Fortinet แก้ไขช่องโหว่การโจมตีที่สำคัญเพิ่มเติมใน SSL VPN และ Web Firewall

Fortinet ได้ทำการแก้ไขช่องโหว่ที่รุนแรงหลายรายการ ซึ่งรวมไปถึง Remote Code Execution (RCE) ไปจนถึง SQL Injection, Denial of Service (DoS) ที่ส่งผลกระทบต่ออุปกรณ์ FortiProxy SSL VPN และ FortiWeb Web Application โดยช่องโหว่บางส่วนนั้นได้เคยถูกเปิดเผยไปแล้วแต่ยังไม่ครอบคลุมในทุกอุปกรณ์ ทำให้ต้องมีการแพตช์เพิ่มเติม ตัวอย่างดังนี้

ช่องโหว่ CVE-2018-13381 ใน FortiProxy SSL VPN เป็นช่องโหว่แบบ Remote ที่เกิดจากการที่อุปกรณ์ไม่มีการรับรองความถูกต้องผ่านการร้องขอแบบ POST ซึ่งสามารถทำให้อุปกรณ์หยุดทำงานและนำไปสู่การเกิด DoS
ช่องโหว่ CVE-2018-13383 สามารถทำให้เกิด Overflow ใน VPN ผ่าน property HREF ของ JavaScript

ลูกค้า Fortinet ควรอัปเกรดเป็นเวอร์ชันที่มีการอัปเดตเพิ่มเติม โดยสามารถตรวจสอบเวอร์ชั่นอัปเดตล่าสุดอื่นๆ ได้ที่แหล่งที่มา

ที่มา : bleepingcomputer

Adobe ออกเเพตช์แก้ไขช่องโหว่ที่มีความรุนแรงระดับ Critical ในผลิตภัณฑ์ Adobe Lightroom, Adobe Prelude และ Adobe Experience Manager

Adobe เปิดตัวการอัปเดตแพตช์ด้านความปลอดภัย 4 รายการ เพื่อแก้ไขช่องโหว่ที่มีความรุนแรงระดับ Critical และส่งผลต่อผลิตภัณฑ์ Adobe Lightroom, Adobe Experience Manager (AEM) และ Adobe Prelude เวอร์ชัน Windows และ macOS โดยช่องโหว่มีรายละเอียดดังนี้

ช่องโหว่ CVE-2020-24440 เป็นช่องโหว่ประเภท Uncontrolled search path โดยช่องโหว่จะทำให้ผู้โจมตีสามารถรันโค้ดได้โดยไม่ต้องรับอนุญาตใน Adobe Prelude เวอร์ชันก่อนหน้า 9.0.1 สำหรับ Windows และ macOS
ช่องโหว่ CVE-2020-24447 เป็นช่องโหว่ประเภท Uncontrolled Search Path Element โดยช่องโหว่จะทำให้ผู้โจมตีสามารถรันโค้ดได้โดยไม่ต้องรับอนุญาตใน Adobe Lightroom Classic เวอร์ชันก่อนหน้า 10.0
ช่องโหว่ CVE-2020-24444 และ CVE-2020-24445 เป็นช่องโหว่ประเภท Blind server-side request forgery และ Cross-site scripting (XSS) ตามลำดับ โดยช่องโหว่จะทำให้ผู้โจมตีสามารถเข้าถึงข้อมูลที่ละเอียดอ่อนและเรียกใช้โค้ด JavaScript ในเบราว์เซอร์ได้โดยไม่ต้องรับอนุญาตและช่องโหว่จะมีผลกระทบกับ Adobe Experience Manager (AEM) เวอร์ชันก่อนหน้า 6.5.6.0, 6.4.8.2, 6.3.3.8 และ 6.2 SP1-CFP20
ทั้งนี้ผู้ใช้งานผลิตภัณฑ์ Adobe Lightroom, Adobe Experience Manager (AEM) และ Adobe Prelude เวอร์ชัน Windows และ macOS ควรทำการอัฟเดตแพตซ์ความปลอดภัยให้เป็นเวอร์ชันล่าสุดเพื่อเป้นการป้องกันการตกเป็นเหยื่อจากผู้ประสงค์ร้ายใช้ประโยชน์จากช่องโหว่ทำการโจมตี

ที่มา: bleepingcomputer

OpenSSF เปิดตัวโครงการสำหรับประเมินสิทธิสภาพซอฟต์แวร์ประเมินความปลอดภัยแอปแบบ SAST

Open Source Security Foundation หรือ OpenSSF ประกาศเมื่อวันพุธที่ผ่านมาในงาน Black Hat Europe ถึงโครงการโอเพนซอร์สใหม่สำหรับการประเมินประสิทธิภาพซอฟแวร์ประเมินความปลอดภัยแอปแบบ static analysis security testing หรือ SAST ภายใต้ชื่อ OpenSSF CVE Benchmark

ในการทำงานของ OpenSSF CVE Benchmark นั้น มันจะทำการประเมินประสิทธิภาพซอฟต์แวร์โดยกำหนดเงื่อนไขของโค้ดที่มีช่องโหว่และข้อมูลแวดล้อมอื่น ๆ จากช่องโหว่ในภาษา JavaScript และ TypeScript กว่า 218 รูปแบบ

OpenSSF CVE Benchmark สามารถทำงานร่วมกับ ESLint, CodeQL และ NodeJsScan ได้เป็นค่าเริ่มต้น ทั้งนี้ผู้พัฒนาคาดหวังว่าเมื่อโครงการถูกเผยแพร่ออกไปแล้ว OpenSSF CVE Benchmark จะรองรับการทำงานร่วมกับ SAST ตัวอื่นมากยิ่งขึ้น

ผู้ที่สนใจสามารถดูรายละเอียดเพิ่มเติมของโครงการได้ที่ https://github.

นักวิจัยพบมัลแวร์ Gootkit กลับมาพร้อมกับ REvil Ransomware ในแคมเปญการโจมตีใหม่ในเยอรมนี

นักวิจัยด้านความปลอดภัยอิสระที่มีชื่อว่า The Analyst ได้เปิดเผยถึงการพบมัลแวร์ Gootkit ที่กลับมาพร้อมกับ REvil Ransomware ในแคมเปญการโจมตีใหม่ที่กำหนดเป้าหมายไปยังประเทศเยอรมนี

นักวิจัยกล่าวว่าเหตุการณ์ในแคมเปญที่เป็นอันตรายใหม่ของมัลแวร์ Gootkit นี้พบผู้ประสงค์ร้ายกำลังเเฮกไซต์ WordPress และใช้ SEO poisoning แสดงโพสต์ของผู้ประสงค์ร้ายเพื่อให้หลอกให้ผู้ใช้หรือผู้ตอบเยื่ยมชมเว็บไซต์คำถาม โดยคำตอบจะมีลิงก์ไปยังแบบฟอร์มปลอมผู้ประสงค์ร้ายหรือหน้าเว็บที่ให้ทำการดาวน์โหลดไฟล์ของผู้ประสงค์ร้าย ซึ่งเมื่อผู้ใช้คลิกที่ลิงก์ผู้ใช้จะดาวน์โหลดไฟล์ ZIP ที่มีไฟล์ JavaScript ที่เป็นอันตรายและภายในจะมีโค้ดติดตั้งมัลแวร์ Gootkit หรือ REvil ransomware

สอดคล้องกับรายงานของนักวิจัยจาก Malwarebytes ที่ได้อธิบายเพย์โหลด JavaScript ที่เป็นอันตรายและจะทำการโจมตีแบบ fileless attacks เมื่อทำการคลิกเปิดสคริปต์ JavaScript ที่เชื่อมต่อกับเซิร์ฟเวอร์ C&C ของผู้ประสงค์ร้ายและจะดาวน์โหลดสคริปต์อื่นๆ ที่มีเพย์โหลดมัลแวร์ที่เป็นอันตราย ซึ่งในการวิเคราะห์เพย์โหลดนี้มักจะเจอมัลแวร์ Gootkit แต่ในบางกรณีก็เป็น REvil ransomware อย่างไรก็ดีเพย์โหลดเหล่านี้จะถูกจัดเก็บเป็นสตริงที่เข้ารหัส Base64 หรือฐานสิบหกและจะสร้าง Windows Registry เป็นจำนวนมาก เพื่อให้ซอฟต์แวร์รักษาความปลอดภัยหรือซอฟต์แวร์ป้องกันไวรัสตรวจจับเพย์โหลดที่เป็นอันตรายได้ยากขึ้น

ทั้งนี้ผู้ใช้ควรมีความระมัดระวังในการเข้าใช้หรือเข้าเยื่ยมชมเว็บไซต์ที่ไม่รู้จักและไม่ควรทำการดาวน์โหลดไฟล์ใดๆ จากเว็บไซต์เหล่านี้เพื่อเป็นการป้องกันการตกเป็นเหยื่อของมัลแวร์

ที่มา: bleepingcomputer.

Google เปิดตัว Chrome เวอร์ชันใหม่เเก้ไขช่องโหว่ RCE แบบ Zero-day

Google เปิดตัว Chrome เวอร์ชัน 86.0.4240.183 สำหรับ Windows, Mac และ Linux เพื่อแก้ไขช่องโหว่ด้านความปลอดภัย 10 รายการรวมถึงช่องโหว่การเรียกใช้โค้ดจากระยะไกล (Rmote Code Execution - RCE) แบบ Zero-day หลังพบผู้ประสงค์ร้ายพยายามใช้ประโยชน์จากช่องโหว่ทำการโจมตี

ช่องโหว่ CVE-2020-16009 เป็นช่องโหว่ในการใช้งานที่ไม่เหมาะสมใน V8 ซึ่งเป็นเอ็นจิ้น JavaScript โอเพ่นซอร์สของ Chrome ซึ่งจะทำให้ผู้โจมตีสามารถดำเนินการเรียกใช้โค้ดจากระยะไกลได้ผ่านหน้า HTML ที่สร้างขึ้นมาเป็นพิเศษ นอกจากนี้ Google ยังแก้ไขช่องโหว่ CVE-2020-17087 ช่องโหว่การยกระดับสิทธ์ในเคอร์เนล, CVE-2020-16004, CVE-2020-16005, CVE-2020-16006, CVE-2020-16007, CVE-2020-16008 และ CVE-2020-16011 ใน Chrome เวอร์ชัน 86.0.4240.183

ทั้งนี้ผู้ใช้ควรทำการอัปเดต Google Chrome เป็นเวอร์ชัน 86.0.4240.183 หรือเวอร์ชันใหม่ล่าสุด โดยเข้าไปที่การตั้งค่า -> ความช่วยเหลือ -> เกี่ยวกับ Google Chrome จากนั้นเว็บเบราว์เซอร์จะทำการตรวจสอบการอัปเดตใหม่โดยอัตโนมัติและติดตั้งเมื่อพร้อมใช้งาน

ที่มา: bleepingcomputer

Malicious npm package opens backdoors on programmers’ computers

ทีม security ของ npm (Node Package Manager) ที่เป็นผู้ให้บริการ Package Manager ของ JavaScript ได้ทำการลบ JavaScript Library ที่มีชื่อว่า "twilio-npm" ออกไปเมื่อวันที่ 2 พฤศจิกายนที่ผ่านมา เนื่องจากพบว่า Script ดังกล่าวจะมีการสั่งให้แอบเปิด TCP reverse shell บนเครื่องของนักพัฒนาที่นำไปใช้ จากรายงานระบุว่า reverse shell ดังกล่าวจะเปิดการเชื่อมต่อไปยัง 4.tcp.

Discord client turned into a password stealer by updated malware

โทรจัน AnarchyGrabber3 รุ่นใหม่ปรับความสามารถในการขโมยบัญชี Discord

MalwareHunterteam ได้เผยถึงการค้นพบโทรจัน AnarchyGrabber3 เวอร์ชันใหม่ที่ได้รับการปรับปรุงให้มีความสามารถขโมยรหัสผ่านและโทเค็นของผู้ใช้รวมไปถึงทำการปิดการใช้งาน 2FA และสามารถกระจายมัลแวร์ไปยังเพื่อนของผู้ที่ตกเหยื่อ โดยการเเพร่กระจายโทรจัน AnarchyGrabber3 ใน Discord นั้นทำโดยการเเสร้งว่าเป็นซอฟต์แวร์เครื่องมือโกงเกม, บอทเกมหรือซอฟต์แวร์ที่มีลิขสิทธิ์

เมื่อติดตั้งซอฟต์แวร์แล้ว AnarchyGrabber3 ที่ถูกเเฝงมาจะทำการแก้ไขไฟล์ %AppData%\Discord\<version>\modules\discord_desktop_core\index.

Microsoft warns about Internet Explorer zero-day, but no patch yet

Microsoft เผยแพร่คำแนะนำด้านความปลอดภัยเกี่ยวกับช่องโหว่ Zero-day ใน Internet Explorer (IE) ที่กำลังถูกโจมตีในช่วงนี้

เบื้องต้นทาง Microsoft ระบุว่าการโจมตีดังกล่าวไม่ได้โจมตีเป็นวงกว้าง จำกัดแค่ผู้ใช้งานส่วนหนึ่ง แต่ได้ทำการออกวิธีการแก้ไขปัญหาและการลดผลกระทบที่สามารถนำไปใช้เพื่อป้องกันระบบที่มีช่องโหว่จากการโจมตีเท่านั้น แล้วจะออก Patch สำหรับแก้ไขช่องโหว่ดังกล่าวตามมาในอนาคต

Microsoft อธิบายถึงช่องโหว่ Zero-day ใน IE ซึ่งได้รับ CVE-2020-0674 ว่าเป็นช่องโหว่ที่ทำให้ผู้โจมตีสามารถรันคำสั่งที่เป็นอันตรายจากระยะไกลเพื่อเข้าถึงระบบ (remote code execution หรือ RCE ) โดยเกิดจากข้อผิดพลาดของหน่วยความจำเสียหายใน IE's scripting engine องค์ประกอบของเบราว์เซอร์ที่จัดการ JavaScript (Jscript9.dll) ช่องโหว่ดังกล่าวส่งผลกระทบกับ IE9 ถึง IE11 บน Windows desktop และ Windows Server

ผู้โจมตีสามารถออกแบบเว็บไซต์เป็นพิเศษเพื่อใช้ประโยชน์จากช่องโหว่ดังกล่าวแล้วโน้มน้าวให้ผู้ใช้ดูเว็บไซต์ดังกล่าว เช่น การส่งอีเมล

วิธีการแก้ไขปัญหาและการลดผลกระทบของช่องโหว่ดังกล่าวคือตั้งค่าเพื่อจำกัดการเข้าถึง Jscript9.dll โดยสามารถอ่านวิธีได้จาก www.

Microsoft warns about Internet Explorer zero-day, but no patch yet

Microsoft เผยแพร่คำแนะนำด้านความปลอดภัยเกี่ยวกับช่องโหว่ Zero-day ใน Internet Explorer (IE) ที่กำลังถูกโจมตีในช่วงนี้
เบื้องต้นทาง Microsoft ระบุว่าการโจมตีดังกล่าวไม่ได้โจมตีเป็นวงกว้าง จำกัดแค่ผู้ใช้งานส่วนหนึ่ง แต่ได้ทำการออกวิธีการแก้ไขปัญหาและการลดผลกระทบที่สามารถนำไปใช้เพื่อป้องกันระบบที่มีช่องโหว่จากการโจมตีเท่านั้น แล้วจะออก Patch สำหรับแก้ไขช่องโหว่ดังกล่าวตามมาในอนาคต
Microsoft อธิบายถึงช่องโหว่ Zero-day ใน IE ซึ่งได้รับ CVE-2020-0674 ว่าเป็นช่องโหว่ที่ทำให้ผู้โจมตีสามารถรันคำสั่งที่เป็นอันตรายจากระยะไกลเพื่อเข้าถึงระบบ (remote code execution หรือ RCE ) โดยเกิดจากข้อผิดพลาดของหน่วยความจำเสียหายใน IE's scripting engine องค์ประกอบของเบราว์เซอร์ที่จัดการ JavaScript (Jscript9.dll) ช่องโหว่ดังกล่าวส่งผลกระทบกับ IE9 ถึง IE11 บน Windows desktop และ Windows Server
ผู้โจมตีสามารถออกแบบเว็บไซต์เป็นพิเศษเพื่อใช้ประโยชน์จากช่องโหว่ดังกล่าวแล้วโน้มน้าวให้ผู้ใช้ดูเว็บไซต์ดังกล่าว เช่น การส่งอีเมล
วิธีการแก้ไขปัญหาและการลดผลกระทบของช่องโหว่ดังกล่าวคือตั้งค่าเพื่อจำกัดการเข้าถึง Jscript9.dll โดยสามารถอ่านวิธีได้จาก microsoft ซึ่ง Microsoft เตือนว่าต้องยกเลิกการตั้งค่าดังกล่าวก่อนที่จะอัปเดต Patch สำหรับช่องโหว่นี้ที่จะออกมาในอนาคต

ที่มา ZDNet