French Computer Emergency Response Team (CERT-FR) ผู้ดูแลระบบของผู้ให้บริการโฮสติ้ง ได้ออกมาแจ้งเตือนการพบแคมเปญการโจมตีของแรนซัมแวร์ที่มุ่งเป้าการโจมตีไปยัง VMware ESXi server ที่ยังไม่ได้อัปเดตแพตซ์ด้านความปลอดภัย โดยใช้ช่องโหว่ CVE-2021-21974 ทำให้สามารถเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกล เพื่อติดตั้งแรนซัมแวร์ลงยังเครื่องเป้าหมายได้

CVE-2021-21974 เป็นช่องโหว่ที่เกิดจาก heap overflow ใน OpenSLP service ทำให้สามารถหลีกเลี่ยงการตรวจสอบสิทธิ และเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกล Remote Code Execution (RCE) ซึ่งก่อนหน้านี้มีแพตซ์อัปเดตออกมาแล้วตั้งแต่ 23 กุมภาพันธ์ 2021

ช่องโหว่ CVE-2021-21974 ส่งผลกระทบต่อ ESXi version ดังนี้

ESXi versions x prior to ESXi70U1c-17325551
ESXi versions 7.x prior to ESXi670-202102401-SG
ESXi versions 5.x prior to ESXi650-202102101-SG

รวมถึงจากการค้นหาของ Shodan แหล่งข้อมูลด้านความปลอดภัย พบว่าเซิร์ฟเวอร์ VMware ESXi กว่า 120 เครื่องทั่วโลกอาจถูกโจมตีจากแคมเปญแรนซัมแวร์ตัวนี้แล้ว

การค้นพบ ESXiArgs ransomware

ในระหว่างที่พบแคมเปญแรนซัมแวร์ที่มุ่งเป้าการโจมตีไปยัง VMware ESXi server ทาง BleepingComputer ระบุว่า มีผู้ใช้งานเว็บไซต์ได้ตั้งกระทู้เรื่องของการถูกโจมตีโดย ESXiArgs ransomware ในฟอรัมของ BleepingComputer รวมถึงขอความช่วยเหลือ และข้อมูลเพิ่มเติมเกี่ยวกับวิธีการกู้คืนข้อมูล

จากข้อมูลพบว่า แรนซั่มแวร์จะเข้ารหัสข้อมูลไฟล์ด้วยนามสกุล .vmxf, .vmx, .vmdk, .vmsd และ .nvram บนเซิร์ฟเวอร์ ESXi ที่ถูกโจมตี และสร้างไฟล์ .args สำหรับเอกสารที่เข้ารหัสแต่ละรายการ (ซึ่งอาจเอาไว้ในการถอดรหัส) รวมถึงยังทิ้งบันทึกเรียกค่าไถ่ชื่อ "ransom.

Google ประกาศ Chrome เวอร์ชัน 88.0.4324.150 ซึ่งมีการเปลี่ยนแปลงสำคัญคือการแพตช์ช่องโหว่ CVE-2021-21148 ซึ่งเป็นช่องโหว่ Heap overflow ในเอนจินจาวาสคริปต์ V8 ช่องโหว่ CVE-2021-21148 ถูกระบุว่าอาจมีความเกี่ยวข้องกับแคมเปญของกลุ่ม APT สัญชาติเกาหลีเหนือซึ่งใช้ช่องโหว่นี้ในการหลอกล่อผู้เชี่ยวชาญด้านความปลอดภัยในแคมเปญการโจมตีที่พึ่งถูกเปิดเผยเมื่อปลายเดือนมกราคมที่ผ่านมา

อ้างอิงจากไทม์ไลน์ของช่องโหว่ ช่องโหว่ CVE-2021-21148 ถูกแจ้งโดย Mattias Buelens ในวันที่ 24 มกราคม สองวันหลังจากนั้นทีมความปลอดภัย Google ประกาศการค้นพบแคมเปญโจมตีของเกาหลีเหนือซึ่งมีการใช้ช่องโหว่ที่คาดว่าเป็นช่องโหว่ตัวเดียวกัน

เนื่องจากช่องโหว่มีการถูกใช้เพื่อโจมตีจริงแล้ว ขอให้ผู้ใช้งานทำการตรวจสอบว่า Google Chrome ได้มีการอัปเดตโดยอัตโนมัติว่าเป็นเวอร์ชันล่าสุดแล้วหรือไม่ และให้ทำการอัปเดตโดยทันทีหากยังมีการใช้งานรุ่นเก่าอยู่

ที่มา:

zdnet.

Adobe ออกอัปเดตแพตช์ประจำเดือนกุมภาพันธ์ 2020

Adobe ออกอัปเดตแพตช์ประจำเดือนกุมภาพันธ์เพื่อแก้ไข 42 ช่องโหว่ใน 5 ผลิตภัณฑ์ ได้แก่ Framemaker, Acrobat รวมถึง Reader, Flash Player, Digital Editions และ Experience Manager

ช่องโหว่ใน Framemaker ส่วนใหญ่ถูกจัดอยู่ในความรุนแรงระดับ Critical และมีผลกระทบกับ Framemaker บนระบบปฏิบัติการ Windows โดยช่องโหว่ที่พบคือ buffer overflow, heap overflow, out-of-bounds write, และ memory corrupt flaws ส่งผลให้ผู้โจมตีสามารถรันคำสั่งที่เป็นอันตรายด้วยสิทธิของผู้ใช้งานปัจจุบันได้

นอกจากนี้ทาง Adobe ยังกล่าวถึงช่องโหว่อีก 17 ช่องโหว่ของผลิตภัณฑ์ Acrobat รวมถึง Reader ในระบบปฏิบัติการ Windows และ MasOs ซึ่งเป็นช่องโหว่ที่มีความรุนแรงระดับ Critical 2 ช่องโหว่ ได้แก่ช่องโหว่ memory corruption ที่ส่งผลให้ผู้โจมตีสามารถรันคำสั่งที่เป็นอันตรายบนอุปกรณ์ที่มีช่องโหว่ และช่องโหว่ privilege escalation bugs ที่อนุญาตให้ผู้โจมตีสามารถเขียนไฟล์ที่เป็นอันตรายไปยังระบบได้ ในส่วนของข้อบกพร่องที่เหลืออยู่ใน Acrobat and Reader ถูกจัดลำดับความรุนแรงในระดับปานกลางได้แก่ช่องโหว่ memory leaks และช่องโหว่ information disclosure ข้อบกพร่องถูกรายงานไปยัง Adobe โดยผู้เชี่ยวชาญอิสระและนักวิจัยจาก Qihoo 360, Tencent, Renmin University of China, Cisco Talos, the Chinese Academy of Sciences, Baidu, และ McAfee

นอกจากนี้ทาง Adobe ยังเปิดเผยถึงช่องโหว่ arbitrary code execution ใน Flash Player ซึ่งหากผู้โจมตีสามารถรันคำสั่งแปลกปลอมด้วยสิทธิของผู้ใช้งานปัจจุบัน รวมถึงช่องโหว่ใน Digital Editions ได้แก่ ช่องโหว่ command injection bug, information disclosure และช่องโหว่ denial-of-service (DoS) ที่ส่งผลกระทบกับ Adobe Experience Manager เวอร์ชั่น 6.5 และ 6.4

โดยทาง Adobe ยื่นยันว่ายังไม่พบการโจมตีผ่านช่องโหว่ทั้งหมดนี้เกิดขึ้น

ที่มา : securityaffairs

ไมโครซอฟต์แจ้งเตือนช่องโหว่ระดับวิกฤติ รันโค้ดอันตรายจากระยะไกลผ่าน Windows DNS Server

ไมโครซอฟต์ออกประกาศแจ้งเตือนช่องโหว่ระดับวิกฤติสองรายการเมื่อช่วงสัปดาห์ที่ผานมา โดยช่องโหว่หนึ่งที่มีการประกาศออกมานั้นมีผลลัพธ์ร้ายแรงที่สุดทำให้ผู้โจมตีสามารถรันโค้ดที่เป็นอันตราย (Remote Code Execution - RCE) เพื่อโจมตีระบบจากระยะไกลได้ผ่านช่องโหว่ของฟีเจอร์ DNS

ช่องโหว่แรกรหัส CVE-2018-8611 นั้นเป็นช่องโหว่ยกระดับสิทธิ์ในวินโดวส์เคอร์เนลซึ่งทำให้ผู้โจมตีสามารถยกระดับสิทธิ์เป็นสิทธิ์ของระบบได้ ส่วนช่องโหว่ที่สองรหัส CVE-2018-8626 นั้นเป็นช่องโหว่ heap overflow ในฟีเจอร์ Windows DNS ซึ่งทำให้ผู้โจมตีรันโค้ดที่เป็นอันตรายได้จากระยะไกลด้วยสิทธิ์ของระบบเช่นเดียวกัน

Recommendation
ทั้งสองช่องโหว่ได้มีการประกาศแพตช์ด้านความปลอดภัยเฉพาะกิจออกมาแล้ว ขอให้ผู้ใช้งานทำการอัปเดตระบบปฏิบัติการเพื่อรับแพตช์ด้านความปลอดภัยใหม่โดยด่วน

Affected Platform
Windows 10, Windows Server 2012, Windows Server 2012 R2, Windows Server 2016, Windows Server 2019

ที่มา : darkreading