Oracle ออกมาปฏิเสธว่าไม่ได้ถูกโจมตีระบบ หลังจากที่ Hacker อ้างว่าสามารถขโมยข้อมูลจาก SSO login servers ของ Oracle Cloud กว่า 6 ล้านรายการ

Oracle ให้ข้อมูลกับ BleepingComputer ว่า ไม่มีการโจมตีเกิดขึ้นกับ Oracle Cloud ข้อมูลที่ถูกเผยแพร่นั้นไม่ใช่ข้อมูลของ Oracle Cloud รวมถึงลูกค้าของ Oracle Cloud ไม่มีรายใดที่พบการโจมตี หรือสูญเสียข้อมูลใด ๆ

การปฏิเสธนี้ออกมาหลังจากที่ Hacker ในชื่อ rose87168 เปิดเผยข้อมูล text file จำนวนมากในวันที่ 20 มีนาคม 2025 โดยประกอบไปด้วยตัวอย่างข้อมูลในฐานข้อมูล, ข้อมูล LDAP และรายชื่อบริษัทที่ขโมยไปจาก SSO platform ของ Oracle Clouds

รวมถึง Hacker ได้แสดงหลักฐานว่าสามารถเข้าถึง Oracle Cloud servers ได้ โดยแสดง URL ของ Internet Archive ซึ่งระบุว่าได้อัปโหลดไฟล์ .txt ที่มีที่อยู่อีเมล ProtonMail ไปยัง login.

CISA ของสหรัฐฯ ได้เพิ่มช่องโหว่ด้านความปลอดภัย 2 รายการที่ส่งผลกระทบต่อ Adobe ColdFusion และ Oracle Agile Product Lifecycle Management (PLM) เข้าสู่รายการช่องโหว่ที่กำลังถูกนำไปใช้ในการโจมตีจริง (KEV) โดยอ้างอิงจากหลักฐานการถูกโจมตีจริง (more…)

Oracle แนะนำให้ลูกค้าติดตั้ง Critical Patch Update (CPU) ประจำเดือนมกราคม 2025 เพื่อแก้ไขช่องโหว่ด้านความปลอดภัยใหม่จำนวน 318 รายการที่พบในผลิตภัณฑ์ และบริการต่าง ๆ ของบริษัท (more…)

นักวิจัยพบ TargetCompany ransomware เวอร์ชัน Linux ตัวใหม่ ที่กำลังกำหนดเป้าหมายการโจมตีไปที่ VMware ESXi environments โดยใช้ custom shell script เพื่อส่ง และเรียกใช้เพย์โหลดที่เป็นอันตราย

TargetCompany หรือในชื่อ Mallox, FARGO และ Tohnichi ซึ่งเริ่มพบการโจมตีมาตั้งแต่เดือนมิถุนายน 2021 โดยมีเป้าหมายการโจมตีไปยัง database (MySQL, Oracle, SQL Server) ขององค์กรส่วนใหญ่ในไต้หวัน เกาหลีใต้ ไทย และอินเดีย

ในเดือนกุมภาพันธ์ 2022 ทาง Avast บริษัทแอนตี้ไวรัส ได้เผยแพร่เครื่องมือถอดรหัส ransomware ฟรี ที่สามารถถอดรหัสเวอร์ชันต่าง ๆ ของ TargetCompany ได้ ซึ่งต่อมาในเดือนกันยายน 2022 กลุ่ม TargetCompany ransomware ได้กลับมาปฏิบัติการอีกครั้ง โดยมุ่งเป้าหมายการโจมตีไปที่ Microsoft SQL ที่มีช่องโหว่ และข่มขู่เหยื่อด้วยการเผยแพร่ข้อมูลที่ถูกขโมยออกมาผ่านทาง Telegram

TargetCompany ransomware เวอร์ชัน Linux ตัวใหม่

Trend Micro บริษัทรักษาความปลอดภัยทางไซเบอร์รายงานว่า TargetCompany ransomware เวอร์ชัน Linux ตัวใหม่ สามารถตรวจสอบได้ว่ามีสิทธิ์ระดับผู้ดูแลระบบก่อนที่จะดำเนินการโจมตีหรือไม่

ในการดาวน์โหลด และการเรียกใช้งานเพย์โหลดของแรนซัมแวร์ Hacker จะใช้ custom shell script ที่สามารถขโมยข้อมูลไปเก็บไว้ยังเซิร์ฟเวอร์ที่อยู่คนละที่กันสองเซิร์ฟเวอร์ได้ เผื่อในกรณีที่เกิดปัญหาทางเทคนิคกับเครื่องเหยื่อ โดยเพย์โหลดจะตรวจสอบว่ากำลังทำงานในสภาพแวดล้อม VMware ESXi หรือไม่ โดยการรันคำสั่ง 'uname' และค้นหา 'vmkernel'

จากนั้น ไฟล์ “TargetInfo.

Oracle ออกคำแนะนำเกี่ยวกับการอัปเดต Critical Patch สำหรับเดือนมกราคม 2024 เพื่อแก้ไขช่องโหว่ที่ครอบคลุมหลายผลิตภัณฑ์ โดยการอัปเดตนี้มีการแก้ไขช่องโหว่ทั้งหมด 389 รายการ ซึ่งรวมถึงแพตซ์สำหรับช่องโหว่ระดับ critical

ช่องโหว่ที่มีความเสี่ยงสูงใน Critical Patch Update ของ Oracle ในเดือนมกราคม 2024

ช่องโหว่จำนวนมากภายใน Oracle Patch Update ในเดือนมกราคม 2024 ที่ได้รับการจัดประเภทด้วยคะแนน CVSS เกิน 9.0 ซึ่งแสดงถึงความรุนแรงในระดับ critical ซึ่งช่องโหว่เหล่านี้มีความเสี่ยงต่อการถูกใช้ในการโจมตีจากระยะไกลโดยไม่จำเป็นต้องผ่านการตรวจสอบสิทธิ์ (more…)

The U.S. Cybersecurity and Infrastructure Security Agency (CISA) หรือหน่วยงานรักษาความปลอดภัยทางไซเบอร์ และโครงสร้างพื้นฐานของสหรัฐ ได้เพิ่มช่องโหว่ 3 รายการไปยัง Known Exploited Vulnerabilities (KEV) ซึ่งเป็นรายการช่องโหว่ที่กำลังถูกนำมาใช้ในการโจมตี (more…)

เมื่อวันที่ 2 กุมภาพันธ์ หน่วยงานความมั่นคงปลอดภัยทางไซเบอร์ และโครงสร้างพื้นฐานของสหรัฐ (CISA) ได้เพิ่มช่องโหว่ด้านความปลอดภัย 2 รายการ ได้แก่ ช่องโหว่บน Oracle E-Business Suite และช่องโหว่บน SugarCRM ไปยัง Known Exploited Vulnerabilities (KEV) เนื่องจากพบการโจมตีโดยใช้ช่องโหว่ทั้ง 2 รายการแล้วในปัจจุบัน ซึ่งก่อนหน้านี้ทาง CISA ได้เพิ่ม CVE-2017-11357 (คะแนน CVSS: 9.8 ระดับความรุนแรงสูงมาก) ซึ่งเป็นช่องโหว่ที่ส่งผลกระทบต่อ Telerik UI ทำให้สามารถสั่งการ และอัพโหลดไฟล์ได้จากระยะไกล

ช่องโหว่บน Oracle E-Business Suite

CVE-2022-21587 (คะแนน CVSS: 9.8 ระดับความรุนแรงสูงมาก) เป็นช่องโหว่ของผลิตภัณฑ์ Oracle Web Applications Desktop Integrator โดย Oracle E-Business Suite โดยเป็นช่องโหว่ที่สามารถหลบเลี่ยงการตรวจสอบสิทธิในการเข้าถึงเครือข่ายผ่าน HTTP protocol

Oracle Web Applications Desktop Integrator ที่ได้รับผลกระทบ

Oracle Web Applications Desktop Integrator Version 2.3 ถึง 12.2.11

ซึ่งทาง Oracle ได้ออกแพตซ์อัปเดตเพื่อปิดช่องโหว่แล้วในเดือนตุลาคม 2022

ช่องโหว่บน SugarCRM

CVE-2023-22952 (คะแนน CVSS: 8.8 ระดับความรุนแรงสูง) เป็นช่องโหว่การตรวจสอบความถูกต้องของอินพุตใน SugarCRM ซึ่งทำให้สามารถโจมตีแบบ PHP injection ได้

SugarCRM ** ที่ได้รับผลกระทบ

SugarCRM Version 0.0
SugarCRM Version 12.0.0

ซึ่งทาง SugarCRM ได้ออกแพตซ์อัปเดตเพื่อปิดช่องโหว่แล้วใน Version 11.0.5 และ 12.0.2

การป้องกัน

ควรเร่งดำเนินการอัปเดตเพื่อปิดช่องโหว่โดยเร็วที่สุด

 

ที่มา : thehackernews

วันจันทร์ที่ 28 พฤศจิกายน 2022 ที่ผ่านมา สำนักงานความมั่นคงปลอดภัยทางไซเบอร์ และโครงสร้างพื้นฐานของอเมริกา (CISA) ได้เพิ่มช่องโหว่ที่ส่งผลกระทบต่อ Oracle Fusion Middleware ลงในแค็ตตาล็อกช่องโหว่ (KEV) โดยช่องโหว่มีหมายเลข CVE-2021-35587 มีคะแนน CVSS 9.8 โดยส่งผลกระทบต่อ Oracle Access Manager (OAM) เวอร์ชัน 11.1.2.3.0, 12.2.1.3.0 และ 12.2.1.4.0 ทำให้ผู้โจมตีที่ไม่ผ่านการยืนยันตัวตนมีสิทธิ์เข้าถึงเครือข่ายได้ทั้งหมด และใช้คำสั่งในอินสแตนซ์ประมวลผลคำสั่งจากระยะไกลในการเข้าถึงข้อมูล นอกจากนี้ยังอนุญาตให้ผู้โจมตีเข้าถึงเซิร์ฟเวอร์ OAM เป็นซอฟต์แวร์จากค่าย Oracle ซึ่งมีหน้าที่ในการช่วยจัดการกระบวนการพิสูจน์ และยืนยันตัวตนในรูปแบบของ Single Sign-On ในหลายรูปแบบอุปกรณ์

Greynoise ผู้เชี่ยวชาญด้าน Cybersecurity ยังเห็นว่าความพยายามในการโจมตีนั้นดำเนินไปอย่างต่อเนื่อง และมาจากสหรัฐอเมริกา จีน สิงคโปร์ และแคนาดา นอกจากนี้ CISA ที่เพิ่มรายการลงในแค็ตตาล็อกช่องโหว่ (KEV) ยังเป็นช่องโหว่ heap buffer overflow ที่พึ่งได้รับการแก้ไขในเว็บเบราว์เซอร์ Google Chrome (CVE-2022-4135) ซึ่งผู้ให้บริการอินเทอร์เน็ตยักษ์ใหญ่ยอมรับว่าถูกโจมตีจริง ดังนั้นหน่วยงานของรัฐบาลกลางจะต้องอัปเดตแพตช์ภายในวันจันทร์ที่ 19 ธันวาคม 2022 เพื่อรักษาความปลอดภัยเครือข่ายจากภัยคุกคามที่อาจเกิดขึ้นในครั้งนี้

ที่มา : thehackernews

นักวิจัยจาก Palo Alto Network ได้เปิดเผยถึงการตรวจพบมัลแวร์ Cryptojacking ชนิดใหม่ที่มีชื่อว่า Pro-Ocean ของกลุ่มแฮกเกอร์ Rocke ที่พุ่งเป้าหมายไปยังเซิร์ฟเวอร์อินสแตนซ์ที่มีช่องโหว่ของ Apache ActiveMQ, Oracle WebLogic และ Redis

มัลแวร์ Pro-Ocean กำหนดเป้าหมายการโจมตีไปยังแอปพลิเคชันบนคลาวด์เซิร์ฟเวอร์และใช้ประโยชน์จากช่องโหว่ของเซิร์ฟเวอร์ Oracle WebLogic (CVE-2017-10271), Apache ActiveMQ (CVE-2016-3088) และอินสแตนซ์ Redis ที่ไม่ได้รับการแพตช์ความปลอดภัยเพื่อเข้าควบคุมเซิร์ฟเวอร์ของเป้าหมาย

นักวิจัยจาก Palo Alto Networks ได้ทำการวิเคราะห์มัลแวร์และพบว่ามัลแวร์มีความสามารถของรูทคิตและเวิร์มที่ถูกทำการปรับปรุงใหม่ ซึ่งจะช่วยให้มัลแวร์สามารถซ่อนกิจกรรมที่เป็นอันตรายและแพร่กระจายไปยังซอฟต์แวร์ที่อยู่บนเครือข่ายของเป้าหมายได้ นอกจากนี้มัลแวร์ยังมีความสามารถของ Cryptojacking ที่ถูกใช้ในการขุด Monero ที่มาพร้อมกับโมดูลที่จะคอย Monitor การใช้งานของ CPU ซึ่งถาหากมีการใช้งาน CPU มากกว่า 30% ตัวมัลแวร์จะทำการ Kill โปรเซสการทำงานทิ้ง เพื่อเป็นการป้องกันการถูกตรวจจับความผิดปกติของการทำงาน

ทั้งนี้ผู้ดูแลระบบเซิร์ฟเวอร์ Oracle WebLogic, Apache ActiveMQ และอินสแตนซ์ Redis ควรรีบทำการอัปเดตแพตช์ความปลอดภัยให้เป็นเวอร์ชันล่าสุดเพื่อป้องกันการตกเป็นเป้าหมายการโจมตีของมัลแวร์ Pro-Ocean

ที่มา: bleepingcomputer

Oracle ออกแพตซ์อัปเดตด้านความปลอดภัยฉุกเฉินเพื่อแก้ไขช่องโหว่การเรียกใช้โค้ดจากระยะไกล (Remote Code Execution - RCE) ใน Oracle WebLogic Server ที่ส่งผลกระทบต่อ Oracle WebLogic Server หลายเวอร์ชัน

ช่องโหว่ CVE-2020-14750 และ CVE-2020-14882 (CVSSv3: 9.8/10) เป็นช่องโหว่การโจมตีจากระยะไกลที่ช่วยให้ผู้โจมตีสามารถควบคุมระบบได้โดยการส่ง Http request ที่สร้างขึ้นมาเป็นพิเศษและไม่มีการตรวจสอบสิทธิ์ไปยัง Oracle WebLogic Server เวอร์ชัน 10.3.6.0.0, 12.1.3.0.0, 12.2.1.3.0, 12.2.1.4.0 และ 14.1.1.0

เนื่องจาก Proof-of-Concept (PoC) ของช่องโหว่ถูกเผยแพร่สู่สาธารณะและมีผู้ประสงค์ร้ายใช้ประโยชน์จากช่องโหว่ทำการโจมตีระบบตามรายงานของ SANS Technology Institute จึงทำให้ Oracle ตัดสินใจออกเเพตซ์เป็นการเร่งด่วนเพื่อแก้ไขช่องโหว่และเพื่อเป็นการป้องกันระบบ

ทั้งนี้ผู้ดูแลระบบ Oracle WebLogic Server ควรทำการอัปเดตเเพตซ์ความปลอดภัยเป็นการเร่งด่วนและควรทำการปิดการเข้าถึงเซิฟเวอร์จากอินเตอร์เน็ตเพื่อเป็นการป้องกันการใช้ประโยชน์จากช่องโหว่ทำการโจมตีระบบ

ที่มา: zdnet