ามีการเปิดใช้งาน SSL VPN บนอุปกรณ์หรือไม่ โดยใช้คำสั่งต่อไปนี้

หากไม่มีเอาต์พุตแสดงว่าบริการ RAVPN ไม่ได้เปิดใช้งาน

ช่องโหว่อื่น ๆ ของ Cisco

นอกจากนี้ Cisco ยังได้ออกคำแนะนำด้านความปลอดภัย 37 ฉบับ สำหรับช่องโหว่ 42 รายการในผลิตภัณฑ์ต่าง ๆ รวมทั้งช่องโหว่ความรุนแรงระดับ Critical 3 รายการที่ส่งผลต่อ Firepower Threat Defense (FTD), Secure Firewall Management Center (FMC) และ Adaptive Security Appliance (ASA)

ในขณะนี้ แม้ว่าจะยังไม่พบการโจมตีที่ใช้ประโยชน์จากช่องโหว่เหล่านี้ แต่ด้วยความสำคัญ และความรุนแรงของช่องโหว่ ผู้ดูแลระบบที่มีอุปกรณ์ที่ได้รับผลกระทบควรเร่งทำการอัปเดตแพตช์โดยเร็วที่สุด

สรุปช่องโหว่มีดังนี้

CVE-2024-20424 (คะแนน CVSS v3.1: 9.9): เป็นช่องโหว่ Command injection flaw ใน web-based management interface ของซอฟต์แวร์ Cisco FMC ซึ่งเกิดจากการตรวจสอบ HTTP request ที่ไม่ถูกต้อง โดยช่องโหว่นี้จะอนุญาตให้ผู้โจมตีจากภายนอกที่ผ่านการยืนยันตัวตนได้รับสิทธิ์ในระดับ Security Analyst ซึ่งสามารถเรียกใช้คำสั่งบนระบบปฏิบัติการด้วยสิทธิ์ root ได้ตามต้องการ

CVE-2024-20329 (คะแนน CVSS v3.1: 9.9) : เป็นช่องโหว่ Remote command injection ใน Cisco ASA ซึ่งเกิดจากการตรวจสอบอินพุตของผู้ใช้ที่ไม่สมบูรณ์ในส่วนของคำสั่ง CLI แบบระยะไกลผ่าน SSH โดยช่องโหว่นี้ทำให้ผู้โจมตีจากภายนอกที่ผ่านการยืนยันตัวตนสามารถเรียกใช้คำสั่งบนระบบปฏิบัติการด้วยสิทธิ์ root ได้

CVE-2024-20412 (คะแนน CVSS v3.1: 9.3) : เป็นช่องโหว่ Static credentials ในอุปกรณ์ Firepower รุ่น 1000, 2100, 3100 และ 4200 ซึ่งอนุญาตให้ผู้โจมตีจากภายในเข้าถึงข้อมูลสำคัญ และแก้ไขการตั้งค่าได้อย่างไม่จำกัด

CVE-2024-20424 เป็นช่องโหว่ที่ส่งผลกระทบต่อผลิตภัณฑ์ของ Cisco ที่ใช้งาน FMC เวอร์ชันที่มีช่องโหว่ โดยไม่คำนึงถึงการกำหนดค่าอุปกรณ์ และ Cisco ยังไม่ได้ให้วิธีแก้ไขสำหรับช่องโหว่นี้

CVE-2024-20329 เป็นช่องโหว่ที่ส่งผลกระทบต่อเวอร์ชันของ ASA ที่มีการเปิดใช้ CiscoSSH stack และมีการอนุญาตให้เข้าถึง SSH ในส่วนของอินเทอร์เฟซอย่างน้อยหนึ่งรายการ

แนวทางแก้ปัญหาสำหรับช่องโหว่นี้คือการปิดการใช้งาน CiscoSSH stack โดยใช้คำสั่ง: no ssh stack ciscossh วิธีนี้จะตัดการเชื่อมต่อ SSH ที่กำลังใช้งาน และต้องบันทึกการเปลี่ยนแปลงเพื่อให้การตั้งค่ายังคงอยู่หลังการรีบูต

CVE-2024-20412 เป็นช่องโหว่ที่ส่งผลกระทบต่อซอฟต์แวร์ FTD ตั้งแต่เวอร์ชัน 7.1 ถึง 7.4 และ VDB release 387 หรือเวอร์ชันก่อนหน้านั้น ของอุปกรณ์ Firepower รุ่น 1000, 2100, 3100 และ 4200

Cisco ระบุว่ามีวิธีแก้ไขชั่วคราวสำหรับช่องโหว่นี้ โดยให้ทำการติดต่อศูนย์ Technical Assistance Center (TAC)

สำหรับช่องโหว่ CVE-2024-20412 Cisco ได้รวม signs of exploitation ไว้ในคำแนะนำเพื่อช่วยให้ผู้ดูแลระบบตรวจจับกิจกรรมที่เป็นอันตรายได้

แนะนำให้ใช้คำสั่งนี้เพื่อตรวจสอบการใช้ข้อมูลแบบ static credentials

หากมีการพยายามเข้าสู่ระบบสำเร็จ อาจเป็นสัญญาณของการถูกโจมตี และหากไม่มีผลลัพธ์ใดถูกส่งกลับมาแสดงว่าข้อมูล credentials ไม่ได้ถูกใช้ในช่วงเวลาการเก็บ Logs

ไม่มีคำแนะนำในการตรวจจับการโจมตีสำหรับ CVE-2024-20424 และ CVE-2024-20329 แต่การตรวจสอบ Logs สำหรับเหตุการณ์ที่ผิดปกติ หรือไม่ปกติเป็นวิธีที่ดีในการค้นหาพฤติกรรมที่น่าสงสัยเสมอ

ทั้งนี้ การอัปเดตของช่องโหว่ทั้งสามรายการสามารถดาวน์โหลดได้ผ่านเครื่องมือ Cisco Software Checker

ที่มา : bleepingcomputer

นักวิจัยของ Cyble ได้ระบุช่องโหว่ในผลิตภัณฑ์สามรายการที่ใช้ในโครงสร้างพื้นฐานที่สำคัญ ซึ่งควรได้รับความสนใจอย่างเร่งด่วนจากทีมรักษาความปลอดภัย (more…)

มีการค้นพบการโจมตีแบบใหม่ของ Denial-of-Service (DoS) ที่กําหนดเป้าหมายไปที่โปรโตคอล UDP ในระดับ application-layer ซึ่งมีแนวโน้มที่จะส่งผลให้ Host หลายแสนระบบตกอยู่ในความเสี่ยง

(more…)

Cisco ได้ออกแพตช์อัปเดตสำหรับช่องโหว่ DoS ที่มีระดับความรุนแรงสูง ซึ่งมีหมายเลข CVE-2023-20049 (คะแนน CVSS 8.6) ในซอฟต์แวร์ IOS XR ซึ่งส่งผลกระทบต่อ Enterprise Routers หลายรุ่น

ช่องโหว่ดังกล่าวอยู่ในฟีเจอร์ hardware offload ใน bidirectional forwarding detection (BFD) ของซอฟต์แวร์ Cisco IOS XR สำหรับเราเตอร์ Cisco ASR 9000 Series Aggregation Services, ASR 9902 Compact High-Performance Routers และ ASR 9903 Compact High-Performance Routers

โดยช่องโหว่อาจทำให้ผู้โจมตีสามารถโจมตีจากภายนอกได้โดยไม่ต้องผ่านการพิสูจน์ตัวตน (unauthenticated attackers) เพื่อทำการรีเซ็ต line card ส่งผลให้เกิดการปฏิเสธการให้บริการ (denial of service (DoS)) โดยการส่งแพ็คเก็ต IPv4 BFD ที่ถูกสร้างขึ้นเป็นพิเศษไปยังอุปกรณ์ที่มีช่องโหว่

ช่องโหว่นี้เกิดจากการจัดการที่ไม่เหมาะสมกับแพ็กเก็ต BFD ที่มีรูปแบบไม่ถูกต้อง บน line card ที่มีการเปิดใช้งานฟีเจอร์ BFD hardware offload

โดยช่องโหว่นี้ส่งผลกระทบเฉพาะ ASR 9000 Series Aggregation Services Routers ที่ติดตั้ง line card แบบ Lightspeed หรือ Lightspeed-Plus และ Compact High-Performance Routers รุ่น ASR 9902 และ ASR 9903

Cisco แนะนำวิธีแก้ปัญหาเบื้องต้นโดยให้ปิดการใช้งาน BFD hardware offload ด้วยการลบคำสั่งการเปิดใช้งานโมดูล hw bfw-hw-offload ทั้งหมดและรีเซ็ต line card

ซึ่งแพตช์อัปเดตสำหรับช่องโหว่นี้รวมอยู่ในซอฟต์แวร์ IOS XR เวอร์ชัน 7.5.3, 7.6.2 และ 7.7.1

 

ที่มา : securityaffairs, securityweek

หน่วยงานความมั่นคงปลอดภัยทางไซเบอร์ และโครงสร้างพื้นฐานของสหรัฐ (CISA) ได้เพิ่มช่องโหว่สามรายการไปในแคตตาล็อก Known Exploited Vulnerabilities (KEV) โดยอ้างถึงหลักฐานของการพบการตั้งเป้าหมายการโจมตีไปที่ช่องโหว่ดังกล่าว

ช่องโหว่ TerraMaster (TNAS)

CVE-2022-24990 เป็นช่องโหว่ที่ส่งผลต่ออุปกรณ์จัดเก็บข้อมูลกับเครือข่าย TerraMaster network-attached storage (TNAS) ซึ่งอาจนำไปสู่การเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกล (RCE) โดยไม่ต้องผ่านการตรวจสอบสิทธิ์ด้วยสิทธิ์สูงสุด ซึ่งช่องโหว่ CVE-2022-24990 ได้รับการเปิดเผยโดย Octagon Networks บริษัทวิจัยด้านความปลอดภัยทางไซเบอร์ของเอธิโอเปียในเดือนมีนาคม 2565 รวมไปถึงหน่วยงานรัฐบาลของสหรัฐฯ และเกาหลีใต้ได้ระบุว่า ช่องโหว่ดังกล่าวได้ถูกใช้โดย Hacker ชาวเกาหลีเหนือ เพื่อโจมตีหน่วยงานด้านสุขภาพ และโครงสร้างพื้นฐานที่สำคัญด้วยแรนซัมแวร์

ช่องโหว่ Intel ethernet

CVE-2015-2291 เป็นช่องโหว่ที่ส่งผลต่อไดรเวอร์ Intel ethernet สำหรับ Windows (IQVW32.sys และ IQVW64.sys) ซึ่งอาจทำให้อุปกรณ์ที่ได้รับผลกระทบเข้าสู่สถานะ Denial-of-Service state (DOS) โดยช่องโหว่ CVE-2015-2291 ได้รับการเปิดเผยโดย CrowdStrike ในเดือนมกราคม 2023 โดยเกี่ยวข้องกับการโจมตีจาก Scattered Spider (หรือที่รู้จักในชื่อ Roasted 0ktapus หรือ UNC3944) ซึ่งสามารถที่จะใช้วิธีการที่เรียกว่า Bring Your Own Vulnerable Driver (BYOVD) เพื่อหลีกเลี่ยงการตรวจจับจากซอฟต์แวร์รักษาความปลอดภัยที่ติดตั้งบนเครื่องเป้าหมายได้ รวมถึงยังพบว่าเทคนิคดังกล่าวได้ถูกนำไปใช้โดยกลุ่ม Hacker จำนวนมาก เช่น BlackByte, Earth Longzhi, Lazarus Group และ OldGremlin

ช่องโหว่ GoAnywhere MFT

CVE-2023-0669 เป็นช่องโหว่การเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกล (RCE) ที่ค้นพบใน GoAnywhere MFT managed file transfer application ของ Fortra โดยขณะนี้ ทาง Fortra ได้ปล่อยตัวอัปเดตเพื่อป้องกันช่องโหว่ดังกล่าวออกมาแล้ว จึงได้เตือนให้ผู้ดูแลระบบเร่งทำการอัปเดตโดยเร็ว

รวมไปถึง Huntress บริษัทผู้ให้บริการด้านความปลอดภัย ได้พบการนำช่องโหว่ CVE-2023-0669 ไปใช้ร่วมกับ TrueBot ซึ่งเป็นมัลแวร์บน Windows ที่มาจากกลุ่ม Silence และแชร์การเชื่อมต่อกับ Evil Corp ซึ่งมาจากกลุ่ม Hacker ชาวรัสเซียในชื่อ TA505

ที่มา : thehackernews

เมื่อวันอังคารที่ 25 ตุลาคมที่ผ่านมา ทาง VMware ได้ออกแพตซ์เพื่อแก้ไขช่องโหว่ของผลิตภัณฑ์ VMware Cloud Foundation ซึ่งถูกพบโดยนักวิจัยด้านความปลอดภัย Sina Kheirkah และ Stevenen Seeley จาก Source Incite

โดยช่องโหว่ดังกล่าวมีหมายเลข CVE-2021-29144 ซึ่งเป็นช่องโหว่เกี่ยวกับการเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกลโดยไม่ต้องผ่านการตรวจสอบสิทธิ ผ่านทาง XStream open source library และมี CVSS อยู่ที่ 9.8/10 และช่องโหว่หมายเลข CVE-2022-31678 ซึ่งเป็นช่องโหว่ XML Eternal Entity (XXE) ที่อาจถูกนำไปใช้ทำให้เกิดการปฎิเสธบริการ (DoS) หรือเปิดเผยข้อมูลที่ไม่ได้รับอนุญาต

แนวทางการแก้ไข

แนะนำให้ทำการอัปเดต Patch VMware Cloud Foundation เป็นเวอร์ชั่นที่ได้รับการแก้ไขล่าสุด
ในส่วนของลูกค้าที่ได้ทำการอัปเดตเป็น vCenter Server 8.0 ไปแล้ว จะต้องรอแพตซ์อัปเดตการแก้ไขดังกล่าวไปก่อน

วิธีลดผลกระทบเบื้องต้นหากยังไม่สามารถทำการแพตซ์ได้

ผู้ดูแลระบบเข้าสู่ระบบ SDDC manager บน VMware Cloud Foundation
เมื่อเข้าไปแล้ว ให้ใช้ Hot patch NSX สำหรับ vSphere (NSX-V) ที่จะอัปเกรด XStream เป็น เวอร์ชั่น 1.4.19 เพื่อปิดช่องทางการโจมตี
วิธีการแก้ไขนี้ ผู้ดูแลระบบจะต้องมาทำขั้นตอนเหล่านี้ทุกครั้งที่มีการสร้าง VI workload domain

Ref: https://thehackernews.