Exploit code สำหรับการโจมตีช่องโหว่ระดับความรุนแรงสูงสุด (CVE-2024-3400, CVSSv3: 10.0) ใน PAN-OS ไฟร์วอลล์ของ Palo Alto Networks ถูกปล่อยออกสู่สาธารณะเรียบร้อยแล้ว

โดยช่องโหว่นี้สามารถทำให้ผู้โจมตีที่ไม่จำเป็นต้องผ่านการยืนยันตัวตน สามารถใช้ประโยชน์จากช่องโหว่เพื่อเรียกใช้โค้ดที่เป็นอันตรายด้วยสิทธิ์ root ผ่าน command injection บนไฟร์วอลล์ PAN-OS 10.2, PAN-OS 11.0 และ PAN-OS 11.1 ที่มีช่องโหว่ หากอุปกรณ์ดังกล่าวเปิดใช้งาน telemetry และ GlobalProtect (เกตเวย์ หรือพอร์ทัล) (more…)

Fortinet ประกาศแจ้งเตือนการพบการโจมตีโดยการใช้ช่องโหว่ใน FortiOS ภายหลังจากที่พึ่งมีการออกแพตซ์อัปเดตเพื่อแก้ไขช่องโหว่ไปในช่วงต้นเดือนที่ผ่านมา โดยผู้โจมตีมีเป้าหมายการโจมตีไปยังหน่วยงานรัฐบาล และองค์กรขนาดใหญ่ ทำให้อาจส่งผลกระทบต่อระบบปฏิบัติการ ไฟล์ และข้อมูลเสียหายได้ (more…)

เมื่อวันที่ 15 ตุลาคม 2022 ที่ผ่านมา Palo Alto Networks ออกแพตช์ความปลอดภัยเพื่อแก้ไขช่องโหว่ authentication bypass ที่มีระดับความรุนแรงสูง หมายเลข CVE-2022-0030 (คะแนน CVSS 8.1)

โดยช่องโหว่ดังกล่าวจะส่งผลกระทบต่อ PAN-OS 8.1 web interface ของ Palo Alto Networks ซึ่งทำให้ผู้โจมตีที่มีความเข้าใจเกี่ยวกับ Firewall หรือ Panorama เป็นอย่างดีสามารถใช้สิทธิ์ในฐานะผู้ดูแลระบบ และดำเนินการต่าง ๆ ด้วยสิทธิ์ของผู้ดูแลระบบได้

รายการเวอร์ชันที่ได้รับผลกระทบ :

โดยช่องโหว่ดังกล่าวได้รับการแก้ไขไปแล้วใน PAN-OS 8.1.24 และเวอร์ชันที่ใหม่กว่า โดย Palo Alto ระบุว่า PAN-OS 8.1 end-of-life (EOL) และจะได้รับการสนับสนุนต่อเฉพาะในรุ่น PA-200, PA-500 และ PA-5000 Series และอุปกรณ์ M-100 จนกว่าจะถึงสถานะ EOL เช่นกัน

โดยก่อนหน้านี้ Palo Alto และ Aruba พึ่งอัปเดตแพตซ์ช่องโหว่หมายเลข CVE-2022-37913 และ CVE-2022-37914 ซึ่งทำให้ผู้โจมตีที่ไม่ผ่านการตรวจสอบสิทธิ์ สามารถเข้าถึงสิทธิ์ผู้ดูแลระบบบนระบบเป้าหมายซึ่งถูกเผยแพร่เมื่อวันที่ 11 ตุลาคมที่ผ่านมา และช่องโหว่หมายเลข CVE-2022-37915 ระดับ Critical บน orchestrator product ของ Aruba

ที่มา: securityaffairs

ทีม Intelligent Response ได้ทำการวิเคราะห์และอธิบายรายละเอียดของช่องโหว่ NAT Slipstreaming ไว้แล้ว ผู้ที่สนใจสามารถอ่านเพิ่มเติมได้ที่ i-secure

นักวิจัยด้านความปลอดภัยจาก Armis ได้มีการเปิดเผยแนวทางการโจมตีใหม่สำหรับช่องโหว่ NAT Slipstreaming ภายใต้ชื่อ NAT Slipstreaming 2.0 โดยผลลัพธ์การโจมตีจากวิธีการใหม่นั้นจะทำให้ผู้โจมตีสามารถเข้าถึงทุกอุปกรณ์ซึ่งอยู่ในเครือข่ายภายในได้ (หลังอุปกรณ์ไฟร์วอลล์) จากเดิมที่สามารถเข้าถึงได้จากอุปกรณ์เดียวเมื่อโจมตีโดยใช้เทคนิคการโจมตีแบบดั้งเดิม

ในเทคนิค NAT Slipstreaming 2.0 นั้น การโจมตีจะพุ่งเป้าไปที่ H.323 ALG แทน ALG ทั่วไปซึ่งจะทำให้ผู้โจมตีสามารถสร้างช่องทางเพื่อทะลุผ่านอุปกรณ์ NAT และไฟร์วอลล์ไปยังอุปกรณ์ใด ๆ ที่อยู่ในเครือข่ายภายในได้ เพียงแค่เป้าหมายมีการเข้าถึงเว็บไซต์ที่ผู้โจมตีส่งให้ การโจมตีใน NAT Slipstreaming 2.0 ยังมีการใช้โปรโตคอล WebRTC TURN ผ่านโปรโตคอล TCP ไปยังพอร์ตใด ๆ ที่ผู้โจมตีต้องการ โดยการใช้ WebRTC TURN ช่วยบายพาสลอจิคการตรวจสอบพอร์ตของโปรแกรมเว็บเบราว์เซอร์ซึ่งมีการตั้งค่ามาเพื่อป้องกัน NAT Slipstreaming รุ่นแรกอีกด้วย

ทาง Armis ได้เปิดเผยผลกระทบของ NAT Slipstreaming 2.0 ที่มีต่ออุปกรณ์เครือข่าย โดยจากการทดสอบนั้นระบบและอุปกรณ์ที่ได้รับผลกระทบได้แก่ OpenWRT, VyOS, บางรุ่นของ Fortigate, Cisco, HPE และ Sonicwall (ดูรุ่นของอุปกรณ์ที่ได้รับผลกระทบจากงานวิจัย)

ในขณะเดียวกัน Google ได้มีการประกาศเพิ่มพอร์ตที่ถูกบล็อคเพิ่มเติมให้ไม่สามารถใช้งาน HTTP/HTTPS/FTP ผ่านทางพอร์ตเหล่านี้เพื่อป้องกันการโจมตี โดยพอร์ตที่จะถูกบล็อคล่าสุดได้แก่ 69, 137, 161, 1719, 1723, 6566, และ 10080

รายละเอียดของเทคนิค NAT Slipstreaming 2.0 สามารถอ่านเพิ่มเติมได้ที่ armis

ที่มา: zdnet

 

Cisco ออกเเพตซ์เเก้ไขช่องโหว่ 34 รายการในซอฟต์แวร์ Cisco IOS และ Cisco IOS XE

Cisco ได้เปิดตัวแพตช์ความปลอดภัยสำหรับช่องโหว่ที่มีความรุนแรงสูง 34 รายการ ซึ่งช่องโหว่จะส่งผลกระทบต่อซอฟต์แวร์ Cisco IOS และ Cisco IOS XE ที่อยู่ในผลิตภัณฑ์ Firewall, Wireless Access Point, Switch ของ Cisco โดยช่องโหว่ที่มีสำคัญมีรายละเอียดดังนี้

CVE-2020-3141 และ CVE-2020-3425 (CVSS: 8.8/10) เป็นช่องโหว่ประเภท Privilege Escalation ช่องโหว่อาจทำให้ผู้โจมตีจากระยะไกลที่ได้รับการรับรองความถูกต้องและมีสิทธิ์แบบ read-only สามารถยกระดับสิทธิ์ขึ้นเป็นระดับผู้ใช้ผู้ดูแลระบบบนอุปกรณ์ที่ได้รับผลกระทบ
CVE-2020-3400 (CVSS: 8.8/10) ช่องโหว่อาจทำให้ผู้โจมตีจากระยะไกลที่ได้รับการพิสูจน์ตัวคนใช้ประโยชน์จากส่วนต่างๆ ของ Web UI โดยไม่ได้รับอนุญาต โดยผู้โจมตีสามารถใช้ประโยชน์จากการส่ง HTTP request ที่ถูกสร้างมาเป็นพิเศษไปยัง Web UI เมื่อการใช้ช่องโหว่ประสบความสำเร็จผู้โจมตีสามารถดำเนินการบน Web UI ได้เช่นเดียวกับผู้ดูแลระบบ
CVE-2020-3421 และ CVE-2020-3480 (CVSS: 8.6/10) ช่องโหว่อาจทำให้ผู้โจมตีจากระยะไกลที่ไม่ได้รับการตรวจสอบสิทธิ์ทำให้อุปกรณ์รีโหลดข้อมูลหรือหยุดส่งการรับส่งข้อมูลผ่านไฟร์วอลล์ ซึ่งอาจจะทำให้เกิดการปฏิเสธการให้บริการ (DoS) บนอุปกรณ์
Cisco ได้ออกคำเเนะนำให้ผู้ดูแลระบบทำการอัปเดตเเพตซ์ความปลอดภัยให้เป็นเวอร์ชันล่าสุดเพื่อเป็นการป้องกันผู้ประสงค์ร้ายใช้ประโยชน์จากช่องโหว่ทำการโจมตีระบบ ทั้งนี้ผู้ที่สนใจรายละเอียดการอัปเดตเเพตซ์เพิ่มเติมสามารถดูได้จากเเหล่งที่มา

ที่มา: tools.