บริษัทด้านความปลอดภัยทางไซเบอร์ Sophos ประกาศแจ้งเตือนเมื่อวันจันทร์ที่ 28 มีนาคมที่ผ่านมาว่าตรวจพบช่องโหว่ด้านความปลอดภัยที่เพิ่งได้รับการแก้ไขในผลิตภัณฑ์ firewall ของตน กำลังถูกใช้ในการโจมตีอยู่ในปัจจุบัน

ช่องโหว่ CVE-2022-1040 ที่ได้รับ CVSS 9.8 ส่งผลกระทบต่อ Sophos Firewall เวอร์ชัน 18.5 MR3 (18.5.3) และเวอร์ชันที่เก่ากว่า ผลกระทบจากช่องโหว่ดังกล่าวทำให้ผู้โจมตีสามารถ bypass การตรวจสอบการ authentication บน User Portal และ Webadmin interfaces ได้ ซึ่งหากโจมตีสำเร็จจะทำให้ผู้โจมตีสามารถสั่งรันโค้ดที่เป็นอันตรายได้

"Sophos พบว่าช่องโหว่เริ่มมีการถูกใช้ในการโจมตีไปยังองค์กรจำนวนหนึ่งในภูมิภาคเอเชียใต้ ซึ่งทาง Sophos ได้มีการแจ้งเตือนไปยังองค์กรเหล่านั้นโดยตรงแล้ว"

Sophos ระบุว่าช่องโหว่นี้ได้รับการแก้ไขด้วย hotfix ซึ่งจะติดตั้งอัตโนมัติสำหรับลูกค้าที่เปิดใช้งาน "Allow automatic installation of hotfixes" และเพื่อเป็นการแก้ปัญหาชั่วคราวสำหรับผู้ที่ยังไม่สามารถอัพเดทได้ Sophos แนะนำให้ผู้ใช้งานปิดการเข้าหน้า User Portal และ Webadmin interfaces จากภายนอกไปก่อน

นอกจากนี้ Sophos ได้แจ้งเวอร์ชันที่ end-of-life แล้ว ซึ่งจะไม่มีการ support การอัพเดทแพตซ์ เช่น 17.5 MR12 , MR15, 18.0 MR3 และ MR4 และ 18.5 GA จึงแนะนำให้ผู้ใช้งานรีบอัพเกรดเป็นเวอร์ชันใหม่เพื่อป้องกันผลกระทบที่อาจจะเกิดขึ้น

ที่มา : thehackernews

เมื่อต้นเดือนมิถุนายนที่ผ่านมา ชไนเดอร์ อิเล็คทริค ซัพพลายเออร์ระดับโลกด้านการจัดหาโซลูชันดิจิทัลด้านพลังงาน และระบบอัตโนมัติ ได้เผยแพร่คำแนะนำด้านความปลอดภัยสำหรับลูกค้าที่ระบุถึงการค้นพบช่องโหว่ 6 รายการใน PowerLogic EGX100 และ EGX300 communication gateways ทำให้แฮกเกอร์สามารถใช้ประโยชน์จากช่องโหว่เหล่านี้เพื่อเข้าถึงอุปกรณ์ ทำการโจมตี Denial-of-Service (DoS) และ Remote Code Execution ได้

นักวิจัยด้านความปลอดภัยได้ระดับความรุนเเรงของช่องโหว่ 5 รายการอยู่ในระดับที่มีความรุนแรงสูง ซึ่งแฮกเกอร์สามารถใช้ประโยชน์จากการโจมตี DoS หรือการเรียกใช้โค้ดอันตรายจากระยะไกลโดยใช้ HTTP requests ที่ถูกสร้างขึ้นมาโดยเฉพาะ
ช่องโหว่รายการที่ 6 เกี่ยวข้องกับกลไกการกู้คืนรหัสผ่านและสามารถนำไปใช้เพื่อเข้าถึงอุปกรณ์ด้วยสิทธิ์ของผู้ดูแลระบบได้

Jake Baines นักวิเคราะห์ช่องโหว่ของอุปกรณ์ควบคุมทางด้านอุตสาหกรรม ของบริษัทรักษาความปลอดภัยทางไซเบอร์ผู้เชี่ยวชาญทางด้านอุตสาหกรรม Dragos ได้พูดถึงช่องโหว่ดังกล่าวข้างต้นซึ่งถูก Assigned ด้วยรหัสช่องโหว่เลขที่ CVE-2021-22763 ถึง CVE-2021-22768
ซึ่งเป็นช่องโหว่ที่ถูกพบในอุปกรณ์ EGX แต่ทางบริษัทชไนเดอร์ได้พบว่าในช่องโหว่จำนวนนี้ มี 2 ช่องโหว่ที่ยังส่งผลกระทบต่ออุปกรณ์วัดค่าพลังงาน PowerLogic PM55xx ด้วย เนื่องจากมีการใช้ Code ของ Program ร่วมกัน โดยอุปกรณ์ที่ได้รับผลกระทบเป็นส่วนหนึ่งของระบบตรวจสอบและควบคุมกำลังไฟฟ้าของบริษัท แต่หมดอายุการใช้งานแล้ว(End Of Life)

ตัวอย่างเช่นช่องโหว่ CVE-2021-22763 ซึ่งทำให้เกิด backdoor account ด้วยสิทธิ์ผู้ดูแลระบบ สามารถเข้าถึง และควบคุมเว็บเซิร์ฟเวอร์ของอุปกรณ์ ซึ่งก็จะทำให้ผู้โจมตีสามารถเข้าถึงเซิร์ฟเวอร์ ทราบ MAC Address ของอุปกรณ์นั้นๆ และเป็นที่มาของการเข้าควบคุมอุปกรณ์นั้นๆได้อย่างเต็มรูปแบบ และสามารถ Block การเชื่อมต่อจากอุปกรณ์อื่นๆที่มีการเชื่อมต่อโดยตรงกับอุปกรณ์นั้นๆได้อีกด้วย ส่วนในทำนองเดียวกัน CVE-2021-22764 ทำให้ผู้โจมตีจากระยะไกลที่ไม่ได้รับการตรวจสอบสิทธิ์สามารถส่ง HTTP requests ซึ่งจะทำให้อุปกรณ์สามารถ Block การเชื่อมต่อจากอุปกรณ์อื่นๆที่มีการเชื่อมต่อโดยตรงกับอุปกรณ์นั้นๆได้เช่นเดียวกัน

ส่วนช่องโหว่ที่ได้ระดับความรุนแรงถึง 9.8 คือช่องโหว่ stack-based buffer overflows ทำให้ผู้โจมตีจากระยะไกลที่ไม่ได้รับการตรวจสอบสิทธิ์สามารถรันโค้ดคำสั่งที่เป็นอันตรายบนอุปกรณ์ได้ ความสามารถในการรันโค้ดบนอุปกรณ์นั้นน่าสนใจเพราะจะทำให้สามารถเปลี่ยนการเชื่อมต่อระหว่าง serial device และระบบ monitoring/control

อุปกรณ์ PowerLogic EGX100 และ EGX300 ได้สิ้นสุดการซับพอต (End Of Life) ไปแล้ว ผู้ใช้สามารถเปลี่ยนผลิตภัณฑ์หรือ mitigations ตามคำแนะนำของบริษัทเพื่อลดความเสี่ยงในการถูกโจมตี

ที่มา : ehackingnews

ช่องโหว่ถูกพบในซอฟต์แวร์ SD-WAN vManage (CVE-2021-1479) เวอร์ชั่น 20.4 และก่อนหน้านั้น เป็น pre-authentication นั่นหมายความว่าสามารถรันคำสั่งอันตราย (RCE) ได้โดยไม่จำเป็นที่จะต้องพิสูจน์ตัวตนก่อน มีความรุนแรงระดับสูงมาก (9.8/10) สามารถโจมตีได้ด้วยการส่ง request ที่ถูกดัดแปลงไปยังอุปกรณ์ที่มีช่องโหว่จากระยะไกล ทำให้เกิด buffer overflow นอกจากนี้ยังมีการแก้ไขช่องโหว่ความรุนแรงสูงอื่นๆ อีก 2 รายการ คือ CVE-2021-1137 ในส่วนของ user management และ CVE-2021-1480 ในส่วนของ system file transfer ส่งผลให้ผู้โจมตีสามารถยกระดับสิทธิ์เป็น root ได้ การแพทช์สามารถทำได้ด้วยการอัพเดตเป็นเวอร์ชั่นล่าสุด ได้แก่ 19.2 ไปเป็น 19.2.4, 20.3 ไปเป็น 20.3.3, 20.4 ไปเป็น 20.4.1 และเวอร์ชั่นอื่นๆ ก่อนหน้า อาทิเช่น 18.4 และก่อนหน้า, 19.3 และ 20.1 ให้อัพเดตเป็นเวอร์ชั่นอื่นที่ใหม่กว่านั้น จากนั้นจึงค่อยทำการอัพเดตเป็นเวอร์ชั่นล่าสุด

นอกเหนือจากนี้ยังการเปิดเผยช่องโหว่อื่นๆ อาทิเช่น CVE-2021-1459 ช่องโหว่ RCE ในส่วน interface ของเว็ปเพจสำหรับอุปกรณ์ Cisco Small Business RV110W, RV130, RV130W และ RV215W router ซึ่งช่องโหว่นี้จะไม่ได้รับการแก้ไขแล้ว เนื่องจากอุปกรณ์เป็น end-of-life ไปแล้ว และมีการแก้ไขช่องโหว่ RCE แบบไม่ต้องพิสูจน์ตัวตนในซอฟต์แวร์ของผลิตภัณฑ์ Cisco SD-WAN (CVE-2021-1300) ที่ถูกพบในเดือนมกราคมที่ผ่านมา รวมถึงช่องโหว่ของ SD-WAN อื่นๆ อีก 2 รายการที่ถูกพบเมื่อเดือนกรกฎาคมปีที่แล้ว

ที่มา: bleepingcomputer