SolarWinds ออกแพตช์อัปเดตเร่งด่วนระดับ critical สำหรับช่องโหว่ของ Web Help Desk ซึ่งเป็นช่องโหว่ที่ช่วยให้ผู้โจมตีสามารถเข้าสู่ระบบที่มีช่องโหว่ได้โดยใช้ hardcoded credentials

โดย Web Help Desk (WHD) เป็นซอฟต์แวร์ช่วยเหลือทางด้านไอทีที่ได้รับความนิยมจากหน่วยงานของรัฐ, บริษัทขนาดใหญ่, องค์กรด้านการดูแลสุขภาพ และการศึกษา เพื่อนำมาช่วยให้งานบริหารจัดการเป็นรูปแบบอัตโนมัติ และมีประสิทธิภาพมากขึ้น ทั้งนี้ระบบ IT management ของ SolarWind มีลูกค้าใช้งานมากกว่า 300,000 รายทั่วโลก

ช่องโหว่ดังกล่าวมีหมายเลข CVE-2024-28987 ได้รับการแก้ไขไปเมื่อวันพุธที่ 21 สิงหาคม 2024 ที่ผ่านมา โดยเป็นช่องโหว่ที่อนุญาตให้ผู้โจมตีที่ไม่จำเป็นต้องผ่านการยืนยันตัวตนเข้าถึงฟังก์ชันภายใน และแก้ไขข้อมูลบนอุปกรณ์ที่ถูกโจมตีได้หลังจากการโจมตีสำเร็จ ช่องโหว่นี้ถูกค้นพบ และรายงานโดย Zach Hanley นักวิจัยด้านความปลอดภัยจาก Horizon3.ai

(more…)

เมื่อไม่นานมานี้ สำนักงานความมั่นคงปลอดภัยทางไซเบอร์ และโครงสร้างพื้นฐานของอเมริกา (CISA) ได้เพิ่มช่องโหว่ทางด้านความปลอดภัยที่กำลังถูกนำมาใช้ในการโจมตีอยู่ในปัจจุบันบน Microsoft .NET และ Visual Studio ลงใน KEV Catalog โดยอ้างอิงจากหลักฐานการพบการโจมตีที่เกิดขึ้น
ช่องโหว่ CVE-2023-38180 (คะแนน CVSS: 7.5) เป็นช่องโหว่ denial-of-service (DoS) ที่มีระดับความรุนแรงสูง ซึ่งส่งผลกระทบต่อ .NET และ Visual Studio ซึ่งช่องโหว่ดังกล่าวได้รับการแก้ไขไปแล้วโดย Microsoft จากการอัปเดต Patch Tuesday ในเดือนสิงหาคม 2023 เมื่อต้นสัปดาห์นี้ โดยได้มีการประเมินว่าจะพบการโจมตีช่องโหว่นี้เพิ่มขึ้นเรื่อย ๆ และติดแท็กช่องโหว่นี้ไว้ว่า “Exploitation More Likely”

ในขณะที่ปัจจุบันยังไม่มีรายละเอียดเกี่ยวกับการโจมตีที่แน่ชัด แต่ Microsoft ได้รับรายงานว่ามี Proof-of-Concept (PoC) สำหรับช่องโหว่ออกมาแล้ว นอกจากนี้ยังพบว่าการโจมตีที่ใช้ประโยชน์จากช่องโหว่นี้สามารถทำได้โดยไม่ต้องได้รับการอนุญาต หรือการตอบโต้จากผู้ใช้งาน
Microsoft ระบุว่าได้มีการทดสอบ Proof-of-Concept (PoC) และพบว่าการโจมตีไม่ได้ผลกับระบบส่วนใหญ่ รวมทั้งไม่สามารถใช้ได้กับทุกสถานการณ์ ซึ่ง Proof-of-Concept (PoC) จะต้องได้รับการแก้ไขจากผู้โจมตีที่มีทักษะ และความเชี่ยวชาญเท่านั้น
สำหรับซอฟต์แวร์เวอร์ชันที่ได้รับผลกระทบ ได้แก่ ASP.NET Core 2.1, .NET 6.0, .NET 7.0, Microsoft Visual Studio 2022 เวอร์ชัน 17.2, Microsoft Visual Studio 2022 เวอร์ชัน 17.4 และ Microsoft Visual Studio 2022 เวอร์ชัน 17.6

ดังนั้น เพื่อลดความเสี่ยงที่อาจเกิดขึ้น CISA จึงแนะนำให้หน่วยงาน Federal Civilian Executive Branch (FCEB) เร่งอัปเดตแพตซ์เพื่อแก้ไขช่องโหว่ภายในวันที่ 30 สิงหาคม 2023

ที่มา: thehackernews.