มีการปล่อยแพตซ์อัปเดตความปลอดภัยฉุกเฉินเพื่อแก้ไขช่องโหว่ของ .NET Framework ที่เพิ่งได้รับการเปิดเผยใหม่ ซึ่งมีหมายเลข CVE-2026-26127 (more…)

มีการตรวจพบแคมเปญโฆษณาแฝงมัลแวร์ที่ล่อลวงให้ผู้ใช้ติดตั้ง extension บน Chrome และ Edge ชื่อว่า "NexShield" โดยอ้างว่าเป็นตัวบล็อกโฆษณา แต่แท้จริงแล้ว extension นี้จงใจทำให้เบราว์เซอร์หยุดการทำงาน เพื่อปูทางไปสู่การโจมตีแบบ ClickFix

การโจมตีรูปแบบนี้ถูกตรวจพบเมื่อต้นเดือนที่ผ่านมา โดยแฮ็กเกอร์จะฉวยโอกาสปล่อยมัลแวร์ตัวใหม่ที่ชื่อว่า "ModeloRAT" ที่เขียนด้วย Python เข้าสู่เครื่องของเหยื่อ ซึ่งเป้าหมายหลักของแคมเปญนี้คือการโจมตีระบบในระดับองค์กร (more…)

พบช่องโหว่ระดับ Critical ใน PHP ที่อาจทำให้ผู้โจมตีสามารถโจมตีแบบ SQL Injection และ Denial of Service (DoS) ได้ (more…)

การวิจัยใหม่ได้ค้นพบช่องโหว่ด้านความปลอดภัยใน Tunneling Protocol หลายตัว ซึ่งอาจทำให้ผู้โจมตีสามารถทำการโจมตีได้หลากหลายรูปแบบ (more…)

Cisco ปล่อยแพตช์อัปเดตด้านความปลอดภัยเพื่อแก้ไขช่องโหว่ Denial-of-Service (DoS) ใน ClamAV ซึ่งปัจจุบันพบว่ามี Proof-of-Concept (PoC) exploit code ที่สามารถใช้ในการโจมตีได้ (more…)

Palo Alto Networks ออกแจ้งเตือนว่าพบ Hacker กำลังใช้ช่องโหว่ Denial of Service (DoS) CVE-2024-3393 เพื่อหยุดการทำงานของ Firewall โดยบังคับให้ Reboot (more…)

The Cybersecurity and Infrastructure Security Agency (CISA) แจ้งเตือนถึงช่องโหว่ใหม่ใน Rockwell Automation FactoryTalk ThinManager โดยการแจ้งเตือนมีหมายเลข ICSA-24-305-01 ซึ่งระบุถึงความเสี่ยงด้านความปลอดภัยที่ร้ายแรง ซึ่งอาจส่งผลกระทบกับผู้ใช้งานซอฟต์แวร์ โดยมีคะแนน CVSS v4 ที่ 9.3 โดยช่องโหว่เหล่านี้ทีมรักษาความปลอดภัยจำเป็นต้องให้ความสนใจ เพื่อป้องกันการโจมตีที่อาจเกิดขึ้นกับระบบควบคุมอุตสาหกรรม (more…)

Cisco ได้แก้ไขช่องโหว่การโจมตีแบบปฏิเสธการให้บริการ (Denial of Service หรือ DoS) ในซอฟต์แวร์ Cisco ASA และ Firepower Threat Defense (FTD) ซึ่งช่องโหว่นี้ถูกค้นพบระหว่างการโจมตีแบบ large-scale brute force ที่เกิดขึ้นกับอุปกรณ์ Cisco VPN ในเดือนเมษายน

ช่องโหว่นี้มีหมายเลข CVE-2024-20481 และส่งผลกระทบต่อ Cisco ASA และ Cisco FTD ทุกเวอร์ชันจนถึงซอฟต์แวร์เวอร์ชันล่าสุด

เอกสารคำแนะนำด้านความปลอดภัยสำหรับ CVE-2024-20481 ระบุว่าเป็นช่องโหว่ในบริการ Remote Access VPN (RAVPN) ของซอฟต์แวร์ Cisco Adaptive Security Appliance (ASA) และ Cisco Firepower Threat Defense (FTD) โดยเป็นช่องโหว่ที่อาจทำให้ผู้โจมตีจากภายนอกที่ไม่ได้ผ่านการยืนยันตัวตน สามารถทำให้บริการของ RAVPN ล่มจากการโจมตีแบบ Denial of Service (DoS) ได้

"ช่องโหว่นี้เกิดจากการที่ทรัพยากรถูกใช้จนหมด ซึ่งผู้โจมตีใช้ประโยชน์จากช่องโหว่นี้โดยการส่งคำขอการยืนยันตัวตนสำหรับ VPN จำนวนมากไปยังอุปกรณ์ที่ได้รับผลกระทบ และถ้าการโจมตีสำเร็จจะทำให้ทรัพยากรถูกใช้งานจนหมด ส่งผลให้บริการ RAVPN ของอุปกรณ์ที่ได้รับผลกระทบเกิดการปฏิเสธการให้บริการ (DoS)"

Cisco ระบุว่าเมื่อการโจมตีแบบ DDoS นี้ส่งผลกระทบต่ออุปกรณ์ อาจจำเป็นต้องทำการรีโหลดอุปกรณ์เพื่อให้บริการ RAVPN กลับมาทำงานอีกครั้ง

โดยทีม Cisco Product Security Incident Response Team (PSIRT) ระบุว่า พวกเขาทราบถึงการโจมตีช่องโหว่นี้ที่กำลังเกิดขึ้น แต่ช่องโหว่นี้ไม่ได้ถูกใช้เพื่อโจมตีอุปกรณ์ Cisco ASA ในลักษณะของการโจมตีแบบ DoS

โดยช่องโหว่นี้ถูกค้นพบจากการโจมตีแบบ large-scale brute-force ที่เกิดขึ้นในเดือนเมษายน โดยมีการโจมตีรหัสผ่านของบริการ VPN บนอุปกรณ์เครือข่ายจำนวนมาก เช่น

Cisco Secure Firewall VPN
Checkpoint VPN
Fortinet VPN
SonicWall VPN
RD Web Services
Miktrotik
Draytek
Ubiquiti

การโจมตีเหล่านี้ถูกออกแบบมาเพื่อรวบรวมข้อมูลการเข้าสู่ระบบ VPN สำหรับเครือข่ายองค์กร ซึ่งข้อมูลเหล่านี้สามารถนำไปขายใน dark web และอาจส่งให้กับกลุ่มแรนซัมแวร์เพื่อใช้ในการเข้าถึงเครือข่าย หรือใช้โจมตีระบบเพื่อขโมยข้อมูล

อย่างไรก็ตาม เนื่องจากมีการส่งคำขอการยืนยันตัวตนต่อเนื่องจำนวนมาก และรวดเร็วไปยังอุปกรณ์ ทำให้ทรัพยากรของอุปกรณ์ถูกใช้ไปจนหมดโดยที่ผู้โจมตีไม่ได้ตั้งใจดำเนินการ ส่งผลให้อุปกรณ์ Cisco ASA และ FTD เกิดเหตุการณ์ Denial of Service

ช่องโหว่นี้จัดอยู่ในประเภทช่องโหว่แบบ CWE-772 ซึ่งระบุไว้ว่าซอฟต์แวร์ไม่ได้ทำการปล่อยทรัพยากรที่มีการจัดการไว้อย่างเหมาะสมระหว่างการยืนยันตัวตนในรูปแบบ VPN ยกตัวอย่างเช่น หน่วยความจำ

Cisco ระบุว่าช่องโหว่นี้สามารถถูกโจมตีได้ก็ต่อเมื่อมีการเปิดใช้บริการ RAVPN เท่านั้น

ผู้ดูแลระบบสามารถตรวจสอบได้ว่ามีการเปิดใช้งาน SSL VPN บนอุปกรณ์หรือไม่ โดยใช้คำสั่งต่อไปนี้

หากไม่มีเอาต์พุตแสดงว่าบริการ RAVPN ไม่ได้เปิดใช้งาน

ช่องโหว่อื่น ๆ ของ Cisco

นอกจากนี้ Cisco ยังได้ออกคำแนะนำด้านความปลอดภัย 37 ฉบับ สำหรับช่องโหว่ 42 รายการในผลิตภัณฑ์ต่าง ๆ รวมทั้งช่องโหว่ความรุนแรงระดับ Critical 3 รายการที่ส่งผลต่อ Firepower Threat Defense (FTD), Secure Firewall Management Center (FMC) และ Adaptive Security Appliance (ASA)

ในขณะนี้ แม้ว่าจะยังไม่พบการโจมตีที่ใช้ประโยชน์จากช่องโหว่เหล่านี้ แต่ด้วยความสำคัญ และความรุนแรงของช่องโหว่ ผู้ดูแลระบบที่มีอุปกรณ์ที่ได้รับผลกระทบควรเร่งทำการอัปเดตแพตช์โดยเร็วที่สุด

สรุปช่องโหว่มีดังนี้

CVE-2024-20424 (คะแนน CVSS v3.1: 9.9): เป็นช่องโหว่ Command injection flaw ใน web-based management interface ของซอฟต์แวร์ Cisco FMC ซึ่งเกิดจากการตรวจสอบ HTTP request ที่ไม่ถูกต้อง โดยช่องโหว่นี้จะอนุญาตให้ผู้โจมตีจากภายนอกที่ผ่านการยืนยันตัวตนได้รับสิทธิ์ในระดับ Security Analyst ซึ่งสามารถเรียกใช้คำสั่งบนระบบปฏิบัติการด้วยสิทธิ์ root ได้ตามต้องการ

CVE-2024-20329 (คะแนน CVSS v3.1: 9.9) : เป็นช่องโหว่ Remote command injection ใน Cisco ASA ซึ่งเกิดจากการตรวจสอบอินพุตของผู้ใช้ที่ไม่สมบูรณ์ในส่วนของคำสั่ง CLI แบบระยะไกลผ่าน SSH โดยช่องโหว่นี้ทำให้ผู้โจมตีจากภายนอกที่ผ่านการยืนยันตัวตนสามารถเรียกใช้คำสั่งบนระบบปฏิบัติการด้วยสิทธิ์ root ได้

CVE-2024-20412 (คะแนน CVSS v3.1: 9.3) : เป็นช่องโหว่ Static credentials ในอุปกรณ์ Firepower รุ่น 1000, 2100, 3100 และ 4200 ซึ่งอนุญาตให้ผู้โจมตีจากภายในเข้าถึงข้อมูลสำคัญ และแก้ไขการตั้งค่าได้อย่างไม่จำกัด

CVE-2024-20424 เป็นช่องโหว่ที่ส่งผลกระทบต่อผลิตภัณฑ์ของ Cisco ที่ใช้งาน FMC เวอร์ชันที่มีช่องโหว่ โดยไม่คำนึงถึงการกำหนดค่าอุปกรณ์ และ Cisco ยังไม่ได้ให้วิธีแก้ไขสำหรับช่องโหว่นี้

CVE-2024-20329 เป็นช่องโหว่ที่ส่งผลกระทบต่อเวอร์ชันของ ASA ที่มีการเปิดใช้ CiscoSSH stack และมีการอนุญาตให้เข้าถึง SSH ในส่วนของอินเทอร์เฟซอย่างน้อยหนึ่งรายการ

แนวทางแก้ปัญหาสำหรับช่องโหว่นี้คือการปิดการใช้งาน CiscoSSH stack โดยใช้คำสั่ง: no ssh stack ciscossh วิธีนี้จะตัดการเชื่อมต่อ SSH ที่กำลังใช้งาน และต้องบันทึกการเปลี่ยนแปลงเพื่อให้การตั้งค่ายังคงอยู่หลังการรีบูต

CVE-2024-20412 เป็นช่องโหว่ที่ส่งผลกระทบต่อซอฟต์แวร์ FTD ตั้งแต่เวอร์ชัน 7.1 ถึง 7.4 และ VDB release 387 หรือเวอร์ชันก่อนหน้านั้น ของอุปกรณ์ Firepower รุ่น 1000, 2100, 3100 และ 4200

Cisco ระบุว่ามีวิธีแก้ไขชั่วคราวสำหรับช่องโหว่นี้ โดยให้ทำการติดต่อศูนย์ Technical Assistance Center (TAC)

สำหรับช่องโหว่ CVE-2024-20412 Cisco ได้รวม signs of exploitation ไว้ในคำแนะนำเพื่อช่วยให้ผู้ดูแลระบบตรวจจับกิจกรรมที่เป็นอันตรายได้

แนะนำให้ใช้คำสั่งนี้เพื่อตรวจสอบการใช้ข้อมูลแบบ static credentials

หากมีการพยายามเข้าสู่ระบบสำเร็จ อาจเป็นสัญญาณของการถูกโจมตี และหากไม่มีผลลัพธ์ใดถูกส่งกลับมาแสดงว่าข้อมูล credentials ไม่ได้ถูกใช้ในช่วงเวลาการเก็บ Logs

ไม่มีคำแนะนำในการตรวจจับการโจมตีสำหรับ CVE-2024-20424 และ CVE-2024-20329 แต่การตรวจสอบ Logs สำหรับเหตุการณ์ที่ผิดปกติ หรือไม่ปกติเป็นวิธีที่ดีในการค้นหาพฤติกรรมที่น่าสงสัยเสมอ

ทั้งนี้ การอัปเดตของช่องโหว่ทั้งสามรายการสามารถดาวน์โหลดได้ผ่านเครื่องมือ Cisco Software Checker

ที่มา : bleepingcomputer

นักวิจัยของ Cyble ได้ระบุช่องโหว่ในผลิตภัณฑ์สามรายการที่ใช้ในโครงสร้างพื้นฐานที่สำคัญ ซึ่งควรได้รับความสนใจอย่างเร่งด่วนจากทีมรักษาความปลอดภัย (more…)

มีการค้นพบการโจมตีแบบใหม่ของ Denial-of-Service (DoS) ที่กําหนดเป้าหมายไปที่โปรโตคอล UDP ในระดับ application-layer ซึ่งมีแนวโน้มที่จะส่งผลให้ Host หลายแสนระบบตกอยู่ในความเสี่ยง

(more…)