CISA เพิ่มช่องโหว่ใน Microsoft .NET เข้าสู่ KEV Catalog จากการที่ช่องโหว่กำลังถูกนำมาใช้ในการโจมตีอยู่ในปัจจุบัน

เมื่อไม่นานมานี้ สำนักงานความมั่นคงปลอดภัยทางไซเบอร์ และโครงสร้างพื้นฐานของอเมริกา (CISA) ได้เพิ่มช่องโหว่ทางด้านความปลอดภัยที่กำลังถูกนำมาใช้ในการโจมตีอยู่ในปัจจุบันบน Microsoft .NET และ Visual Studio ลงใน KEV Catalog โดยอ้างอิงจากหลักฐานการพบการโจมตีที่เกิดขึ้น
ช่องโหว่ CVE-2023-38180 (คะแนน CVSS: 7.5) เป็นช่องโหว่ denial-of-service (DoS) ที่มีระดับความรุนแรงสูง ซึ่งส่งผลกระทบต่อ .NET และ Visual Studio ซึ่งช่องโหว่ดังกล่าวได้รับการแก้ไขไปแล้วโดย Microsoft จากการอัปเดต Patch Tuesday ในเดือนสิงหาคม 2023 เมื่อต้นสัปดาห์นี้ โดยได้มีการประเมินว่าจะพบการโจมตีช่องโหว่นี้เพิ่มขึ้นเรื่อย ๆ และติดแท็กช่องโหว่นี้ไว้ว่า “Exploitation More Likely”

ในขณะที่ปัจจุบันยังไม่มีรายละเอียดเกี่ยวกับการโจมตีที่แน่ชัด แต่ Microsoft ได้รับรายงานว่ามี Proof-of-Concept (PoC) สำหรับช่องโหว่ออกมาแล้ว นอกจากนี้ยังพบว่าการโจมตีที่ใช้ประโยชน์จากช่องโหว่นี้สามารถทำได้โดยไม่ต้องได้รับการอนุญาต หรือการตอบโต้จากผู้ใช้งาน
Microsoft ระบุว่าได้มีการทดสอบ Proof-of-Concept (PoC) และพบว่าการโจมตีไม่ได้ผลกับระบบส่วนใหญ่ รวมทั้งไม่สามารถใช้ได้กับทุกสถานการณ์ ซึ่ง Proof-of-Concept (PoC) จะต้องได้รับการแก้ไขจากผู้โจมตีที่มีทักษะ และความเชี่ยวชาญเท่านั้น
สำหรับซอฟต์แวร์เวอร์ชันที่ได้รับผลกระทบ ได้แก่ ASP.NET Core 2.1, .NET 6.0, .NET 7.0, Microsoft Visual Studio 2022 เวอร์ชัน 17.2, Microsoft Visual Studio 2022 เวอร์ชัน 17.4 และ Microsoft Visual Studio 2022 เวอร์ชัน 17.6

ดังนั้น เพื่อลดความเสี่ยงที่อาจเกิดขึ้น CISA จึงแนะนำให้หน่วยงาน Federal Civilian Executive Branch (FCEB) เร่งอัปเดตแพตซ์เพื่อแก้ไขช่องโหว่ภายในวันที่ 30 สิงหาคม 2023

ที่มา: thehackernews.