พบช่องโหว่ zero-day ระดับ Critical บน Atlassian Confluence และกำลังถูกใช้ในการโจมตีจริง

แฮ็กเกอร์กำลังเริ่มโจมตีโดยใช้ช่องโหว่ zero-day ระดับ Critical ** ของ Atlassian Confluence ที่มีหมายเลข CVE-2022-26134 เพื่อติดตั้งเว็บเชลล์ โดยปัจจุบันยังไม่มีวิธีการแก้ไขออกมาจาก Atlassian

วันนี้ (2 มิ.ย. 2565) Atlassian ได้ออกคำแนะนำด้านความปลอดภัยที่เปิดเผยว่าช่องโหว่ CVE-2022-26134 เป็นช่องโหว่การเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกล ที่ไม่ต้องผ่านการตรวจสอบสิทธิ์ ซึ่งพบทั้งใน Confluence Server และ Data Center

Atlassian ยืนยันว่ามีช่องโหว่ใน Confluence Server 7.18.0 และเชื่อว่า Confluence Server และ Data Center 7.4.0 ก็มีความเสี่ยงเช่นกัน โดยคำแนะนำยังเตือนว่าผู้โจมตีกำลังเริ่มโจมตีโดยใช้ประโยชน์จากช่องโหว่ดังกล่าวบน Confluence Server 7.18.0 และยังไม่มีแพตซ์ในปัจจุบัน

Atlassian จึงแนะนำให้ผู้ใช้งานปิดการเชื่อมต่อไปยัง Confluence Server และ Data Center จากอินเทอร์เน็ต หรือปิดการใช้งานไปเลยเป็นการชั่วคราว เนื่องจากยังไม่มีวิธีอื่นในการลดผลกระทบ  ส่วนองค์กรที่ใช้ Atlassian Cloud (เข้าถึงได้ทาง atlassian.

Microsoft ออกคำแนะนำในการลดผลกระทบจากช่องโหว่ CVE-2022-30190 บน Microsoft Support Diagnostic Tool

ในวันจันทร์ที่ 30 พฤษภาคม 2022 ที่ผ่านมา มีการพบช่องโหว่หมายเลข CVE-2022-30190 ใน Microsoft Support Diagnostic Tool (MSDT) บน Windows ซึ่งเป็นช่องโหว่ในลักษณะการเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกล เมื่อ MSDT ถูกเรียกใช้งานผ่าน URL จากแอปพลิเคชัน เช่น Microsoft Word

โดยหากสามารถโจมตีได้สำเร็จ ผู้โจมตีจะสามารถสั่งรันโค้ดได้ตามที่ต้องการด้วยสิทธิ์ของแอปพลิเคชันนั้นๆ เช่นการสั่งติดตั้งโปรแกรม ดู เปลี่ยนแปลง หรือลบข้อมูล รวมถึงสามารถสร้างบัญชีผู้ใช้ใหม่บนเครื่องเหยื่อได้

วิธีการลดผลกระทบจากช่องโหว่

ปิดการทำงานของ MSDT URL Protocol

การปิดการทำงานของ MSDT URL จะช่วยป้องกันไม่ให้ฟังก์ชันตัวแก้ไขปัญหาของ Microsoft ที่มีช่องโหว่ดังกล่าวถูกเปิดขึ้นมาใช้งานผ่านลิ้ง แต่ฟังก์ชันตัวแก้ไขปัญหาดังกล่าวยังทำงานได้อยู่ผ่านทาง Get Help application และใน system setting โดยสามารถปิดการทำงานของ MSDT ได้ดังนี้

เปิด Command Prompt ด้วยสิทธิ์ Administrator.

แฮกเกอร์มุ่งเป้าโจมตีไปที่ไซต์ WordPress ที่ใช้งานปลั๊กอิน Tatsu Builder

เมื่อวันที่ 28 มีนาคม พ.ศ. 2565 ที่ผ่านมา นักวิจัยอิสระ Vincent Michel ได้ค้นพบช่องโหว่บน Tatsu Builder ซึ่งเป็นปลั๊กอินของ WordPress
ช่องโหว่ที่เป็นเป้าหมายคือ CVE-2021-25094 ซึ่งเป็นช่องโหว่ที่ช่วยให้ผู้โจมตีสามารถสั่งรันโค้ดที่เป็นอันตรายจากระยะไกลบนเซิร์ฟเวอร์ที่ถูกสร้างด้วย Tatsu Builder เวอร์ชันเก่ากว่า 3.3.12 ได้จากนั้น Tatsu Builder ได้ออกแพตช์ในเวอร์ชัน 3.3.13 และแจ้งเตือนให้ผู้ใช้งานอัพเดทในวันที่ 7 เมษายน 2022

อย่างไรก็ตาม นักวิจัยของ Wordfence ซึ่งเป็นบริษัทที่เสนอโซลูชันการรักษาความปลอดภัยสำหรับปลั๊กอิน WordPress ได้ทำการตรวจสอบ พบว่ายังมีเว็บไซต์กว่า 20,000 ถึง 50,000 เว็บไซต์ที่ยังใช้งาน Tatsu Builder เวอร์ชันเก่ากว่า 3.3.12 แม้จะมีแพตช์ในเวอร์ชัน 3.3.13 แล้วก็ตาม   นอกจากนี้ยังมีรายงานว่าพบการโจมตีโดยใช้ช่องโหว่นี้หลายล้านครั้ง ซึ่งในวันที่ 14 พฤษภาคม 2022 พบการโจมตีถึง 5.9 ล้านครั้ง

(more…)

European Banking Authority ปิดระบบอีเมลทั้งหมดหลังจากที่เซิร์ฟเวอร์ Microsoft Exchange ถูกแฮกด้วยช่องโหว่ Zero-day

European Banking Authority (EBA) ได้ทำการปิดระบบอีเมลทั้งหมดหลังจากที่เซิร์ฟเวอร์ Microsoft Exchange ของ EBA ถูกแฮกด้วยช่องโหว่ Zero-day ที่ถูกพบในเซิร์ฟเวอร์ Microsoft Exchange ซึ่งการโจมตีด้วยช่องโหว่ดังกล่าวกำลังกระจายไปอย่างต่อเนื่องและถูกกำหนดเป้าหมายไปยังองค์กรต่าง ๆ ทั่วโลก

ในสัปดาห์ที่ผ่านมาไมโครซอฟท์ได้ออกเเพตช์ฉุกเฉินสำหรับแก้ไขช่องโหว่ Zero-day ซึ่งช่องโหว่จะส่งผลผลกระทบต่อเซิร์ฟเวอร์ Microsoft Exchange หลายเวอร์ชันและพบการใช้ประโยชน์จากช่องโหว่ในการโจมตีอย่างต่อเนื่องจากกลุ่มแฮกเกอร์

EBA เป็นหน่วยงานส่วนหนึ่งของระบบการกำกับดูแลทางการเงินของสหภาพยุโรปและดูแลการทำงานของภาคธนาคารในสหภาพยุโรป การสืบสวนกำลังถูกดำเนินการเพื่อระบุว่ามีการเข้าถึงข้อมูลใดบ้าง ทั้งนี้คำแนะนำเบื้องต้นที่เผยแพร่เมื่อวันอาทิตย์ที่ผ่านมาได้ระบุว่าผู้โจมตีอาจเข้าถึงข้อมูลส่วนบุคคลที่เก็บไว้ในเซิร์ฟเวอร์อีเมล แต่ผู้เชี่ยวชาญด้านนิติวิทยาศาสตร์ยังไม่พบสัญญาณของการบุกรุกข้อมูลและการสืบสวนยังคงมีอย่างต่อเนื่อง ซึ่ง EBA จะปรับใช้มาตรการรักษาความปลอดภัยเพิ่มเติมและดูแลอย่างใกล้ชิดในมุมมองของการฟื้นฟูการทำงานอย่างเต็มรูปแบบของเซิร์ฟเวอร์อีเมล

หน่วยงาน CISA (Cybersecurity and Infrastructure Security Agency) ได้ออกแจ้งเตือนถึงการใช้ช่องโหว่ Zero-day ของ Microsoft Exchange Server ทั้งในและต่างประเทศอย่างกว้างขวาง โดยเรียกร้องให้ผู้ดูแลระบบใช้เครื่องมือตรวจจับ Indicators of Compromise (IOC) ของ Microsoft เพื่อตรวจหาสัญญาณการบุกรุกภายในองค์กร

ทั้งนี้ Microsoft ได้ออกเครื่องมือ Microsoft Safety Scanner (MSERT) เพื่อใช้ตรวจจับเว็บเชลล์ที่ถูกใช้ในการโจมตีและสคริปต์ PowerShell เพื่อค้นหา IOC ใน log file บน Exchange และ OWA ผู้ดูแลระบบสามารถโหลด MSERT ได้ที่: microsoft

สำหรับสคริปต์ PowerShell สามารถโหลดได้ที่: github

ที่มา: bleepingcomputer

นักวิจัยพบแคมเปญ Malvertising ใหม่ที่ใช้โหว่แบบ Zero-day ใน WebKit เพื่อรีไดเร็คผู้ใช้ไปยังเว็บไซต์ที่ไม่เหมาะสม

นักวิจัยด้านความปลอดภัยจากบริษัท Confiant บริษัทรักษาความปลอดภัยทางไซเบอร์ได้เปิดเผยถึงการค้นพบแคมเปญ Malvertising ของกลุ่ม ScamClub ที่ใช้ช่องโหว่แบบ Zero-day ในเว็บเบราว์เซอร์ที่ใช้ WebKit engine ในการส่งเพย์โหลดเพื่อรีไดเร็คผู้ใช้จากพอร์ทัลที่ถูกต้องไปยังเว็บไซต์ที่ไม่เหมาะสมและจะแสดงโฆษณาที่เป็นอันตรายต่อผู้ใช้

ตามรายงานของ Confiant ได้ระบุว่าการโจมตีแคมเปญดังกล่าวพบครั้งแรกในเดือนมิถุนายนปี 2020 และยังคงดำเนินอยู่ในปัจจุบัน กลุ่มที่อยู่เบื้องหลังการโจมตีคือกลุ่มที่รู้จักกันในชื่อ ScamClub ซึ่งเป็นกลุ่มที่ดำเนินธุรกิจโดยการซื้อช่องโฆษณาจำนวนมากบนหลายแพลตฟอร์ม โดยกลุ่ม ScamClub มักกำหนดเป้าหมายผู้ใช้ iOS ด้วยโฆษณาที่เป็นอันตรายซึ่งมักจะรีไดเร็คผู้ใช้ไปยังเว็บไซต์ที่ที่ไม่เหมาะเพื่อทำการหลอกลวงผู้ใช้ทางออนไลน์และพยายามรวบรวมข้อมูลทางการเงินของผู้ใช้

ช่องโหว่ Zero-day ในโอเพนซอร์ส WebKit ถูกติดตามด้วยรหัส CVE-2021-1801 และถูกค้นพบโดยวิศวกรรักษาความปลอดภัยจาก Confiant และนักวิจัย Eliya Stein ซึ่งพบว่าการโจมตีได้อาศัยช่องโหว่ใน WebKit เพื่อทำการส่งเพย์โหลดยังผู้ใช้และทำการรีไดเร็คผู้ใช้จากพอร์ทัลที่ถูกต้องไปยังเว็บไซต์ที่ไม่เหมาะ

เนื่องจาก WebKit ถูกใช้ใน Safari ของ Apple และ Google Chrome สำหรับ iOS ทาง Stein จึงได้ทำการรายงานช่องโหว่ที่ค้นพบไปยังทีมของ Apple Security และทีมของ Google Chrome WebKit ซึ่ง WebKit ได้รับการแก้ไขช่องโหว่และออกแพตช์ความปลอดภัยแล้วในวันที่ 2 ธันวาคม 2020 ที่ผ่านมา

ทั้งนี้ Confiant ได้ทำการรวบรวม Indicators of compromise (IoCs) ลงใน GitHub ผู้ที่สนใจ IoCs แคมเปญของกลุ่ม ScamClub สามารถติดตามได้ที่: https://github.