CISA เพิ่มช่องโหว่ใหม่ 7 ช่องโหว่เข้าในรายการช่องโหว่ที่ต้องรีบดำเนินการแก้ไข

สำนักงานความมั่นคงปลอดภัยทางไซเบอร์ และโครงสร้างพื้นฐานของสหรัฐอเมริกา (CISA) ได้เพิ่มช่องโหว่ด้านความปลอดภัยของระบบ SAP เข้าสู่ Known Exploited Vulnerabilities Catalog โดยอิงจากหลักฐานที่เริ่มพบเหตุการณ์การโจมตีเกิดขึ้นในปัจจุบัน

ช่องโหว่ดังกล่าวมีหมายเลข CVE-2022-22536 ซึ่งมี CVSS สูงสุดที่ 10.0 และได้รับการแก้ไขไปแล้วจากทาง SAP ในช่วงของการอัปเดต Patch Tuesday ในเดือนกุมภาพันธ์ 2022

โดยเป็นช่องโหว่ HTTP request smuggling และส่งผลกระทบต่อ SAP เวอร์ชันต่อไปนี้

SAP Web Dispatcher (Versions - 7.49, 7.53, 7.77, 7.81, 7.85, 7.22EXT, 7.86, 7.87)
SAP Content Server (Version - 7.53)
SAP NetWeaver and ABAP Platform (Versions - KERNEL 7.22, 8.04, 7.49, 7.53, 7.77, 7.81, 7.85, 7.86, 7.87, KRNL64UC 8.04, 7.22, 7.22EXT, 7.49, 7.53, KRNL64NUC 7.22, 7.22EXT, 7.49)

ผู้โจมตีที่ไม่ผ่านการตรวจสอบสิทธิ์สามารถเพิ่มข้อมูลใน request ของเหยื่อด้วยข้อมูลที่ถูกสร้างขึ้น เพื่อให้สามารถเรียกใช้งานฟังก์ชัน หรือฝังข้อมูลที่เป็นอันตรายไว้กับเว็บแคชได้" CISA กล่าวในการแจ้งเตือน

"ด้วย HTTP request ธรรมดา ไม่ต่างจาก request ปกติอื่นๆ ก็เพียงพอที่ทำให้สามารถโจมตีได้สำเร็จ” Onapsis ซึ่งเป็นผู้ค้นพบช่องโหว่ระบุในรายงาน

“ด้วยเหตุนี้จึงทำให้ผู้โจมตีสามารถใช้ประโยชน์จากมันได้ง่ายมาก และเป็นเรื่องที่ท้าทายสำหรับเทคโนโลยีด้านความปลอดภัย เช่น firewalls หรือ IDS/IPS ที่จะตรวจสอบ เนื่องจากมันดูไม่เหมือนเป็นเพย์โหลดที่น่าจะเป็นอันตราย"

นอกเหนือจากช่องโหว่ของ SAP แล้ว CISA ยังได้เพิ่มช่องโหว่ใหม่ที่ถูกเปิดเผยโดย Apple (CVE-2022-32893 และ CVE-2022-32894) และ Google (CVE-2022-2856) ในสัปดาห์นี้ รวมทั้งช่องโหว่ที่เกี่ยวข้องกับ Microsoft ก่อนหน้านี้ (CVE-2022-21971 และ CVE-2022-26923) และช่องโหว่การเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกลใน Palo Alto Networks PAN-OS (CVE-2017-15944 CVSS: 9.8) ที่ถูกเปิดเผยในปี 2560

CVE-2022-21971 (CVSS: 7.8) เป็นช่องโหว่ในการเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกลใน Windows Runtime ที่ถูกแก้ไขโดย Microsoft ไปแล้วในเดือนกุมภาพันธ์ 2022 และ CVE-2022-26923 (CVSS: 8.8) ถูกแก้ไขไปแล้วในเดือนพฤษภาคม 2565 ซึ่งเป็นช่องโหว่ในการยกระดับสิทธิ์ใน Active Directory Domain Services

เพื่อลดความเสี่ยงต่อภัยคุกคามที่อาจเกิดขึ้น หน่วยงานภายใต้การกำกับดูแล Federal Civilian Executive Branch (FCEB) ต้องดำเนินการอัปเดตช่องโหว่ต่างๆข้างต้นภายในวันที่ 8 กันยายน 2022

ที่มา: thehackernews

Slack Bug Allowed Automating Account Takeover Attacks

พบช่องโหว่บน Slack อนุญาตให้ผู้โจมตีสามารถครอบครองบัญชีได้อัตโนมัติ

Evan Custodio นักวิจัยด้านความปลอดภัยบนเว็บและนักล่าเงินรางวัลได้เผยช่องโหว่บน Slack ให้ทีมรักษาความปลอดภัยของเว็บไซต์ HackerOne bug Bounty เมื่อวันที่ 14 พฤศจิกายน

ช่องโหว่เป็นข้อบกพร่องด้านความปลอดภัยที่อนุญาตให้ผู้โจมตีทำการครอบครองบัญชีโดยอัตโนมัติหลังจากขโมย Cookie Session โดยใช้การร้องขอ HTTP Smuggling CL.TE

HTTP Request Smuggling เป็นการโจมตีซึ่งอาศัยปัญหาของเว็บแอปพลิเคชันซึ่งตีความ HTTP Request ที่เข้ามาแตกต่างกันระหว่างคอมโพเนนต์ซึ่งเป็น Frontend และ Backend การโจมตี HTTP Request Smuggling อาศัยการควบคุมการตั้งค่าในเฮดเดอร์ Transfer-Encoding (TE) และ Content-Length (CL) เพื่อให้เกิดเงื่อนไขที่เหมาะสมให้การโจมตีสำเร็จได้

ดังนั้นการโจมตีบน https://slackb.