Microsoft ออกอัปเดต Patch Tuesday ประจำเดือนกรกฎาคม 2024 แก้ไขช่องโหว่ 142 รายการ เป็น Zero-Days 4 รายการ

Microsoft ออกอัปเดต Patch Tuesday ประจำเดือนกรกฎาคม 2024 แก้ไขช่องโหว่ 142 รายการ เป็น Zero-Days 4 รายการ

Microsoft ออกอัปเดต Patch Tuesday ประจำเดือนกรกฎาคม 2024 โดยได้แก้ไขช่องโหว่ 142 รายการ รวมถึงช่องโหว่ Zero-Days ที่กำลังถูกใช้ในการโจมตี 2 รายการ และพึ่งเปิดเผย 2 รายการ
โดย Patch Tuesday ประจำเดือนกรกฎาคม 2024 มีช่องโหว่ระดับ Critical 5 รายการ

(more…)

Fujitsu ยืนยันข้อมูลลูกค้ารั่วไหลในเหตุการณ์การโจมตีทางไซเบอร์ช่วงเดือนมีนาคม

Fujitsu ยืนยันว่าข้อมูลที่เกี่ยวข้องกับบุคคล และธุรกิจของลูกค้าบางรายรั่วไหลในเหตุการณ์การโจมตีทางไซเบอร์ที่ตรวจพบเมื่อต้นปีนี้

บริษัท Fujitsu ระบุว่า การโจมตีไม่ได้เกี่ยวข้องกับแรนซัมแวร์ แต่มีการใช้วิธีการที่ซับซ้อนเพื่อหลีกเลี่ยงการตรวจจับในขณะที่ขโมยข้อมูลออกไป

โดยในช่วงเดือนมีนาคม บริษัทพบว่าระบบของบริษัทหลายระบบติดมัลแวร์ และสังเกตเห็นความเป็นไปได้ที่ข้อมูลที่มีความสำคัญของลูกค้าอาจถูก compromised

Fujitsu ได้แยกคอมพิวเตอร์ที่ได้รับผลกระทบ และเริ่มการสืบสวนโดยได้รับความช่วยเหลือจากผู้เชี่ยวชาญภายนอกเพื่อกำหนดขอบเขตของการรั่วไหล

ผลการตรวจสอบ

ในแถลงการณ์วันนี้ บริษัทระบุว่าได้สรุปการสืบสวนเหตุการณ์ และยืนยันว่าข้อมูลถูกขโมยออกไปโดยมัลแวร์ที่แพร่กระจายจากจุดเริ่มต้นเพียงจุดเดียวไปยังคอมพิวเตอร์ 49 เครื่อง

บริษัทอธิบายเพิ่มเติมว่า "หลังจากมัลแวร์ถูกติดตั้งบนคอมพิวเตอร์เครื่องหนึ่งของบริษัท ถูกพบว่ามันแพร่กระจายไปยังคอมพิวเตอร์เครื่องอื่น ๆ"

"มัลแวร์นี้ไม่ใช่แรนซัมแวร์ แต่ใช้เทคนิคที่ซับซ้อนในการปลอมตัวทำให้ยากต่อการตรวจจับ ซึ่งเกิดจากการโจมตีขั้นสูง"

Fujitsu ระบุว่าคอมพิวเตอร์ที่ติดมัลแวร์ทั้ง 49 เครื่องถูกแยกออกจากระบบอื่น ๆ ทันทีหลังจากพบการโจมตี และมัลแวร์ถูกจำกัดอยู่ในสภาพแวดล้อมเครือข่ายบริษัทในญี่ปุ่นเท่านั้น

บริษัทระบุว่า "คำสั่งในการคัดลอกไฟล์ถูกดำเนินการจากพฤติกรรมของมัลแวร์" ด้วยเหตุนี้ Fujitsu จึงระบุว่ามีความเป็นไปได้ที่ข้อมูลอาจถูกขโมยออกไป "ไฟล์ที่สามารถคัดลอกได้มีข้อมูลส่วนบุคคล และข้อมูลที่เกี่ยวข้องกับธุรกิจของลูกค้า"

Fujitsu อธิบายเพิ่มเติมว่ายังไม่ได้รับรายงานว่าข้อมูลที่ถูก compromised ถูกนำไปใช้ในทางที่ผิด หลังจากการวิเคราะห์มัลแวร์ และเหตุการณ์ Fujitsu ได้ใช้มาตรการการตรวจสอบด้านความปลอดภัยสำหรับคอมพิวเตอร์ทั้งหมดในบริษัท และอัปเดตโซลูชันตรวจจับมัลแวร์เพื่อป้องกันการโจมตีที่คล้ายกัน

ที่มา: bleepingcomputer

Zenbleed: ช่องโหว่ใหม่ในโปรเซสเซอร์ AMD Zen 2 ทำให้ Encryption Keys และรหัสผ่านมีความเสี่ยงข้อมูลรั่วไหล

พบช่องโหว่ด้านความปลอดภัยใหม่ในโปรเซสเซอร์ที่ใช้สถาปัตยกรรม Zen 2 ของ AMD ซึ่งอาจถูกใช้ในการโจมตีเพื่อดึงข้อมูลที่สำคัญ เช่น Keys การเข้ารหัส และรหัสผ่าน

ช่องโหว่นี้ถูกพบโดยนักวิจัยจาก Google Project Zero ชื่อ 'Tavis Ormandy' และถูกเรียกว่า 'Zenbleed' โดยมีหมายเลข CVE-2023-20593 (CVSS: 6.5) ที่ทำให้สามารถดึงข้อมูลออกมาได้ที่อัตรา 30 kb ต่อ core ต่อวินาที

ช่องโหว่นี้เป็นส่วนหนึ่งของช่องโหว่ที่เรียกว่า การโจมตีด้วยการดำเนินการเชิงคาดเดา (speculative execution attacks) ซึ่งเป็นเทคนิคที่ใช้เพิ่มประสิทธิภาพที่ใช้กันอย่างแพร่หลายในหน่วยประมวลผลยุคใหม่ เพื่อเข้าถึง Keys การเข้ารหัสจาก CPU registers

AMD ระบุว่า "ภายใต้สถานการณ์ Microarchitectural การ register ใน CPU Zen 2 อาจเขียนค่า 0 อย่างไม่ถูกต้อง ทำให้ข้อมูลจาก process และ Thread อื่น ๆ ถูกจัดเก็บไว้ใน YMM register ซึ่งอาจทำให้ผู้โจมตีสามารถเข้าถึงข้อมูลที่มีความสำคัญได้"

โดย Cloudflare ตั้งข้อสังเกตว่า การโจมตีสามารถดำเนินการได้จากภายนอกผ่านสคริปต์ JavaScript บนเว็บไซต์ ซึ่งทำให้ไม่จำเป็นต้องมีการเข้าถึงเครื่องคอมพิวเตอร์ หรือเซิร์ฟเวอร์โดยตรง

Derek Chamorro และ Ignat Korchagin นักวิจัยของ Cloudflare ระบุว่า "การดำเนินการแบบ Vectorized สามารถดำเนินการได้อย่างมีประสิทธิภาพอย่างมาก โดยใช้ YMM registers ซึ่งแอปพลิเคชันที่ประมวลผลข้อมูลปริมาณมากจะได้รับประโยชน์จากเทคนิคนี้ แต่ในขณะเดียวกันก็เป็นจุดที่เป็นความเสี่ยงเช่นเดียวกัน"

การโจมตีนี้ดำเนินการโดยการแก้ไขไฟล์รีจิสเตอร์เพื่อบังคับให้คำสั่งคาดการณ์ผิด เนื่องจากไฟล์รีจิสเตอร์ถูกใช้ร่วมกันโดยกระบวนการทั้งหมดที่ทำงานบนคอร์เดียวกัน การโจมตีนี้สามารถใช้ดักฟังข้อมูลในการดำเนินการของระบบพื้นฐานได้ โดยการตรวจสอบข้อมูลที่ถูกส่งต่อระหว่างหน่วยประมวลผล และส่วนอื่น ๆ ของคอมพิวเตอร์

ปัจจุบันยังไม่มีหลักฐานที่แสดงให้เห็นว่าช่องโหว่นี้ถูกนำมาใช้ในการโจมตีจริง แต่แนะนำให้อัปเดต Microcode เพื่อลดความเสี่ยงที่อาจเกิดขึ้น เมื่อมีข้อมูลที่สามารถอัปเดตได้ผ่านทางผู้ผลิตอุปกรณ์ (OEMs)

อ้างอิง : https://thehackernews.

Apple ออกแพตซ์เร่งด่วนสำหรับช่องโหว่ Zero-Day ที่ส่งผล กระทบต่อ iPhone, iPad และ Mac

Apple ออกแพตซ์อัปเดตด้านความปลอดภัยสำหรับ iOS, iPadOS, macOS, tvOS, watchOS, และ Safari เพื่อแก้ไขช่องโหว่ด้านความปลอดภัยจำนวนมาก ซึ่งรวมไปถึงช่องโหว่แบบ Zero-day ที่กำลังถูกนำมาใช้ในการโจมตีอยู่ในปัจุบัน

โดย Zero-Day ดังกล่าวมีหมายเลข CVE-2023-38606 ซึ่งจะเข้าไปจัดการในส่วนของ kernel และจะอนุญาติให้ Application ที่เป็นอันตรายสามารถแก้ไข kernel state ที่มีความสำคัญได้ โดยทาง Apple ระบุว่าได้ทำการแก้ไขด้วยการปรับปรุง state management

โดย Apple ได้เร่งทำการอัปเดตแพตซ์แก้ไขช่องโหว่นี้ เนื่องจากได้รับรายงานว่าพบการโจมตีอย่างต่อเนื่องตั้งแต่เวอร์ชั่นก่อนหน้า iOS 15.7.1

น่าสังเกตว่า CVE-2023-38606 เป็นช่องโหว่ด้านความปลอดภัยลำดับที่สี่ ที่ถูกพบว่าเกี่ยวข้องกับ Operation Triangulation ซึ่งเป็นแคมเปญจารกรรมทางไซเบอร์บนมือถือที่มีความซับซ้อน ซึ่งกำหนดเป้าหมายไปยังอุปกรณ์ iOS ตั้งแต่ปี 2019 โดยใช้การโจมตีแบบ Zero-click exploit chain ส่วนอีก 2 ช่องโหว่ Zero-Day ที่ได้รับการแก้ไขโดย Apple เมื่อเดือนที่แล้วคือ CVE-2023-32434 และ CVE-2023-32435 ส่วนช่องโหว่ที่สาม CVE-2022-46690 ได้รับการแก้ไขโดยเป็นส่วนหนึ่งของการอัปเดตด้านความปลอดภัยที่เผยแพร่ในเดือนธันวาคม 2022 หกเดือนก่อนหน้าที่จะมีการเปิดเผยรายละเอียดการโจมตีออกสู่สาธารณะ

โดยนักวิจัยของ Kaspersky Valentin Pashkov, Mikhail Vinogradov, Georgy Kucherin, Leonid Bezvershenko และ Boris Larin ได้รับเครดิตในการค้นพบ และรายงานช่องโหว่ดังกล่าว

อัปเดตนี้สำหรับอุปกรณ์ และระบบปฏิบัติการต่อไปนี้

iOS 16.6 และ iPadOS 16.6 - iPhone 8 และใหม่กว่า, iPad Pro (ทุกรุ่น), iPad Air รุ่นที่ 3 และใหม่กว่า, iPad รุ่นที่ 5 และใหม่กว่า และ iPad mini รุ่นที่ 5 และใหม่กว่า
iOS 15.7.8 และ iPadOS 15.7.8 - iPhone 6s (ทุกรุ่น), iPhone 7 (ทุกรุ่น), iPhone SE (รุ่นที่ 1), iPad Air 2, iPad mini (รุ่นที่ 4) และ iPod touch (รุ่นที่ 7)
macOS Ventura 13.5, macOS Monterey 12.6.8 และ macOS Big Sur 11.7.9
tvOS 16.6 - Apple TV 4K (ทุกรุ่น) และ Apple TV HD
watchOS 9.6 - Apple Watch Series 4 และใหม่กว่า

การอัปเดตล่าสุดนี้ Apple ได้แก้ไขช่องโหว่ Zero-days ทั้งหมด 11 รายการ ที่ส่งผลกระทบต่อซอฟต์แวร์ตั้งแต่ต้นปี 2023 นอกจากนี้ยังเกิดขึ้นสองสัปดาห์หลังจากที่ Apple เผยแพร่การอัปเดตฉุกเฉินสำหรับช่องโหว่ที่กำลังถูกนำมาใช้โจมตีใน WebKit ซึ่งอาจนำไปสู่การสั่งรันโค้ดที่เป็นอันตรายตามที่ต้องการ (CVE-2023-37450)

ที่มา : https://thehackernews.

ช่องโหว่ใหม่ใน OpenSSH ทำให้ระบบที่ใช้ Linux ถูกโจมตีด้วย Remote Command Injection

มีรายงานเกี่ยวกับช่องโหว่ของ OpenSSH ที่ปัจจุบันมีแพตซ์อัปเดตเรียบร้อยแล้ว อาจจะกำลังถูกนำมาใช้โจมตีโดยใช้คำสั่งตามที่ต้องการไปยังระบบที่มีช่องโหว่

Saeed Abbasi ผู้จัดการฝ่ายวิจัยช่องโหว่ที่ Qualys ระบุในรายงานการวิเคราะห์ในสัปดาห์ที่ผ่านมาว่า "ช่องโหว่ดังกล่าวอาจทำให้ผู้โจมตีจากภายนอกสามารถดำเนินการคำสั่งได้ตามที่ต้องการบน ssh-agent ของ OpenSSH ที่มีช่องโหว่"

(more…)

ช่องโหว่ในโทรศัพท์ Samsung ถูกเพิ่มในรายการ ‘Must Patch’ ของ CISA เนื่องจากการพบการโจมตีจาก Spyware

Cybersecurity & Infrastructure Security Agency (CISA) ของสหรัฐอเมริกา ได้เพิ่มช่องโหว่ที่ส่งผลกระทบต่อโทรศัพท์มือถือ Samsung จำนวนหลายรายการลงในแคตตาล็อกของช่องโหว่ที่มีข้อมูลว่ากำลังถูกใช้ในการโจมตี (Known Exploited Vulnerabilities Catalog) และปัจจุบันช่องโหว่ดังกล่าวพบว่ากำลังถูกใช้ในการโจมตีจาก Spyware

ในวันพฤหัสบดีที่ผ่านมา CISA ได้เพิ่มช่องโหว่ใหม่ 8 รายการลงในแคตตาล็อก ซึ่งรวมถึงช่องโหว่ของเราเตอร์ และ access point ของ D-Link ที่ถูกใช้ประโยชน์โดย Mirai botnet และยังมีช่องโหว่ความปลอดภัยที่เหลืออีก 6 รายการที่ส่งผลกระทบต่ออุปกรณ์มือถือ Samsung และทั้งหมดได้รับการแก้ไขไปแล้วในปี 2021

ช่องโหว่ดังกล่าวรวมถึง CVE-2021-25487 ที่เป็นช่องโหว่ out-of-bounds read ใน modem interface driver ที่อาจทำให้สามารถสั่งรันโค้ดที่เป็นอันตรายได้โดยไม่ได้รับอนุญาต ซึ่งได้รับการแก้ไขไปแล้วตั้งแต่เดือนตุลาคม 2021 แม้ว่า Samsung จะจัดระดับความรุนแรงของช่องโหว่อยู่ในระดับ 'ปานกลาง' แต่คำแนะนำของ NVD ระบุว่าเป็นช่องโหว่ 'ระดับความรุนแรงสูง' ตามคะแนน CVSS

แพตซ์อัปเดตรอบเดียวกันในเดือนตุลาคม 2021 ยังรวมถึงการแก้ไขช่องโหว่ CVE-2021-25489 ซึ่งเป็นช่องโหว่ของ format string ที่มีระดับความรุนแรงต่ำใน modem interface driver ซึ่งอาจนำไปสู่เงื่อนไขการโจมตีแบบ DoS ได้

CISA ยังเพิ่มช่องโหว่ CVE-2021-25394 และ CVE-2021-25395 ซึ่งเป็นช่องโหว่ระดับ 'ปานกลาง' ที่เกี่ยวข้องกับช่องโหว่ use-after-free ใน MFC charger driver และทั้ง 2 ช่องโหว่ได้รับการแก้ไขโดย Samsung ในเดือนพฤษภาคม 2021

2 ช่องโหว่ที่เหลือคือ CVE-2021-25371 เป็นช่องโหว่ระดับ 'ปานกลาง' ที่ทำให้ผู้โจมตีสามารถโหลดไฟล์ ELF ที่ไม่เกี่ยวข้องภายใน DSP driver ได้ และ CVE-2021-25372 เป็นช่องโหว่ out-of-bounds access ระดับ 'ปานกลาง' ใน DSP driver เช่นเดียวกัน ซึ่งทั้ง 2 ช่องโหว่ได้รับการแก้ไขไปแล้วในเดือนมีนาคม 2021

ยังไม่มีรายงานที่อธิบายวิธีการโจมตีช่องโหว่ของอุปกรณ์มือถือ Samsung ที่ถูกเพิ่มในรายการ 'must-patch' ของ CISA ในสัปดาห์นี้ อย่างไรก็ตาม มีความเป็นไปได้ที่ช่องโหว่เหล่านี้กำลังถูกใช้ประโยชน์โดย Spyware

Samsung และ CISA ได้เตือนผู้ใช้งานเกี่ยวกับช่องโหว่ CVE-2023-21492 ที่เกี่ยวข้องกับ kernel pointer exposure ที่เกี่ยวข้องกับ log files ซึ่งอาจทำให้ผู้โจมตีที่มีสิทธิสูงในระบบ สามารถละเลยเทคนิคการป้องกันการโจมตีแบบ ASLR ได้

นักวิจัยจาก Google ผู้พบช่องโหว่ CVE-2023-21492 ได้ระบุว่าช่องโหว่นี้เป็นช่องโหว่ที่เป็นรู้จักมาตั้งแต่ปี 2021

นอกจากนี้ ในเดือนพฤศจิกายน 2022 Google ได้เปิดเผยรายละเอียดของช่องโหว่ในโทรศัพท์ Samsung 3 รายการที่คล้ายกันกับ CVE ปี 2021 ซึ่งได้ถูกใช้ประโยชน์จาก Spyware

ช่องโหว่ทั้ง 3 รายการที่เปิดเผยในเดือนพฤศจิกายน 2022 ได้รับการแก้ไขไปแล้วตั้งแต่เดือนมีนาคม 2021 นอกจากนี้ Google ยังได้ระบุว่าได้รับทราบช่องโหว่อื่น ๆ ของ Samsung อีกหลายช่องโหว่ที่มีรหัสระบุ CVE ในปี 2021 ซึ่งถูกนำมาใช้ประโยชน์ในการโจมตี ถือเป็นข้อมูลที่แสดงให้เห็นว่าช่องโหว่ที่ CISA เพิ่มในรายการในสัปดาห์นี้ได้ถูกใช้ประโยชน์จาก Spyware ซึ่งพฤติกรรมดังกล่าวได้รับการตรวจสอบโดย Google

โดยทวีตจาก Maddie Stone นักวิจัยของ Google Project Zero ที่ยืนยันว่าช่องโหว่ทั้งหมดของ Samsung ถูกค้นพบโดยเป็นส่วนหนึ่งของการวิจัยเดียวกัน และได้ถูกเพิ่มลงใน Google’s zero-day exploitation tracker ของ Google สำหรับปี 2021

อ้างอิง : https://www.

พบช่องโหว่ SQL Injection ระดับ Critical ใน Gentoo Soko

มีการเปิดเผยช่องโหว่ SQL injection หลายรายการใน Gentoo Soko ที่อาจนำไปสู่การเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกล (RCE) บนระบบที่มีช่องโหว่ได้

Thomas Chauchefoin นักวิจัยจาก SonarSource ระบุว่าช่องโหว่ SQL Injections เหล่านี้เกิดขึ้นจากการใช้งาน ORM (Object-Relational Mapping) library และ prepared statements รวมถึง misconfiguration ของ database

ช่องโหว่ที่พบอยู่ในฟีเจอร์การค้นหาของ Soko ซึ่งมีหมายเลข CVE-2023-28424 (คะแนน CVSS: 9.1) และได้รับการแก้ไขภายใน 24 ชั่วโมงหลังจากการเปิดเผยข้อมูลออกมาเมื่อวันที่ 17 มีนาคม 2023

Soko เป็นโมดูลซอฟต์แวร์ภาษา Go ที่มีความสามารถในการค้นหาแพ็คเกจต่าง ๆ ใน Gentoo Linux distribution ผ่าน packages.

มัลแวร์ตัวใหม่ ‘Rustbucket’ มุ่งเป้าหมายไปยังกลุ่มผู้ใช้ macOS

นักวิจัยเปิดเผยเวอร์ชันอัปเดตของมัลแวร์ Rustbucket บนระบบปฏิบัติการ Apple macOS ที่มาพร้อมความสามารถที่ดีขึ้น และสามารถหลบเลี่ยงการตรวจจับโดยซอฟต์แวร์รักษาความปลอดภัย

นักวิจัยจาก Elastic Security Labs ระบุในรายงานที่เผยแพร่ในสัปดาห์นี้ว่า Rustbucket เป็นมัลแวร์ที่มีเป้าหมายเป็นระบบ macOS ที่เพิ่มความสามารถในการโจมตีที่ไม่เคยพบมาก่อน โดยใช้โครงสร้างพื้นฐานของเครือข่ายแบบไดนามิกในการควบคุม และสั่งการ

RustBucket เป็นผลงานของกลุ่มผู้โจมตีจากเกาหลีเหนือที่รู้จักในนาม "BlueNoroff" ซึ่งเป็นส่วนหนึ่งของกลุ่มโจมตีขนาดใหญ่ในชื่อ Lazarus Group ซึ่งเป็นกลุ่มแฮ็กเกอร์ภายใต้การกำกับดูแลของหน่วยงาน Reconnaissance General Bureau, RGB

payload ที่สองของมัลแวร์ (second-stage malware) ที่ถูกเขียนด้วยภาษา Swift ซึ่งถูกออกแบบให้ดาวน์โหลดมาจากเซิร์ฟเวอร์ command-and-control (C2) ส่วนมัลแวร์หลักคือไบนารีที่ใช้ภาษา Rust มีคุณสมบัติในการเก็บรวบรวมข้อมูลอย่างละเอียด รวมถึงดึง และเรียกใช้ไบนารี Mach-O หรือ shell scripts บนระบบที่ถูกโจมตี

เป็นครั้งแรกที่มัลแวร์ BlueNoroff มีเป้าหมายเป็นผู้ใช้ macOS โดยเฉพาะ แม้ว่าจะมีเวอร์ชันของ RustBucket ใน .NET ที่มีฟีเจอร์ที่คล้ายกัน

บริษัทความปลอดภัยทางไซเบอร์จากฝรั่งเศส Sekoia ระบุในการวิเคราะห์แคมเปญ RustBucket เมื่อสิ้นเดือนพฤษภาคม 2023 ว่ากิจกรรมของ Bluenoroff ล่าสุดนี้ทำให้เห็นว่าผู้โจมตีพยายามใช้ภาษาที่สามารถรองรับหลายแพลตฟอร์มในการพัฒนามัลแวร์ เพื่อขยายความสามารถ ซึ่งมีความเป็นไปได้สูงที่จะขยายขอบเขตของกลุ่มเป้าหมาย

ลำดับการโจมตีประกอบด้วยไฟล์ติดตั้งบน macOS ที่ติดตั้งโปรแกรมอ่านไฟล์ PDF ซึ่งจะถูกแฝงโปรแกรม backdoor และยังคงใช้งานโปรแกรมได้ตามปกติ สิ่งที่สำคัญในการโจมตี คือ malicious activity จะถูกเรียกใช้เมื่อไฟล์ PDF ที่ถูกใส่ในโปรแกรมตัวอ่าน PDF ที่อันตรายเปิดใช้งาน มัลแวร์จะเริ่มการโจมตีเบื้องต้น รวมถึงอีเมลฟิชชิ่ง และการสร้างข้อมูลปลอมบน social networks เช่น LinkedIn

จาการสังเกตการโจมตี มีลักษณะเป็นการเจาะจง และเน้นไปที่สถาบันทางการเงินที่อยู่ในเอเชีย ยุโรป และสหรัฐอเมริกา โดยการโจมตีนี้เน้นการสร้างรายได้อย่างผิดกฏหมายเพื่อหลีกเลี่ยงบทลงโทษตามกฎหมาย

สิ่งที่ทำให้การตรวจพบเวอร์ชันใหม่
([hxxps[:]//www[.]virustotal.

Hackers ใช้ช่องโหว่ในปลั๊กอินของ WordPress ที่ยังไม่ได้รับการแก้ไขในการปกปิดการสร้างบัญชีผู้ดูแลระบบ

ปัจจุบันมีจำนวนเว็บไซต์ WordPress มากถึง 200,000 เว็บไซต์ที่มีความเสี่ยงต่อการโจมตีโดยใช้ช่องโหว่ด้านความปลอดภัยระดับ Critical ที่ยังไม่ได้รับการแก้ไขในปลั๊กอิน Ultimate Member

ช่องโหว่นี้มีหมายเลข CVE-2023-3460 (คะแนน CVSS: 9.8) มีผลกระทบต่อเวอร์ชันทั้งหมดของปลั๊กอิน Ultimate Member รวมถึงเวอร์ชันล่าสุด (เวอร์ชัน 2.6.6) ที่ปล่อยออกมาเมื่อวันที่ 29 มิถุนายน 2023

Ultimate Member เป็นปลั๊กอินที่ได้รับความนิยมสำหรับการสร้างโปรไฟล์ผู้ใช้งาน และชุมชนบนเว็บไซต์ WordPress โดยยังมีฟีเจอร์การจัดการบัญชีให้ใช้งานอีกด้วย

WPScan บริษัทความปลอดภัยของ WordPress ได้แจ้งเตือนว่า "ช่องโหว่ดังกล่าวมีความอันตรายมาก เนื่องจากผู้โจมตีที่ไม่ผ่านการตรวจสอบสิทธิ์อาจใช้ช่องโหว่นี้เพื่อสร้างบัญชีผู้ใช้ใหม่ที่มีสิทธิ์ของผู้ดูแลระบบ ซึ่งจะทำให้พวกเขามีสิทธิ์ในการควบคุมเว็บไซต์ที่ได้รับผลกระทบ"

แม้ว่าจะยังไม่มีรายละเอียดเกี่ยวกับช่องโหว่ แต่ช่องโหว่นี้เกิดจาก blocklist logic ที่ไม่เหมาะสม ซึ่งถูกนำเข้ามาเพื่อเปลี่ยนค่าของ wp_capabilities ในข้อมูลของผู้ใช้งานใหม่ให้เป็นผู้ดูแลระบบ และทำให้ผู้โจมตีได้รับสิทธิ์การเข้าถึงเต็มรูปแบบของเว็บไซต์

นักวิจัยจาก Wordfence ชื่อ Chloe Chamberland ระบุว่า "แม้ว่าปลั๊กอินจะมีรายการคีย์ที่ถูกห้ามตามที่กำหนดไว้ล่วงหน้า ซึ่งผู้ใช้งานไม่ควรสามารถอัปเดตได้ แต่ก็มีวิธีเล็ก ๆ น้อย ๆ ในการเลี่ยงผ่านการตรวจสอบ เช่นการใช้ตัวอักษรต่าง ๆ, slashes และการเข้ารหัสตัวอักษรในค่า meta key ที่มีช่องโหว่ในเวอร์ชันของปลั๊กอิน"

ช่องโหว่นี้ถูกเปิดเผยขึ้นภายหลังจากที่มีรายงานเกี่ยวกับการเพิ่มบัญชีผู้ดูแลระบบที่ไม่ถูกต้องไปยังเว็บไซต์ที่ได้รับผลกระทบ ส่งผลให้ผู้ดูแลปลั๊กอินต้องออกเวอร์ชันแก้ไขบางส่วนในเวอร์ชัน 2.6.4, 2.6.5, และ 2.6.6 โดยการอัปเดตใหม่คาดว่าจะถูกปล่อยในเร็ว ๆ นี้

Ultimate Member ระบุในบันทึกการอัปเดตว่า "ช่องโหว่ในการยกระดับสิทธิพิเศษที่ใช้ผ่าน UM Forms ทำให้ผู้โจมตีสามารถสร้างผู้ใช้งาน WordPress ระดับผู้ดูแลระบบได้"

WPScan ระบุว่าการแก้ไขช่องโหว่ยังไม่สมบูรณ์ และพบวิธีการหลีกเลี่ยงการตรวจสอบที่สามารถใช้ได้ ซึ่งหมายความว่าช่องโหว่ยังคงสามารถถูกนำมาใช้ประโยชน์ในการโจมตีได้อย่างต่อเนื่อง

ในการโจมตีที่ตรวจพบ ช่องโหว่ถูกนำมาใช้ในการลงทะเบียนบัญชีใหม่ในชื่อ apadmins, se_brutal, segs_brutal, wpadmins, wpengine_backup, และ wpenginer เพื่ออัปโหลดปลั๊กอินที่เป็น malware และ themes ผ่านทาง administration panel ของเว็บไซต์

ผู้ใช้งาน Ultimate Member ควรปิดการใช้งานปลั๊กอินจนกว่าจะมีการแก้ไขที่เหมาะสม ในการปิดช่องโหว่ด้านความปลอดภัยได้อย่างสมบูรณ์ นอกจากนี้ยังแนะนำให้ตรวจสอบผู้ใช้งานระดับผู้ดูแลระบบทั้งหมดบนเว็บไซต์เพื่อตรวจสอบว่ามีบัญชีที่ไม่ได้รับอนุญาตถูกเพิ่มเข้ามาหรือไม่

Ultimate Member เวอร์ชัน 2.6.7 ถูกปล่อยออกมาแล้ว

Ultimate Member ได้ปล่อยแพตซ์อัปเดตเวอร์ชัน 2.6.7 ของปลั๊กอิน เมื่อวันที่ 1 กรกฎาคม 2023 เพื่อแก้ไขช่องโหว่การเพิ่มสิทธิ์ที่กำลังถูกนำมาใช้ในการโจมตีอย่างต่อเนื่อง ในมาตรการความปลอดภัยเพิ่มเติม ผู้พัฒนายังวางแผนที่จะเพิ่มคุณสมบัติใหม่ในปลั๊กอินเพื่อให้ผู้ดูแลเว็บไซต์สามารถรีเซ็ตรหัสผ่านสำหรับผู้ใช้งานทั้งหมดได้

ผู้พัฒนาระบุว่า "ในเวอร์ชัน 2.6.7 ได้ทำการเพิ่มรายการที่อนุญาตให้ใช้งานเฉพาะ (whitelisting) สำหรับ meta keys ที่เก็บไว้ขณะที่ sending forms" และยังแยกข้อมูลการตั้งค่าแบบฟอร์ม, ข้อมูลที่ส่งเข้ามาแยกกัน และดำเนินการด้วยตัวแปรสองตัวที่แตกต่างกัน

ที่มา: https://thehackernews.

SAP Patch Day – July 2019 addresses a critical flaw in Diagnostics Agent

SAP ออกแพตช์เดือนกรกฏาคม 2019 แก้ไข 11 ช่องโหว่

SAP ออกแพตช์ประจำเดือนกรกฏาคม 2019 แก้ไข 11 ช่องโหว่ โดยช่องโหว่ที่สำคัญคือช่องโหว่ CVE-2019-0330 เป็นช่องโหว่ร้ายแรงมากใน SolMan Diagnostic Agent (SMDAgent)

CVE-2019-0330 เป็นช่องโหว่ประเภท OS command injection ผู้โจมตีสามารถใช้ช่องโหว่นี้เพื่อยึดระบบ SAP ทั้งระบบได้ มีคะแนน CVSS 9.1 (critical) โดยใน SMDAgent จะมีการตรวจสอบเมื่อผู้ดูแลระบบรันคำสั่งไปยังระบบปฏิบัติการผ่าน GAP_ADMIN transaction ให้รันได้เฉพาะคำสั่งใน white list เท่านั้น ซึ่งช่องโหว่ CVE-2019-0330 ทำให้ผู้โจมตีสามารถหลบเลี่ยงการตรวจสอบดังกล่าวได้โดยการใช้ payload ที่สร้างเป็นพิเศษ ซึ่งเมื่อผู้โจมตีสามารถหลบหลีกได้จะทำให้สามารถควบคุมระบบ SAP ได้ เข้าถึงข้อมูลสำคัญได้ แก้ไขการตั้งค่าได้และหยุดการทำงานของ SAP service ได้

นักวิจัยจาก Onapsis ระบุว่าระบบ SAP ทุกระบบจะต้องมีการติดตั้ง SMDAgent ดังนั้นจะมีระบบที่ได้รับความเสี่ยงจากการโจมตีด้วยช่องโหว่นี้เป็นจำนวนมาก

ผู้ดูแลระบบ SAP ควรศึกษาและอัปเดตแพตช์ดังกล่าว โดยสามารถอ่านรายละเอียดได้จาก https://wiki.