นักวิจัยจาก Eclypsium เผยแพร่ช่องโหว่ใหม่ CVE-2020-10713 BootHole เป็นช่องโหว่ buffer overflow ใน GRUB2 เป็น bootloader ยอดนิยมที่ใช้ใน Linux หลายๆ ดิสโทร ช่องโหว่นี้เกิดเมื่อทำการ parsing ไฟล์ตั้งค่า grub.

VMware ออกเเพตซ์แก้ไข CVE-2020-3956 ใน VMware Cloud Director

VMware ได้ทำการแก้ไขช่องโหว่การเรียกใช้โค้ดโจมตีจากระยะไกล ที่ถูกค้นพบช่องโหว่โดย Tomáš Melicher และ LukášVáclavík จาก Citadelo ถูกระบุเป็นรหัส CVE-2020-3956 ในผลิตภัณฑ์ VMware Cloud Director

ช่องโหว่ CVE-2020-3956 (CVSSv3 8.8) เป็นช่องโหว่การเรียกใช้โค้ดโจมตีจากระยะไกล ซึ่งช่องโหว่สามารถทำให้ผู้โจมตีที่ได้รับการรับรองความถูกต้องสามารถส่งทราฟฟิกที่เป็นอันตรายไปยัง Cloud Director เพื่อทำการเรียกใช้โค้ดโดยไม่ได้รับอนุญาต การโจมตีช่องโหว่ดังกล่าวสามารถใช้ช่องโหว่ผ่านทาง HTML5 และ Flex-based UIs, API Explorer interface และ API access

ช่องโหว่นี้ส่งผลกระทบต่อ VMware Cloud Director 9.5.x, 9.7.x และ 10.0.x บนระบบปฏิบัติการ Linux และ Photon OS

ทั้งนี้ VMware Cloud Director เวอร์ชัน 8.x, 9.0.x, 9.1.x และ 10.1.0 บนระบบปฏิบัติการ Linux จะไม่ได้รับผลกระทบนี้ ผู้ใช้งานควรทำการอัพเดตซอฟต์แวร์ VMware vCloud Director เป็นเวอร์ชัน 9.1.0.4, 9.5.0.6, 9.7.0.5 และ 10.0.0.2 เพื่อแก้ปัญหาช่องโหว่และลดความเสี่ยงต่อการถูกโจมตี

ที่มา: securityaffairs

นักวิจัยด้านความปลอดภัยจาก RACK911 Labs กล่าวว่าพวกเขาพบช่องโหว่ "Symlink Race" ใน 28 ผลิตภัณฑ์ป้องกันไวรัสยอดนิยมในปัจจุบัน โดยผู้โจมตีสามารถใช้ประโยชน์จากข้อบกพร่องที่เกิดกับโปรแกรมป้องกันไวรัสทำการลบไฟล์ในระบบซึ่งอาจทำให้ระบบปฏิบัติการเกิดปัญหาหรือทำให้ไม่สามารถใช้งานได้

Vesselin Bontchev นักวิจัยจากห้องปฏิบัติการไวรัสวิทยาของสถาบันวิทยาศาสตร์แห่งบัลแกเรียกล่าวว่าช่องโหว่ Symlink race เป็นช่องโหว่ที่เกิดขั้นจากการเชื่อมโยงไฟล์ที่เป็นอันตรายเข้ากับไฟล์ที่ถูกต้องเพื่อทำการยกระดับสิทธิ์ไฟล์ที่เป็นอันตรายให้สูงขึ้นเพื่อใช้ในการโจมตี Elevation-of-Privilege (EoP)

นักวิจัยด้านความปลอดภัยจาก RACK911 ได้ทำการทดสอบช่องโหว่โดยการสร้างสคริปต์เพื่อทำการพิสูจน์ช่องโหว่ Symlink Race พบว่าในการทดสอบบน Windows, macOS และ Linux พวกเขาใช้ช่องโหว่ Symlink race ที่มีอยู่ในซอฟต์แวร์ป้องกันไวรัสและสามารถลบไฟล์ที่สำคัญในซอฟต์แวร์ป้องกันไวรัสได้โดยที่ซอฟต์แวร์ป้องกันไวรัสไม่ได้แสดงผลการแจ้งเตือนและพวกเขายังทดสอบช่องโหว่โดยทำการลบไฟล์ที่สำคัญในระบบปฏิบัติการ ผลลัพธ์คือระบบปฏิบัติการเกิดความเสียหายอย่างมากถึงขึ้นต้องทำการติดตั้งระบบปฏิบัติการใหม่เพื่อซ่อมแซมระบบปฏิบัติการที่เกิดความเสียหาย

นักวิจัยด้านความปลอดภัยจาก RACK911 กล่าวว่าช่องโหว่นี้อยู่ในผลิตภัณฑ์ซอฟต์แวร์ป้องกันไวรัส 28 รายกาย บนระบบปฏิบัติการ Linux, Mac และ Windows และได้รายงานให้เจ้าของผลิตภัณฑ์ป้องกันไวรัสรับทราบและเจ้าของผลิตภัณฑ์ได้ทำการการแก้ไขแล้ว อย่างไรก็ตามผู้ใช้งานควรทำการอัพเดตซอฟต์แวร์ป้องกันไวรัสอยู่เสมอเพื่อความปลอดภัยของระบบและข้อมูลของผู้ใช้งาน

ที่มา : zdnet

ช่องโหว่ในคำสั่ง sudo ให้ผู้ใช้ Linux และ macOS ที่ไม่มีสิทธิพิเศษเรียกใช้คำสั่งด้วยสิทธิ์ Root ได้
Joe Vennix แห่ง Apple security พบช่องโหว่ที่สำคัญประการหนึ่งในคำสั่ง sudo หากตั้งค่าบางอย่างไว้ อาจอนุญาตให้ผู้ใช้ที่มีสิทธิ์ต่ำหรือโปรแกรมที่เป็นอันตรายในการรันคำสั่งโดยพลการด้วยสิทธิ์ระดับผู้ดูแล ('root') บนระบบ Linux หรือ macOS
sudo เป็นหนึ่งใน utilities ที่สำคัญที่มีประสิทธิภาพและใช้กันอย่างแพร่หลาย มาพร้อมกับ core command ที่ติดตั้งไว้ล่วงหน้าบน macOS และเกือบทุกระบบปฏิบัติการบน UNIX หรือ Linux ซึ่ง sudo ได้รับการออกแบบ เพื่อให้ผู้ใช้เรียกใช้แอพหรือคำสั่ง ด้วยสิทธิ์ของผู้ใช้ที่แตกต่างกัน โดยไม่ต้อง switching environments ต่างๆ
Vennix ระบุว่าข้อบกพร่องสามารถถูกโจมตีได้เมื่อเปิดใช้งานตัวเลือก "pwfeedback" เท่านั้นในไฟล์การกำหนดค่า sudoers ซึ่ง pwfeedback เป็นคุณสมบัติที่ช่วยให้เห็น Visual Feedback คือเห็น * เมื่อผู้ใช้ป้อนรหัสผ่านใน terminal
คุณลักษณะ pwfeedback ไม่ได้ถูกเปิดใช้งานโดยค่าเริ่มต้นในเวอร์ชั่นต้นเเบบของ sudo หรือแพ็คเกจอื่น ๆ อย่างไรก็ตาม ลีนุกซ์บางรุ่น เช่น Linux Mint และ Elementary OS มีการเปิดใช้งานคุณลักษณะ pwfeedback ในไฟล์ sudoers เป็นค่าเริ่มต้น
เมื่อ pwfeedback ถูกเปิดใช้งาน ผู้ใช้ใดๆ ก็สามารถใช้ประโยชน์จากช่องโหว่นี้ได้ เเม้ไม่มี sudo permissions ทำให้สามารถโจมตีเพื่อยกระดับสิทธิ์เป็น root ได้
คุณสามารถตรวจสอบได้ว่าคุณได้รับผลกระทบหรือไม่ โดยสามารถเรียกใช้ "sudo -l" command บน Terminal Linux หรือ macOS ของคุณ เพื่อค้นหาว่า "pwfeedback" ถูกเปิดใช้งานหรือไม่
หากเปิดใช้งาน, คุณสามารถปิดการใช้งานองค์ประกอบที่มีช่องโหว่ได้ โดยเปลี่ยน "Defaults pwfeedback" เป็น "Defaults !pwfeedback" ในไฟล์การกำหนดค่า sudoers เพื่อป้องกันการใช้ประโยชน์จากช่องโหว่
โดยคำสั่ง sudo รุ่นที่ได้รับผลกระทบคือรุ่น 1.7.1 ถึง 1.8.30 ซึ่ง Apple ได้ออกแพตช์ให้กับ macOS เพื่อแก้ไขช่องโหว่นี้แล้ว

ที่มา : thehackernews

กลุ่ม Lazarus มีมัลแวร์ตัวใหม่ Dacls โจมตีทั้ง Linux และ Windows
Qihoo 360 Netlab พบมัลแวร์ Remote Access Trojan (RAT) ตัวใหม่ชื่อ Dacls ทำงานทั้งบน Windows และ Linux ซึ่งมัลแวร์ตัวนี้มีความเชื่อมโยงกับกลุ่ม Lazarus ที่ถูกสนับสนุนโดยรัฐบาลเกาหลีเหนือ กลุ่มนี้เป็นรู้จักในการแฮก Sony Films ในปี 2014 และเป็นเบื้องหลังในการระบาด WannaCry ไปทั่วโลกในปี 2017 อีกด้วย
นี่เป็นครั้งแรกที่พบมัลแวร์ที่ทำงาน Linux จากกลุ่ม Lazarus โดย Qihoo 360 Netlab เชื่อมโยงความเกี่ยวข้องระหว่าง Dacls กับกลุ่ม Lazarus จากการใช้งาน thevagabondsatchel[.]com ซึ่งเคยมีประวัติว่าถูกใช้งานโดยกลุ่ม Lazarus ในอดีต
Dacls ใช้ TLS และ RC4 ในการเข้ารหัสสองชั้นเพื่อรักษาความปลอดภัยในการสื่อสารกับ command and control (C2) รวมถึงใช้ AES encryption ในการเข้ารหัสไฟล์ตั้งค่า
นักวิจัยพบ Dacls สำหรับ Windows และ Linux พร้อมทั้งโค้ดสำหรับโจมตีช่องโหว่ CVE-2019-3396 ใน Atlassian Confluence บนเซิร์ฟเวอร์ บ่งชี้ถึงความเป็นไปได้ว่ากลุ่ม Lazarus จะใช้ช่องโหว่ดังกล่าวติดตั้ง Dacls นักวิจัยจึงแนะนำให้ผู้ใช้ Confluence ทำการแพตช์ระบบให้เร็วที่สุดเท่าที่จะทำได้
สามารถอ่านรายงานวิเคราะห์ Dacls และดูข้อมูล IOC ได้จาก https://blog.

ข้อผิดพลาด (CVE-2019-17666) ถูกจัดอยู่ในความรุนแรงระดับ critical เกิดขึ้นในไดร์เวอร์ “rtlwifi” ซึ่งเป็นซอฟต์แวร์ที่อนุญาตให้ Realtek Wi-Fi module เชื่อมต่อกับระบบปฏิบัติการณ์ Linux โดยไดร์เวอร์นีมีช่องโหว่ buffer overflow ซึ่งทำให้เมื่อเขียนข้อมูลเกินหน่วยความจำที่กำหนดจะทำให้ข้อมูลส่วนเกินนี้เปลี่ยนแปลงพื้นที่ใกล้เคียงในหน่วยความจำและอาจแก้ไขข้อมูลอื่นๆ เป็นการเปิดช่องทางของการโจมตีได้ ซึ่งการโจมตีนี้อาจเป็นได้ตั้งแต่การทำให้เครื่องหยุดทำงานไปจนถึงยึดเครื่อง

ส่วนที่มีช่องโหว่ของไดร์เวอร์ rtlwifi คือฟีเจอร์ที่เรียกว่าโปรโตคอล Notice of Absence โปรโตคอลนี้ช่วยอุปกรณ์ปิดสัญญาณวิทยุโดยอัตโนมัติเพื่อประหยัดพลังงาน ข้อบกพร่องนี้อยู่ในวิธีที่ไดร์เวอร์จัดการกับแพ็คเก็ต Notice of Absence มันไม่ได้ตรวจสอบแพ็คเก็ตที่ได้รับว่ามีความยาวที่ทำหนดหรือไม่ ทำให้ผู้โจมตีอาจเพิ่มองค์ประกอบข้อมูลเฉพาะเพิ่มไปในแพ็คเก็ตเพื่อโจมตีช่องโหว่

ความร้ายแรงคือผู้โจมตีสามารถโจมตีได้เมื่ออยู่ในระยะสัญญาณ Wi-Fi และโจมตีได้โดยไม่ต้องยืนยันตัวตนใดๆ
Linux kernel ที่ได้รับผลกระทบคือตั้งแต่รุ่น 5.3.6 และนักวิจัยกล่าวว่าอยู่มากว่า 4 ปีก่อนจะถูกพบ ซึ่งทีม Linux kernel กำลังพัฒนาแพตช์เพื่อแก้ช่องโหว่นี้

ที่มา : threatpost

ประกาศสำหรับผู้ใช้ Linux พบช่องโหว่ใน Sudo ซึ่งเป็น Command หลักของระบบ Linux โดยช่องโหว่นี้ยอมให้รันคำสั่งในฐานะ root แม้ตั้งค่าใน sudoers configuration ไม่ให้รันได้ โชคดีที่ช่องโหว่นี้ทำงานได้ก็ต่อเมื่อมีการตั้งค่าแตกต่างจากการตั้งค่าปกติเท่านั้น ทำให้ผู้ใช้งาน Linux ทั่วไปจะไม่ได้รับผลกระทบ

การตั้งค่าไม่ปกติดังกล่าวคือ การตั้งค่าให้ผู้ใช้งานสามารถรันคำสั่งเป็นผู้ใช้งานอื่นได้ยกเว้น root เช่น ตั้งค่าใน sudoers configuration ว่า

bob myhost = (ALL, !root) /usr/bin/vi

แปลว่า bob สามารถรันคำสั่ง vi เป็นผู้ใช้งานใดก็ได้ยกเว้น root เช่น สามารถรันคำสั่ง sudo -u#[UID] vi ซึ่งจะทำให้ bob รันคำสั่งเป็นผู้ใช้งานเลข UID ใดๆ ก็ได้

แต่ช่องโหว่ดังกล่าวจะเกิดเมื่อ bob รันคำสั่ง sudo -u#-1 vi หรือ sudo -u#4294967295 vi ซึ่งเมื่อรันด้วยเลข UID -1 หรือ 4294967295 จะทำให้ bob ได้สิทธิ์ root ซึ่งขัดกับที่ตั้งคำสั่งห้ามไว้

ช่องโหว่นี้ได้รับ CVE-2019-14287 พบโดย Joe Vennix ของ Apple Information Security

ผู้ใช้งานควรตรวจสอบว่ามีการตั้งค่าที่เสี่ยงกับช่องโหว่ดังกล่าวหรือไม่และควรอัปเดต sudo ให้เป็น 1.8.28

ที่มา thehackernews redhat และ bleepingcomputer

ช่องโหว่ใหม่ เครื่อง Linux สามารถถูกแฮกได้เพียงแค่เปิดไฟล์ด้วย Vim หรือ Neovim

Armin Razmjou นักวิจัยด้านความปลอดภัยค้นพบช่องโหว่ที่สามารถรันคำสั่งในระดับระบบปฏิบัติการได้ (CVE-2019-12735) ในโปรแกรม Vim editor และ Neovim บนระบบปฏิบัติการ Linux
ช่องโหว่ดังกล่าวเกิดขึ้นที่ความสามารถ Modelines ในโปรแกรม Vim และ Neovim โดย Modelines ถูกตั้งค่าให้ใช้งานเป็นค่าเริ่มต้นเสมอ เพื่อค้นหาลักษณะการตั้งค่าที่ผู้สร้างไฟล์ใส่มาในไฟล์ ซึ่งตามปกติแล้ว Vim หรือ Neovim จะอนุญาตให้ตั้งค่าบางอย่างด้วย Modelines เท่านั้น และมีการใช้ sandbox เพื่อป้องกันกรณีมีการตั้งค่าที่ไม่ปลอดภัย

แต่ Razmjou พบว่าสามารถหลบหลีก sandbox ได้ด้วยการใช้คำสั่ง ":source!" ดังนั้นผู้โจมตีจึงสามารถสร้างไฟล์อันตรายที่หลบหลีก sanbox ขึ้นมาได้ ซึ่งสามารถแอบรันคำสั่งบนระบบปฏิบัติการ Linux ได้เมื่อมีผู้หลงเปิดไฟล์อันตรายด้วย Vim หรือ Neovim

ผู้ใช้งานควรอัพเดท Vim (patch 8.1.1365) และ Neovim (released in v0.3.6) ให้เป็นเวอร์ชั่นล่าสุดเพื่อป้องกันช่องโหว่ดังกล่าว
และ Razmjou ผู้ค้นพบช่องโหว่ดังกล่าวยังแนะนำเพิ่มเติมให้ผู้ใช้งาน

- ปิดการใช้งาน Modelines
- ปิดการใช้งาน modelineexpr และ
- ใช้ Securemodelines plugin แทน modelines

ที่มา : thehackernews

เมื่อช่วงสงกรานต์ที่ผ่านมา นักวิจัยด้านความปลอดภัย chaignc จากทีม HexpressoCTF ได้มีเปิดเผยเทคนิคใหม่ในการโจมตี sudo ในระบบปฏิบัติการลินุกซ์เพื่อช่วยยกระดับสิทธิ์ของบัญชีผู้ใช้งานปัจจุบันให้มีสิทธิ์สูงขึ้นภายใต้ชื่อการโจมตีว่า SUDO_INJECT

ในบล็อกนี้ ทีมตอบสนองการโจมตีและภัยคุกคาม (Intelligent Response) จะมาอธิบายถึงรายละเอียดการทำงานของ sudo ซึ่งทำให้เกิดเป็นช่องโหว่แบบ In-depth Vulnerability Analysis เพื่อความเข้าใจในสาเหตุการเกิดขึ้นของช่องโหว่นี้กันครับ

ทำความเข้าใจ Exploit
จากไฟล์ exploit ซึ่งปรากฎในโครงการของผู้ค้นพบช่องโหว่ เราจะมาทำความเข้าใจ exploit ซึ่งทำให้เราได้สิทธิ์ root ที่อยู่ในไฟล์ exploit.

สรุปย่อ
เมื่อช่วงกลางเดือนกุมภาพันธ์ที่ผ่านมา Canonical บริษัทผู้พัฒนา Ubuntu ได้ปล่อยแพตช์เพื่อแก้ไขช่องโหว่ที่ได้รับชื่อเรียกว่า Dirty Sock ค้นพบโดย Chris Moberly นักวิจัยจาก Shenanigans Labs ช่องโหว่ไม่ได้เป็นปัญหาของระบบปฏิบัติการ Linux โดยตรง แต่เป็นปัญหาในส่วนของ service ที่มีชื่อว่า Snapd ซึ่งถูกติดตั้งเป็น service พื้นฐานบนระบบปฎิบัติการ Linux หลายตัว เช่น Ubuntu, Debian, Arch Linux, OpenSUSE. Solus และ Fedora ถูกใช้เพื่อจัดการเกี่ยวกับการดาวโหลดและติดตั้งไฟล์ที่เป็น snaps (.snap) แพ็กเกจ ส่งผลให้ผู้ไม่หวังดีสามารถสร้างบัญชีที่มีสิทธิ์ระดับ root (Privilege Escalation) บนเครื่องได้ ผ่านช่องโหว่ใน API ของ Snapd

(ที่มา: https://www.