ผู้เชี่ยวชาญจาก Qualys ได้เปิดเผยถึงช่องโหว่ที่สำคัญในเครื่องมือ Sudo ที่จะช่วยให้ผู้โจมตีระบบปฏิบัติการ Unix สามารถยกระดับสิทธิ์เป็น Root โดยช่องโหว่ถูกติดตามด้วยรหัส CVE-2021-3156 หรือที่เรียกว่า Baron Samedit

Sudo เป็นเครื่องมือบนระบบปฏิบัติการ Unix ที่ช่วยจำกัดสิทธิ์ของผู้ใช้งานอยู่ในระดับปกติให้สามารถยกระดับสิทธิ์เป็นผู้ดูแลระบบที่มีสิทธิ์ Root บนระบบได้ อีกทั้ง Sudo ยังสามารถใช้เพื่อรันคำสั่งในบริบทของผู้ใช้งานอื่น ๆ ได้ ตามการคอนฟิกที่อยู่ใน /etc/sudoers

ช่องโหว่ CVE-2021-3156 เป็นช่องโหว่ Heap Buffer Overflow ที่นำไปสู่การยกระดับสิทธิ์เป็น Root ได้ โดยที่ผู้โจมตีไม่จำเป็นต้องรู้รหัสผ่านของผู้ใช้ โดยช่องโหว่นี้จะกระทบกับระบบปฏิบัติการ Ubuntu 20.04 (Sudo 1.8.31), Debian 10 (Sudo 1.8.27) และ Fedora 33 (Sudo 1.9.2) และคาดว่าเวอร์ชันของ Sudo ที่ได้รับผลกระทบคือ 1.9.0 – 1.9.5p1 และ 1.8.2 – 1.8.31p1

ทั้งนี้ผู้ใช้ที่ต้องการตรวจสอบว่าระบบปฏิบัติการของท่านได้รับผลกระทบจากช่องโหว่หรือไม่ สามารถทดสอบโดยคุณต้องเข้าสู่ระบบในฐานะผู้ใช้ปกติ จากนั้นรันคำสั่ง "sudoedit -s '/'" โดยระบบที่มีช่องโหว่จะแสดงข้อผิดพลาดที่ขึ้นต้นด้วย "sudoedit” ส่วนระบบที่ไม่ได้รับผลกระทบจะเเสดงข้อผิดพลาดที่ขึ้นต้นด้วย "usage:" อย่างไรก็ตามผู้ใช้และผู้ดูแลระบบควรทำการอัปเดต Sudo ให้เป็นเวอร์ชัน 1.9.5p2 หรือมากกว่า เพื่อป้องกันการตกเป็นเป้าหมายการโจมตีของผู้ประสงค์ร้าย

ที่มา: bleepingcomputer, zdnet

โครงการ VideoLAN ได้เปิดตัว VLC Media Player เวอร์ชัน 3.0.12 สำหรับ Windows, Mac และ Linux ในสัปดาห์ที่ผ่านมา โดยใน VLC Media Player เวอร์ชันล่าสุดนี้ได้ทำการปรับปรุงคุณสมบัติและแก้ไขความปลอดภัยมากมายอีกทั้งยังเป็นการอัปเกรดที่สำคัญสำหรับผู้ใช้ Mac เนื่องจากในเวอร์ชันนี้มีการรองรับ Apple Silicon และแก้ไขความผิดเพี้ยนของเสียงใน macOS

นอกจากการแก้ไขข้อบกพร่องและการปรับปรุงแล้ว VLC Media Player 3.0.12 ยังแก้ไขช่องโหว่ด้านความปลอดภัยจำนวนมากที่ถูกรายงานโดย Zhen Zhou จากทีมรักษาความปลอดภัยของบริษัท NSFOCUS ซึ่งค้นพบช่องโหว่ Buffer overflow ที่อาจทำให้ซอฟต์แวร์เกิดข้อขัดข้องหรืออาจนำไปสู่การเรียกใช้โค้ดได้โดยไม่ได้รับอนุญาตด้วยสิทธิ์ของผู้ใช้ที่ตกเป็นเป้าหมาย ซึ่งผู้โจมตีจากระยะไกลสามารถใช้ช่องโหว่นี้ได้โดยการสร้างไฟล์สื่อที่ออกแบบมาเป็นพิเศษและหลอกให้ผู้ใช้เปิดไฟล์ด้วย VLC

ทั้งนี้ผู้ใช้ VLC Media Player ควรทำการอัปเดตเวอร์ชันให้เป็น VLC 3.0.12 เพื่อป้องกันการตกเป็นเหยื่อของผู้ประสงค์ร้าย

ที่มา: bleepingcomputer

ไมโครซอฟต์ประกาศปล่อย Public preview ของโซลูชัน EDR สำหรับลินุกซ์เป็นส่วนหนึ่งของบริการ Microsoft Defender for Endpoint ภายใต้ Microsoft Defender Advanced Threat Protection (ATP) เมื่อกลางสัปดาห์ที่ผ่านมา

ฟีเจอร์หลักของ EDR แตกต่างกับ Antivirus โดยทั่วไปคือการให้ข้อมูลที่เป็นผลลัพธ์ของการ Detection แก่ผู้ใช้งานและเปิดช่องทางให้ผู้ใช้งานสามารถนำข้อมูลที่ประกอบกันเป็น Detection มาใช้ในลักษณะอื่นเพิ่มเติมได้ เช่น การระบุหาภัยคุกคามในลักษณะที่พิเศษที่มีอยู่ในระบบเป็นจำนวนมาก โซลูชันอย่าง EDR ยังมีฟีเจอร์สำคัญในการช่วยตอบสนองภัยคุกคามในลักษณะทั้ง containment, eradication และ recovery

โซลูชัน EDR สำหรับลินุกซ์นั้นรองรับดิสโทรลินุกซ์แบบเซิร์ฟเวอร์ได้แก่ RHEL 7.2+, CentOS Linux 7.2+, Ubuntu 16 LTS or higher LTS, SLES 12+, Debian 9+, และ Oracle Linux 7.2. ผู้ใช้งานที่สนใจทดสอบโซลูชันสามารถดูข้อมูลเพิ่มเติมได้จาก https://docs.

นักวิจัยด้านความปลอดภัย Sergei Glazunov จากทีม Google Project Zero ได้เปิดเผยถึงการค้นพบช่องโหว่ Zero-day บนเว็บเบราว์เซอร์ Google Chrome สำหรับ Windows, Mac และ Linux โดยช่องโหว่นี้จะทำให้ผู้โจมตีสามารถ Hijack คอมพิวเตอร์ที่ตกเป็นเป้าหมายได้

ช่องโหว่ถูกติดตามด้วยรหัส CVE-2020-15999 เป็นช่องโหว่ประเภท Memory corruption โดยช่องโหว่ถูกพบใน FreeType ซึ่งเป็นไลบรารีการพัฒนาซอฟต์แวร์แบบโอเพนซอร์สยอดนิยมสำหรับการแสดงผลแบบอักษรที่มาพร้อมกับ Chrome

หลังจากค้นพบช่องโหว่ Glazunov ได้ทำการรายงานช่องโหว่ Zero-day ไปยังนักพัฒนา FreeType ทันที ซึ่ง Glazunov มีความกังวลว่าผู้ประสงค์ร้ายจะใช้ช่องโหว่จากไลบรารี FreeType นี้ทำการโจมตีระบบอื่นๆ ซึ่งปุจจุบันยังไม่พบการใช้ประโยชน์จากช่องโหว่ แต่เนื่องจากไลบรารี FreeType เป็นโปรเจ็กต์โอเพ่นซอร์สจึงคาดว่าผู้ประสงค์ร้ายจะสามารถทำ reverse-engineer ของ zero-day ได้และจะสามารถหาช่องโหว่ของตัวเองได้ภายในไม่กี่วันหรือกี่สัปดาห์ โดยเมื่อได้รับการเเจ้งเตือนทีมผู้พัฒนา FreeType ได้ออกแพตช์ฉุกเฉินเพื่อแก้ไขปัญหาดังกล่าวแล้วใน FreeType เวอร์ชัน 2.10.4 แล้ว

ทั้งนี้ Google เปิดตัว Chrome เวอร์ชัน 86.0.4240.111 เพื่อเเก้ไขปัญหาด้านความปลอดภัยดังกล่าว ผู้ใช้ควรทำการอัปเดต Google Chrome ให้เป็นเวอร์ชันล่าสุดทันทีเพื่อเป็นการป้องกันผู้ประสงค์ร้ายทำการโจมตีผู้ใช้และระบบ

ที่มา: thehackernews | zdnet

Felix Wilhelm จาก Google Project Zero เปิดเผยช่องโหว่ใหม่รหัส CVE-2020-15228 ใน Github Actions ที่ได้มีการแจ้งเตือนไปตั้งแต่ปลายเดือนกรกฎาคม โดยช่องโหว่ดังกล่าวเกิดจากการคำสั่งในกลุ่ม workflow commands ที่ทำให้ Actions runner สามารถรันคำสั่ง shell ใน runner machine ได้ ซึ่งทำให้ช่องโหว่นี้มีความเสี่ยงที่จะถูกโจมตีเพื่อทำ command injection

ช่องโหว่จริงๆ อยู่ที่วิธีการที่ Action runner ประมวลผล workflow commands โดยปกตินั้นหากต้องการเรียกใช้ workflow command เราจะทำการเรียกใช้โดยใช้คำสั่ง echo ของ Linux จากนั้นให้ใส่ workflow commands ที่ครอบด้วย marker ลงไป โดย marker แตกต่างกันตามเวอร์ชันของ Action runner เช่นหากเป็นรุ่นแรกนั้น marker คือตัวอักษร ## และสำหรับรุ่นที่ 2 จะมี marker คือ :: ตามตัวอย่างเช่น echo '::set-output name=SELECTED_COLOR::green'

Action runner จะมองหา workflow commands จาก STDOUT ของคำสั่ง echo หรือคำสั่งใดๆ ก็ตามและนำข้อมูลทั้งหมดไปรัน Felix ระบุว่ากระบวนการตรงนี้มีโอกาสที่สูงมากที่จะถูกทำ command injection หากภายใน echo นั้นมี untrusted code อยู่ หรือมีการรับข้อมูลจากผู้ใช้มารัน ผู้ไม่ประสงค์ดีสามารถทำการ inject ข้อมูลในส่วนนี้ จากนั้นใช้คำสั่งอย่าง set-env หรือ add-path เพื่อแก้ไข environment varible ของ runner machine ตอน workflow กำลังทำงานอยู่ได้

การจะโจมตีช่องโหว่ได้นั้นขึ้นอยู่กับว่ามีการรับ untrusted input เข้าไปประมวลผลใน workflow ในขั้นตอนใด ตัวอย่างซึ่ง Felix ยกมานั้นคือโครงการหนึ่งของ vscode ซึ่งนำ GitHub Actions มาใช้ในการกระจาย Issues ไปยังโครงการอื่นโดยมีการรับข้อมูลจาก Issues มา ผู้โจมตีสามารถทำการ inject คำสั่งผ่านการสร้าง Issues เพื่อโจมตีช่องโหว่นี้ได้

GitHub ใช้เวลาเกือบ 3 เดือนในการแก้ไขปัญหานี้แต่กลับไม่สามาถรปิดการใช้งานหรือแก้ไขช่องโหว่โดยตรงได้ GitHub จึงได้มีการออกคำแนะนำในการใช้งานเพื่อลดความเสี่ยงแทนที่ https://github.

Google เปิดตัว Chrome เวอร์ชัน 86.0.4240.183 สำหรับ Windows, Mac และ Linux เพื่อแก้ไขช่องโหว่ด้านความปลอดภัย 10 รายการรวมถึงช่องโหว่การเรียกใช้โค้ดจากระยะไกล (Rmote Code Execution - RCE) แบบ Zero-day หลังพบผู้ประสงค์ร้ายพยายามใช้ประโยชน์จากช่องโหว่ทำการโจมตี

ช่องโหว่ CVE-2020-16009 เป็นช่องโหว่ในการใช้งานที่ไม่เหมาะสมใน V8 ซึ่งเป็นเอ็นจิ้น JavaScript โอเพ่นซอร์สของ Chrome ซึ่งจะทำให้ผู้โจมตีสามารถดำเนินการเรียกใช้โค้ดจากระยะไกลได้ผ่านหน้า HTML ที่สร้างขึ้นมาเป็นพิเศษ นอกจากนี้ Google ยังแก้ไขช่องโหว่ CVE-2020-17087 ช่องโหว่การยกระดับสิทธ์ในเคอร์เนล, CVE-2020-16004, CVE-2020-16005, CVE-2020-16006, CVE-2020-16007, CVE-2020-16008 และ CVE-2020-16011 ใน Chrome เวอร์ชัน 86.0.4240.183

ทั้งนี้ผู้ใช้ควรทำการอัปเดต Google Chrome เป็นเวอร์ชัน 86.0.4240.183 หรือเวอร์ชันใหม่ล่าสุด โดยเข้าไปที่การตั้งค่า -> ความช่วยเหลือ -> เกี่ยวกับ Google Chrome จากนั้นเว็บเบราว์เซอร์จะทำการตรวจสอบการอัปเดตใหม่โดยอัตโนมัติและติดตั้งเมื่อพร้อมใช้งาน

ที่มา: bleepingcomputer

Andy Nguyen นักวิจัยด้านความปลอดภัยจาก Google เปิดเผยชุดช่องโหว่ใหม่ภายใต้ชื่อ BleedingTooth ในโค้ด BlueZ ซึ่งอิมพลีเมนต์โปรโตคอล Bluetooth ทั้งหมด 3 CVE ได้แก่ CVE-2020-12351, CVE-2020-12352 และ CVE-2020-24490 ช่องโหว่ที่มีความร้ายแรงที่สุด (CVSSv3 8.3) นั้นคือช่องโหว่ CVE-2020-12351

ช่องโหว่ CVE-2020-12351 เป็นช่องโหว่ heap overflow ในโค้ดของ Bluetooth ในลินุกซ์เคอร์เนล ช่องโหว่นี้สามารถทำให้ผู้โจมตีซึ่งอยู่ในระยะของเครือข่าย Bluetooth ส่งแพ็คเกต l2cap แบบพิเศษที่ทำให้เกิดการ DoS หรือรันคำสั่งอันตรายในอุปกรณ์ด้วยสิทธิ์ของระบบได้ Andy มีการเปิดเผย PoC ของช่องโหว่นี้ไว้ใน GitHub อีกด้วยที่ https://github.

ทีมนักวิจัย Unit 42 จาก Palo Alto Networks ได้เผยถึงการพบเวิร์ม cryptojacking ที่มีชื่อว่า “Black-T” จากกลุ่ม TeamTNT ซึ่งเป็นกลุ่มที่รู้จักกันในการกำหนดเป้าหมายเพื่อโจมตี AWS จากนั้นทำการใช้ Monero (XMR) cryptocurrency โดยเวิร์มที่ถูกค้นพบนั้นได้ถูกพัฒนาใหม่ทั้งการเพิ่มความสามารถในการขโมยรหัสผ่านและเครื่องสแกนเครือข่ายเพื่อให้ง่ายต่อการแพร่กระจายไปยังอุปกรณ์ที่มีช่องโหว่อื่นๆ

จากรายงานของทีมนักวิจัย Unit 42 พบว่า TeamTNT ได้เพิ่มความสามารถของมัลแวร์ในการใช้เครื่องมือ zgrab ซึ่งเป็นเครื่องมือสแกนเครือข่ายชนิดเดียวกับ pnscan และ masscan ที่อยู่ภายใน Black-T อยู่แล้วทำการสแกนเป้าหมาย ทั้งนี้เครื่องมือสแกน masscan ที่ใช้โดย Black-T ก็ได้รับการอัปเดตเพื่อกำหนดเป้าหมายเป็นพอร์ต TCP 5555 ซึ่งอาจบอกเป็นนัยว่า TeamTnT อาจกำหนดเป้าหมายไปที่อุปกรณ์ Android นอกจากนี้ Black-T ยังได้เพิ่ม Mimikatz แบบโอเพนซอร์สสองตัวคือ mimipy (รองรับ Windows / Linux / macOS) และ mimipenguin (รองรับ Linux) ทำการอ่านข้อมูลรหัสแบบ plaintext ภายในหน่วยความจำของระบบที่ถูกบุกรุกและส่งไปยังเซิร์ฟเวอร์ C&C ของ TeamTNT

ด้วยการรวมเทคนิคและขั้นตอนทั้งหมดเข้าด้วยกัน TeamTNT สามารถใช้บ็อตเน็ตของเซิร์ฟเวอร์ที่ถูกบุกรุกเพื่อทำการสแกนหา Docker daemon API เพิ่มเติม ภายในเครือข่ายโดยใช้เครื่องมือ masscan, pnscan และ zgrab และเมื่อมัลแวร์สามารถบุกรุกแล้วได้จะทำการติดตั้ง Kubernetes และ Docker และหลังจากนั้นจะปรับใช้ payload binary ใน container เพื่อทำการเริ่มต้น Monero (XMR) cryptocurrency ภายในเครื่องที่บุกรุก

ทั้งนี้ผู้ดูแลระบบควรทำการตรวจสอบให้แน่ใจว่า Docker daemon API บนระบบคลาวด์ของท่านไม่ถูกเปิดเผยและสามารถเข้าถึงได้จากอินเตอร์เน็ตและเพื่อเป็นการป้องกันการตกเป็นเหยือของมัลแวร์ ผู้ดูแลระบบควรใช้ทำการติดตั้งและใช้งาน Next-Generation Firewall ในระบบของท่าน

ที่มา : bleepingcomputer

นักวิจัยด้านความปลอดภัยทางไซเบอร์จาก ESET ได้เปิดเผยถึงการค้นพบมัลเเวร์ชนิดใหม่ใน Linux ที่มีชื่อว่า "CDRThief" โดยมัลเเวร์ชนิดใหม่นี้พุ่งเป้าหมายไปที่ระบบ Voice over IP (VoIP) Softswitch เพื่อทำการขโมยข้อมูล Call Detail Records ( CDR )

นักวิจัยกล่าวว่าเป้าหมายหลักของมัลแวร์ CDRThief คือแพลตฟอร์ม Linux VoIP ได้แก่ Softswitch รุ่น VOS2009 และ 3000 จากบริษัท Linknat ในประเทศจีน ซึ่งเมื่อมัลแวร์สามารถเข้าถึงระบบได้แล้วจะค้นหาฐานข้อมูล MySQL ภายในที่ Softswitch จากรายการไดเร็กทอรีที่กำหนดไว้ล่วงหน้าเพื่อพยายามเข้าถึง Credential บนฐานข้อมูล MySQL และจะทำการ exfiltrates ข้อมูลเช่น Username, Password, IP address หลังจากทำการบุกรุกแล้วมัลเเวร์จะทำการ exfiltrate ข้อมูลส่วนตัวต่างๆ จาก Softswitch ที่ถูกบุกรุกรวมเช่น CDR หรือ Metadata และจะทำการเรียกใช้คำสั่ง SQL โดยตรงในฐานข้อมูล MySQL เพื่อทำการดักจับและรวบรวมข้อมูลที่เกี่ยวข้องกับ VoIP gateway

และนอกจากนี้ข้อมูลที่จะถูก exfiltrated จะถูกทำการบีบอัดและเข้ารหัสด้วยคีย์ RSA-1024 แบบฮาร์ดโค้ดก่อนที่จะทำการคัดลอก ซึ่งจะทำให้ผู้ดำเนินการมัลแวร์เท่านั้นที่สามารถถอดรหัสข้อมูลที่ถูกกรองออกมาได้

นักวิจัยยังกล่าวอีกว่าการปฏิบัติการของผู้คุกคามยังคงไม่ชัดเจนแต่คาดเดาว่าผู้โจมตีอาจเข้าถึงอุปกรณ์โดยใช้การ Brute-force attack หรือโดยใช้ช่องโหว่ที่ถูกค้นพบทำการโจมตี ซึ่งทั้งนี้เมื่อมีข้อมูล CDR และ VoIP gateway ผู้โจมตีสามารถใช้ประโยชน์จากข้อมูลที่ได้รับทำการหลอกหลวงและฉ้อโกงผู้ใช้ทั่วไปได้ หรือนำไปทำการโกงที่ชื่อว่า International Revenue Share Fraud (IRSF) ซึ่งเป็นการโทรไปยังเบอร์ที่มีการเก็บค่าบริการราคาแพงซึ่งผู้โจมตีเป็นเจ้าของ ทำให้องค์กรสูญเสียเงินให้กับผู้โจมตี ผู้ดูแลระบบที่มีการใช้งาน Softswitch ควรทำการเฝ้าระวังมัลแวร์ดังกล่าว

ที่มา: thehackernews.

พบช่องโหว่ในหน่วยความจำของ IBM DB2 ที่จะทำให้ผู้โจมตีสามารถเข้าถึงข้อมูลที่มีความสำคัญหรืออาจทำให้ระบบเกิด DoS ได้

Martin Rakhmanov หัวหน้าทีมวิจัยด้านความปลอดภัยทางไซเบอร์ SpiderLabs จาก Trustwave ได้เปิดเผยถึงรายละเอียดเกี่ยวกับช่องโหว่ในหน่วยความจำของ IBM DB2 Relational Database ซึ่งอาจทำให้ผู้โจมตีสามารถเข้าถึงข้อมูลที่มีความสำคัญหรือทำให้เกิดเงื่อนไขปฏิเสธการให้บริการ (DoS) ในฐานข้อมูล

ช่องโหว่ถูกติดตามด้วยรหัส CVE-2020-4414 ช่องโหว่เกิดจากการแชร์หน่วยความจำใน DB2 ด้วยการใช้ Trace facility ซึ่งทำให้ขาดการป้องกันที่ชัดเจน จึงทำให้ผู้โจมตีที่อยู่ภายในระบบสามารถทำการอ่านและเขียนในหน่วยความจำและยังสามารถดัมพ์เนื้อหาที่มี ซึ่งนอกจากนี้ผู้โจมตียังสามารถเขียนข้อมูลที่ไม่ถูกต้องบนพื้นที่หน่วยความจำของเป้าหมายเพื่อทำให้ฐานข้อมูลไม่สามารถเข้าถึงได้และทำให้เกิดเงื่อนไขปฏิเสธการให้บริการ (DoS)

ช่องโหว่นี้ส่งผลกระทบกับ IBM DB2 สำหรับ Linux, UNIX และ Windows (9.7, 10.1, 10.5, 11.1, 11.5) ทั้งนี้ IBM เปิดตัวเเพตซ์การแก้ไขสำหรับช่องโหว่แล้วเมื่อวันที่ 30 มิถุนายนที่ผ่านมา ผู้ดูแลระบบควรทำการรีบอัปเดตเเพตซ์เพื่อเเก้ไขช่องโหว่ดังกล่าวและเพื่อป้องกันผู้ประสงค์ร้ายใช้ประโยชน์จากช่องโหว่ทำการโจมตีระบบ

ที่มา: bleepingcomputer | trustwave