สำนักงานความมั่นคงปลอดภัยไซเบอร์ และโครงสร้างพื้นฐาน (CISA) ของสหรัฐฯ ได้เพิ่มช่องโหว่ด้านความปลอดภัยที่สำคัญซึ่งส่งผลกระทบต่อ CrushFTP ลงในแค็ตตาล็อก Known Exploited Vulnerabilities (KEV) หลังจากที่มีรายงานการใช้โจมตีจริงในวงกว้าง (more…)

มีการสังเกตพบพฤติกรรมของแฮ็กเกอร์ในการพยายามโจมตีอุปกรณ์ที่ไม่ได้รับการดูแล และยังคงมีช่องโหว่ด้านความปลอดภัยเก่าในปี 2022 และ 2023

GreyNoise แพลตฟอร์มเฝ้าระวังภัยคุกคามรายงานว่า พบการโจมตีโดยใช้ช่องโหว่ CVE-2022-47945 และ CVE-2023-49103 เพิ่มมากขึ้น ซึ่งส่งผลกระทบต่อ ThinkPHP Framework และ ownCloud Solution โอเพ่นซอร์สสำหรับการแชร์ และซิงค์ไฟล์

ช่องโหว่ทั้งสองรายการมีความรุนแรงในระดับ Critical และสามารถถูกใช้เพื่อเรียกใช้คำสั่งบนระบบปฏิบัติการได้ หรือดึงข้อมูลสำคัญ เช่น รหัสผ่านผู้ดูแลระบบ, ข้อมูลเซิร์ฟเวอร์อีเมล และ license key

ช่องโหว่แรก เป็นช่องโหว่ local file inclusion (LFI) ซึ่งอยู่ในพารามิเตอร์ language ของ ThinkPHP Framework เวอร์ชันก่อน 6.0.14 โดยผู้โจมตีที่ไม่ต้องผ่านการยืนยันตัวตนสามารถโจมตีโดยใช้ช่องโหว่นี้เพื่อเรียกใช้คำสั่งระบบปฏิบัติการได้ หากมีการเปิดใช้งานฟีเจอร์ language pack

Akamai รายงานเมื่อช่วงฤดูร้อนปีที่แล้วว่า กลุ่มแฮ็กเกอร์จากจีนได้ใช้ช่องโหว่ดังกล่าวในการโจมตีแบบจำกัดเป้าหมายมาตั้งแต่เดือนตุลาคม 2023

ตามรายงานของ GreyNoise ช่องโหว่ CVE-2022-47945 กำลังถูกโจมตีในปริมาณสูงขึ้นมาก โดยมีการโจมตีมาจาก IP ต้นทางที่เพิ่มขึ้นอย่างต่อเนื่อง

โดยรายงานระบุว่า “GreyNoise ตรวจพบ IP ที่ไม่ซ้ำกัน จำนวน 572 IPs ที่พยายามโจมตีโดยใช้ช่องโหว่นี้ และมีจำนวนเพิ่มขึ้นอย่างเห็นได้ชัดในช่วงไม่กี่วันที่ผ่านมา”

ทั้งนี้ แม้ว่าจะมีคะแนนการประเมิน Exploit Prediction Scoring System (EPSS) ของช่องโหว่นี้จะอยู่ในระดับต่ำเพียง 7% และรายการช่องโหว่นี้ยังไม่ได้รวมอยู่ในแค็ตตาล็อกของ CISA (Known Exploited Vulnerabilities - KEV) แต่กลับพบว่ามีการโจมตีเกิดขึ้นในปริมาณสูงขึ้นอย่างต่อเนื่อง

 

ช่องโหว่ที่สองส่งผลกระทบต่อ ownCloud ซอฟต์แวร์แชร์ไฟล์แบบโอเพ่นซอร์สยอดนิยม ซึ่งเกิดจากการที่แอปฯ ต้องพึ่งพาไลบรารีของ third-party ที่ทำให้รายละเอียดของ PHP environment ถูกเปิดเผยได้ผ่าน URL

ไม่นานหลังจากที่นักพัฒนาเปิดเผยช่องโหว่นี้ครั้งแรกในเดือนพฤศจิกายน 2023 แฮ็กเกอร์ก็เริ่มโจมตีโดยใช้ช่องโหว่นี้เพื่อขโมยข้อมูลสำคัญจากระบบที่ยังไม่ได้รับการอัปเดต

หนึ่งปีต่อมา CVE-2023-49103 ถูกจัดอยู่ใน 15 ช่องโหว่ที่ถูกใช้โจมตีมากที่สุดในปี 2023 โดย FBI, CISA และ NSA

แม้จะผ่านไปกว่า 2 ปี นับตั้งแต่ที่ผู้พัฒนาออกแพตซ์อัปเดตเพื่อแก้ไขช่องโหว่นี้ แต่ระบบจำนวนมากยังคงไม่ได้รับการแพตช์ และยังเปิดช่องให้ถูกโจมตีได้

GreyNoise พบว่าการโจมตีที่ใช้ช่องโหว่ CVE-2023-49103 มีจำนวนเพิ่มขึ้นเมื่อเร็ว ๆ นี้ โดยมีกิจกรรมที่มาจาก 484 IP ต้นทางที่ไม่ซ้ำกัน

 

เพื่อป้องกันระบบจากการถูกโจมตี ผู้ใช้ควรอัปเกรด ThinkPHP เป็นเวอร์ชัน 6.0.14 ขึ้นไป และ อัปเดต ownCloud GraphAPI เป็นเวอร์ชัน 0.3.1 หรือใหม่กว่า

นอกจากนี้ แนะนำให้ปิดการใช้งานระบบที่อาจมีความเสี่ยงชั่วคราว หรือใช้งานหลังไฟร์วอลล์ เพื่อลดช่องทางการโจมตีจากแฮ็กเกอร์

 

ที่มา : bleepingcomputer.

CISA ได้เพิ่มช่องโหว่ห้ารายการใน Known Exploited Vulnerabilities (KEV) แคตตาล็อก ซึ่งหนึ่งในนั้นเป็นช่องโหว่การเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกล (RCE) ที่ส่งผลกระทบต่อ Apache HugeGraph-Server

ช่องโหว่หมายเลข CVE-2024-27348 (คะแนน CVSS: 9.8) ความรุนแรงระดับ critical เป็นช่องโหว่ในการควบคุมการเข้าถึงที่ไม่เหมาะสม ซึ่งส่งผลกระทบต่อ HugeGraph-Server เวอร์ชันตั้งแต่ 1.0.0 ขึ้นไป (แต่ไม่รวมถึง 1.3.0)

Apache แก้ไขช่องโหว่นี้เมื่อวันที่ 22 เมษายน 2024 โดยการปล่อยเวอร์ชัน 1.3.0 นอกจากการอัปเกรดเป็นเวอร์ชันล่าสุดแล้ว ผู้ใช้ยังได้รับคำแนะนำให้ใช้ Java 11 และเปิดใช้งานระบบการตรวจสอบสิทธิ์ (Auth system)

นอกจากนี้ ยังมีการเสนอให้เปิดใช้งานฟังก์ชัน "Whitelist-IP/port" เพื่อเพิ่มความปลอดภัยในการดำเนินการ RESTful-API ซึ่งเกี่ยวข้องกับการโจมตีอื่น ๆ ที่อาจเกิดขึ้น

ขณะนี้ CISA ได้แจ้งเตือนว่ามีการใช้ช่องโหว่ CVE-2024-27348 อย่างต่อเนื่องในโลกออนไลน์ โดยกำหนดให้หน่วยงานรัฐบาลกลาง และองค์กร infrastructure ต่าง ๆ มีเวลาจนถึงวันที่ 9 ตุลาคม 2024 เพื่อดำเนินการป้องกัน หรือเลิกใช้ผลิตภัณฑ์ดังกล่าว

Apache HugeGraph-Server เป็นส่วนประกอบหลักของโปรเจ็กต์ Apache HugeGraph ซึ่งเป็นฐานข้อมูลกราฟแบบโอเพ่นซอร์สที่ออกแบบมาเพื่อจัดการข้อมูลกราฟขนาดใหญ่ที่มีประสิทธิภาพสูง และความสามารถในการปรับขยายได้, รองรับการดำเนินการที่ซับซ้อนที่จำเป็นในการวิเคราะห์ความสัมพันธ์เชิงลึก, การจัดกลุ่มข้อมูล และ Path searches (more…)

MITRE เปิดเผยรายงานรายชื่อจุดอ่อนของซอฟต์แวร์ที่อันตรายที่สุด 25 อันดับแรกที่เกิดขึ้นในระหว่างปี 2021-2022 โดยจุดอ่อนของซอฟต์แวร์ ครอบคลุมปัญหาต่าง ๆ มากมาย ไม่ว่าจะเป็น ข้อบกพร่อง จุดบกพร่อง ช่องโหว่ และข้อผิดพลาดในโค้ด ระบบสถาปัตยกรรม การนำไปใช้ หรือการ (more…)

Cybersecurity and Infrastructure Security Agency (CISA) หน่วยงานด้านความมั่นคงทางไซเบอร์สหรัฐ สั่งให้หน่วยงานของรัฐบาลกลาง ทำการอัปเดตแพตซ์เพื่อแก้ไขช่องโหว่ที่กำลังถูกนำมาใช้ในการโจมตีเพื่อติดตั้งสปายแวร์บนอุปกรณ์มือถือ

โดยช่องโหว่ที่ CISA แนะนำให้รีบทำการอัปเดต ถูกพบว่าเป็นส่วนหนึ่งของแคมเปญการโจมตีที่มุ่งเป้าหมายไปที่ผู้ใช้งาน Android และ iOS ที่ถูกค้นพบโดยทีมนักวิจัย Threat Analysis Group (TAG) ของ Google

ซึ่งพบการโจมตีครั้งแรกในเดือนพฤศจิกายน 2022 ต่อมาได้พบการมุ่งเป้าการโจมตีไปยังผู้ใช้งาน Android ของ Samsung ที่ใช้ Samsung Internet Browser รวมไปถึงแคมเปญการโจมตีไปยัง Android เพื่อถอดรหัส และขโมยข้อมูลจากแอปแชท และเบราว์เซอร์

โดยทาง CISA ได้เพิ่มช่องโหว่ห้าในสิบรายการที่ถูกใช้ในแคมเปญการโจมตีด้วยสปายแวร์สองรายการในแคตตาล็อก Known Exploited Vulnerabilities (KEV):

CVE-2021-30900 ช่องโหว่ใน Apple iOS, iPadOS และ macOS
CVE-2022-38181 ช่องโหว่ใน Arm Mali GPU Kernel Driver Use-After-Free
CVE-2023-0266 ช่องโหว่ใน Linux Kernel Use-After-Free
CVE-2022-3038 ช่องโหว่ใน Google Chrome Use-After-Free
CVE-2022-22706 ช่องโหว่ในArm Mali GPU Kernel Driver

ทั้งนี้ CISA ได้ให้เวลาหน่วยงานกลาง Federal Civilian Executive Branch Agencies (FCEB) เป็นเวลา 3 สัปดาห์ เพื่อทำการอัปเดตเพื่อแก้ไขช่องโหว่ 5 รายการที่ได้เพิ่มไปใน KEV ตามคำสั่งการปฏิบัติงานที่มีผลผูกพัน BOD 22-01 ที่ออกในเดือนพฤศจิกายน 2021 ซึ่งกำหนดไว้ว่าหน่วยงาน FCEB จะต้องรักษาความปลอดภัยเครือข่ายของตนจากช่องโหว่ทั้งหมดที่เพิ่มเข้าไปในรายการช่องโหว่ของ CISA ซึ่งเป็นช่องโหว่ที่กำลังถูกนำมาใช้ในการโจมตี รวมไปถึงประกาศขอความร่วมมือให้หน่วยงาน องค์กร และบริษัทต่าง ๆ รีบทำการอัปเดตช่องโหว่เพื่อป้องกันการถูกโจมตีด้วยเช่นกัน

ที่มา : bleepingcomputer

US Cybersecurity & Infrastructure Security Agency (CISA) หน่วยงานด้านความมั่นคงทางไซเบอร์ของสหรัฐ ได้เพิ่มช่องโหว่ที่ส่งผลกระทบต่อ Adobe ColdFusion เวอร์ชัน 2021 และ 2018 ไปยังแคตตาล็อกของช่องโหว่ที่กำลังถูกใช้ในการโจมตี Known Exploited Vulnerabilities (KEV) (more…)