ผู้เชี่ยวชาญพบ Phishing แคมเปญที่ถูกใช้เพื่อส่งมัลแวร์ Matanbuchus

ผู้เชี่ยวชาญตรวจพบแคมเปญที่เป็นอันตราย โดยพบการส่งมัลแวร์ 'Matanbuchus' ผ่าน Phishing Email เพื่อติดตั้ง Cobalt Strike บนเครื่องที่ถูกบุกรุก ซึ่ง Cobalt Strike เป็นซอร์ฟแวร์ที่ใช้สำหรับการทดสอบการเจาะระบบ แต่ปัจจุบันมักถูกใช้ในการโจมตีเพื่อหาช่องทางการปล่อย Payloads อื่นๆที่เป็นอันตรายได้

รายละเอียดเบื้องต้น

Matanbuchus เป็นโครงการ Malware-as-a-Service (MaaS) ที่ถูกพบครั้งแรกในเดือนกุมภาพันธ์ 2564 มีการโฆษณาบน Dark Web โดยโปรโมตว่าสามารถรันไฟล์ exe ได้โดยตรงบน System ของเครื่อง

จากนั้นผู้เชี่ยวชาญจาก Palo Alto Networks ได้ทำวิเคราะห์มัลแวร์เมื่อเดือนมิถุนายน พ.ศ. 2564 และทำการรวบรวมข้อมูลเพื่อทำการ Mapping Network Path และ Infrastructure ของมัลแวร์ รวมไปถึงคำสั่งบน PowerShell ที่ใช้ในการติดตั้ง Payloads

ลักษณะการโจมตี

ปัจจุบัน ผู้เชี่ยวชาญชื่อ Brad Duncan ได้นำตัวอย่างมัลแวร์มาตรวจสอบการทำงาน สรุปได้ดังนี้

1. หัวข้อของ Subject จะขึ้นต้นด้วยคำว่า RE: เพื่อหลอกให้ผู้ใช้งานว่าเป็นอีเมลตอบกลับการสนทนาที่เกิดขึ้นก่อนหน้า
2. ในอีเมลจะมีไฟล์ ZIP ที่ข้างในมีไฟล์ HTML อยู่ มันจะทำหน้าที่สร้างไฟล์ ZIP ใหม่อีกอัน ซึ่งข้างในเป็นไฟล์ MSI ที่มีลายเซ็นแบบดิจิทัลด้วยใบรับรองที่ออกโดย DigiCert ให้กับ "Westeast Tech Consulting, Corp"

3. หากผู้ใช้งานคลิกติดตั้งไฟล์ .MSI จะมีหน้า Install ขึ้นมา ซึ่งลักษณะ Fonts จะเป็น Adobe Acrobat catalog update จากนั้นจะมีรายงานว่ามีการติดตั้งผิดพลาด เพื่อเบี่ยงเบนความสนใจของเป้าหมายจากสิ่งที่เกิดขึ้นเบื้องหลัง
4. สิ่งที่เกิดขึ้นเบื้องหลังการติดตั้งไฟล์ MSI ปลอมคือ Payloads Matanbuchus สองรายการ ("main.

แพตช์เร่งด่วนของ Amazon สำหรับแก้ไขช่องโหว่ Log4j กลับพบว่ามีช่องโหว่ Privilege Escalation

"Hotpatch" ที่เผยแพร่โดย Amazon Web Services (AWS) เพื่อแก้ไขปัญหาช่องโหว่ของ Log4Shell กลับทำให้ผู้โจมตีสามารถใช้ในการเพิ่มระดับสิทธิ์ และ container escape ซึ่งช่วยให้ผู้โจมตีสามารถเข้าควบคุมเครื่องได้

นอกเหนือจาก Container แล้ว กระบวนการที่ไม่ได้รับสิทธินี้ยังสามารถใช้ประโยชน์จากแพตช์เพื่อยกระดับสิทธิ์ และใช้ root code execution ได้” Yuval Avrahami นักวิจัยจาก Palo Alto Networks Unit 42 กล่าวในรายงานที่เผยแพร่ในสัปดาห์นี้

ปัญหาของช่องโหว่ CVE-2021-3100, CVE-2021-3101, CVE-2022-0070 และ CVE-2022-0071 (คะแนน CVSS: 8.8) ซึ่งเป็นผลกระทบมาจากแพตช์แก้ไขเร่งด่วนจาก AWS โดยเกิดมาจากการที่แพตซ์ถูกออกแบบมาเพื่อค้นหา process ของ Java และแก้ไขช่องโหว่ของ Log4j แต่ไม่ได้มีการตรวจสอบ process ของ Java ใหม่ ที่จะทำงานภายในข้อจำกัดที่กำหนดไว้ใน Container

process ใดๆที่มีการรันในไบนารีชื่อว่า 'java' ไม่ว่าภายใน หรือภายนอก Container จะถูกแก้ไขจากแพตช์เร่งด่วนที่ออกมานี้" Avrahami อธิบายอย่างละเอียดว่า "ซึ่งทำให้ Malicious container อาจใช้ Malicious binary ที่มีชื่อว่า 'java' เพื่อหลอกให้แพตช์แก้ไขเร่งด่วนที่ติดตั้งไว้ เรียกใช้ด้วยสิทธิ์ระดับสูง"

ในขั้นตอนต่อมา สิทธิ์ที่ยกระดับขึ้นอาจถูกนำไปใช้ประโยชน์โดย malicious 'java' process เพื่อหลีกเลี่ยงการตรวจจับของ Container และเข้าควบคุมเซิร์ฟเวอร์ที่ถูกบุกรุกได้อย่างสมบูรณ์

"Container มักถูกใช้เป็นขอบเขตความปลอดภัยระหว่างแอปพลิเคชันที่ทำงานบนเครื่องเดียวกัน" Avrahami กล่าว "การหลีกเลี่ยงการตรวจจับของ Container ทำให้ผู้โจมตีสามารถขยายแคมเปญได้มากกว่าแอปพลิเคชันเดียว"

ขอแนะนำให้ผู้ใช้อัปเดตแพตช์เป็นเวอร์ชันล่าสุดโดยเร็วที่สุดเพื่อป้องกันการโจมตีที่อาจจะเกิดขึ้น

ที่มา : thehackernews.

แจ้งเตือน! NCC Group พบกลุ่มเเฮกเกอร์พยายามใช้ประโยชน์จากช่องโหว่ CVE-2021-22986 ในอุปกรณ์ F5 BIG-IP โจมตีอุปกรณ์ที่ไม่ได้รับการอัปเดตแพตช์เป็นจำนวนมาก

ผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์จากบริษัท NCC Group และนักวิจัยด้านรักษาความปลอดภัยจาก Bad Packets ได้ตรวจพบการพยายามใช้ช่องโหว่ CVE-2021-22986 ในอุปกรณ์ F5 BIG-IP และ BIG-IQ อย่างมากในสัปดาห์ที่ผ่านมา

สืบเนื่องมาจากเมื่อช่วงต้นเดือนมีนาคม F5 Networks ได้เปิดตัว การอัปเดตด้านความปลอดภัยสำหรับช่องโหว่ร้ายเเรงจำนวน 7 รายการในผลิตภัณฑ์ BIG-IP ซึ่งสามารถอ่านรายละเอียดได้ที่: i-secure

โดยหลังจากที่นักวิจัยด้านความปลอดภัยได้ทำการเผยแพร่โค้ด Proof-of-Concept สำหรับช่องโหว่ทางสาธารณะหลังจากที่ทาง F5 Networks ได้ทำการการแก้ไขช่องโหว่แล้ว ผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์จาก NCC Group และ Bad Packets ได้สังเกตเห็นกลุ่มแฮกเกอร์หลายกลุ่มเริ่มทำการโจมตีอุปกรณ์ F5 BIG-IP และ BIG-IQ ที่ไม่ได้รับการอัปเดตเเพตช์จำนวนมาก นอกจากนี้ทีม Unit 42 จาก Palo Alto Networks ยังได้พบการพยายามที่จะใช้ประโยชน์จากช่องโหว่ CVE-2021-22986 เพื่อทำการติดตั้ง Mirai botnet ในรุ่นต่างๆ แต่ในขณะนี้ยังมีไม่ความชัดเจนการโจมตีเหล่านั้นประสบความสำเร็จหรือไม่

สำหรับช่องโหว่ CVE-2021-22986 เป็นช่องโหว่การเรียกใช้โค้ดจากระยะไกลที่ช่วยให้ผู้โจมตีที่ไม่ได้รับการพิสูจน์ตัวตนสามารถรันคำสั่งได้ในส่วน iControl REST interface ซึ่งมีคะแนน CVSS อยู่ที่ 9.8 /10 และมีผลต่ออุปกรณ์ BIG-IP และ BIG-IQ

ทั้งนี้ผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์ได้ออกมาแนะนำให้ผู้ดูแลระบบควรรีบทำการอัปเดตเเพตช์โดยด่วนเพื่อป้องกันการตกเป็นเป้าหมายของการโจมตีจากผู้ประสงค์ร้าย

ที่มา: securityaffairs, bleepingcomputer, thehackernews

นักวิจัยด้านความปลอดภัยค้นพบ API ของ AWS มากกว่า 20 รายการที่จะสามารถทำให้ผู้โจมตีดักจับข้อมูลของผู้ใช้ได้

นักวิจัยด้านความปลอดภัยจาก Palo Alto Networks พบ API ของ Amazon Web Services (AWS) มากกว่า 20 รายการที่สามารถนำไปใช้เพื่อรับข้อมูลของภายในขององค์กรและใช้ประโยชน์จากข้อมูลเพื่อทำการโจมตีเป้าหมายแบบกำหนดบุคคลที่อยู่ภายในองค์กร

นักวิจัยด้านความปลอดภัยระบุว่า API ที่มีช่องโหว่การโจมตีจะทำงานในพาร์ติชัน AWS ทั้งสามตัวคือ aws, aws-us-gov หรือ aws-cn โดยบริการ AWS ที่เสี่ยงต่อการละเมิด ได้แก่ Amazon Simple Storage Service (S3), Amazon Key Management Service (KMS) และ Amazon Simple Queue Service (SQS)

นักวิจัยกล่าวอีกว่าสาเหตุที่แท้จริงของปัญหาคือที่ถูกค้นพบคือแบ็กเอนด์ AWS จะทำการตรวจสอบ resource-based policies ทั้งหมดที่แนบมากับ resources เช่นบัคเก็ต Amazon Simple Storage Service (S3) และ customer-managed key โดยทั่วไปฟิลด์ Principal จะถูกรวมอยู่ใน resource-based policies เพื่อระบุผู้ใช้ที่มีสิทธิ์เข้าถึง อย่างไรก็ตามหากระบุข้อมูลประจำตัวที่ไม่มีอยู่ใน policy การเรียก API เพื่อสร้างหรืออัปเดต policy จะเกิดการล้มเหลวและผู้โจมตีสามารถใช้ฟีเจอร์เพื่อตรวจสอบข้อมูลประจำตัวที่มีอยู่ในบัญชี AWS

Palo Alto Networks ได้ออกคำเเนะนำให้ผู้ดูแลระบบทำการลบผู้ใช้ที่ไม่ได้ใช้งานออก ซึ่งจะทำให้ผู้โจมตีไม่สามารถคาดเดาชื่อผู้ใช้ได้โดยการเพิ่มสตริงแบบสุ่มใน log และ monitor identity authentication ทั้งนี้ผู้ดูแลระบบควรทำการเปิดใช้งาน Two-Factor authentication (2FA) ในการเข้าสู่ระบบเพื่อเป็นการป้องกันบัญชีผู้ใช้อีกทางหนึ่ง

ที่มา: securityweek.

Palo Alto Networks Security Advisories November 2020 Updates

Palo Alto Networks ประกาศ 5 ช่องโหว่ใหม่ใน PAN-OS

เมื่อกลางสัปดาห์ที่ผ่านมา Palo Alto Networks ประกาศแพตช์จำนวน 5 ช่องโหว่ให้แก่ PAN-OS โดยมี 3 ช่องโหว่ที่มีคะแนน CVSSv3 สูงกว่า 7 คะแนน ช่องโหว่ที่น่าสนใจมีดังต่อไปนี้

CVE-2020-2050: ช่องโหว่ Authentication bypass ในกระบวนการตรวจสอบใบอนุญาตของไคลเอนต์ GlobalProtect กระทบ PAN-OS ในรุ่น 8.1 ถึง 10.0 ช่องโหว่นี้สามารถโจมตีได้ผ่านทางเครือข่าย ทำได้ง่ายและผู้โจมตีไม่จำเป็นต้องระบุตัวตน
CVE-2020-2022: ช่องโหว่ Session disclosure ใน Panorama ระหว่างการเปลี่ยน context ไปเป็น managed device กระทบ PAN-OS ในรุ่น 8.1 ถึง 10.0
CVE-2020-2000: ช่องโหว่ OS command injection และ Memory corruption กระทบ PAN-OS ในรุ่น 8.1 ถึง 10.0

ช่องโหว่ทั้งหมดได้รับการแพตช์ออกมาเป็น minor version ใหม่ เช่น หากช่องโหว่กระทบ PAN-OS 10.0.0 แพตช์จะถูกปล่อยออกมาในเวอร์ชัน 10.0.1 ผู้ดูแลระบบสามารถตรวจสอบรายละเอียดของแพตช์และช่องโหว่ได้จากแหล่งที่มา

ที่มา: security.

Palo Alto Networks เข้าซื้อบริการ Attack Surface Management “Expanse” ในมูลค่า $800 ล้านเหรียญฯ

Palo Alto Networks ประกาศการเข้าซื้อ Expanse ซึ่งเป็นผู้ให้บริการด้าน Attack surface management เมื่อกลางสัปดาห์ที่ผ่านมาในมูลค่า 800 ล้านดอลลาร์สหรัฐฯ โดยแนวทางของการเข้าซื้อนั้นค่อนข้างชัดเจนว่าส่วนของจะเข้ามาเติมเต็มฟีเจอร์ของกลุ่มโปรดักส์ Cortex ซึ่ง Palo Alto Networks ให้บริการอยู่ในขณะนี้

แพลตฟอร์มของ Expanse นั้นให้บริการการค้นหาและเฝ้าระวังทรัพยากรขององค์กรในอินเตอร์เน็ต รวมไปถึงการเฝ้าระวังและแจ้งเตือนพฤติกรรมที่ผิดปกติสำหรับกลุ่มทรัพยากรที่ถือเป็น attack surface พร้อมทั้งประเมินความเสี่ยงให้

ที่มา: zdnet.

Emotet campaign used parked domains to deliver malware payloads

Emotet ออกแคมเปญใหม่ใช้ Parked Domain ในการส่งเพย์โหลดมัลแวร์ไปยังเครื่องที่ตกเป็นเหยื่อ

นักวิจัยด้านความปลอดภัยทีม Unit 42 จาก Palo Alto Networks ได้เปิดเผยถึงแคมเปญฟิชชิ่งใหม่จาก Emotet botnet ที่ได้ใช้ Parked domain ที่เป็นอันตรายเป็นฐานในการส่งเพย์โหลดเพื่อการแพร่กระจายของมัลแวร์, การแพร่กระจายของโปรแกรมที่อาจไม่พึงประสงค์ (Potentially Unwanted Program - PUP) และการหลอกลวงแบบฟิชชิง

พฤติกรรมดังกล่าวเกิดจากทีมนักวิจัยจาก Unit 42 ได้ตรวจพบโดเมนที่ถูกใช้ในการโจมตีคือ valleymedicalandsurgicalclinic [.] com ซึ่งได้รับการจดทะเบียนครั้งแรกเมื่อวันที่ 8 กรกฎาคม 2020 และได้ถูกตั้งค่าให้เป็น Parked domain แต่หลังจากวันที่ 14 กันยายนที่ผ่านมาโดเมนดังกล่าวถูกพบอีกครั้งเพื่อใช้ในการแพร่กระจายของมัลแวร์ Emotet ผ่านเอกสารที่แนบมากับอีเมลฟิชชิ่งมีสคริปต์มาโครที่เรียกกลับไปยังเซิร์ฟเวอร์ C&C ของผู้ประสงค์ร้าย ซึ่งเมื่อผู้ใช้ตกเป็นเหยื่อแล้ว มัลแวร์จะนำไปสู่การขโมยข้อมูล Credential และรวมถึงการยึดครองอุปกรณ์ของผู้ที่ตกเป็นเหยื่ออีกด้วย

ทีมนักวิจัยจาก Unit 42 กล่าวอีกว่าจากการตรวจสอบ Parked domain ที่ในปัจจุบันมีจำนวนกว่า 6 ล้าน โดเมนและพบว่ามี 1 % ของ Parked domain ถูกใช้ในแคมเปญมัลแวร์หรือฟิชชิงและถูกกำหนดเป้าหมายไปยังเหยื่อที่อาจเกิดขึ้นจากหลายประเทศทั่วโลกเช่น สหรัฐอเมริกา, สหราชอาณาจักร, ฝรั่งเศส,ญี่ปุ่น, เกาหลีและอิตาลี นอกจากนี้แคมเปญของ Emotet จะมุ่งเน้นไปที่ภาคอุตสาหกรรมต่างๆ ตั้งแต่ภาครัฐการศึกษา, พลังงาน, การผลิต, การก่อสร้างและโทรคมนาคม

ทั้งนี้ผู้ใช้ควรทำการตรวจสอบเอกสารที่แนบมากับอีเมลทุกครั้งก่อนทำการเปิดเพื่อเป็นการป้องกันการตกเป็นเหยื่อของมัลแวร์

ที่มา: bleepingcomputer

“Black-T” มัลแวร์ Crypto-mining พัฒนาความสามารถในการขโมยรหัสผ่านบนระบบ Linux

ทีมนักวิจัย Unit 42 จาก Palo Alto Networks ได้เผยถึงการพบเวิร์ม cryptojacking ที่มีชื่อว่า “Black-T” จากกลุ่ม TeamTNT ซึ่งเป็นกลุ่มที่รู้จักกันในการกำหนดเป้าหมายเพื่อโจมตี AWS จากนั้นทำการใช้ Monero (XMR) cryptocurrency โดยเวิร์มที่ถูกค้นพบนั้นได้ถูกพัฒนาใหม่ทั้งการเพิ่มความสามารถในการขโมยรหัสผ่านและเครื่องสแกนเครือข่ายเพื่อให้ง่ายต่อการแพร่กระจายไปยังอุปกรณ์ที่มีช่องโหว่อื่นๆ

จากรายงานของทีมนักวิจัย Unit 42 พบว่า TeamTNT ได้เพิ่มความสามารถของมัลแวร์ในการใช้เครื่องมือ zgrab ซึ่งเป็นเครื่องมือสแกนเครือข่ายชนิดเดียวกับ pnscan และ masscan ที่อยู่ภายใน Black-T อยู่แล้วทำการสแกนเป้าหมาย ทั้งนี้เครื่องมือสแกน masscan ที่ใช้โดย Black-T ก็ได้รับการอัปเดตเพื่อกำหนดเป้าหมายเป็นพอร์ต TCP 5555 ซึ่งอาจบอกเป็นนัยว่า TeamTnT อาจกำหนดเป้าหมายไปที่อุปกรณ์ Android นอกจากนี้ Black-T ยังได้เพิ่ม Mimikatz แบบโอเพนซอร์สสองตัวคือ mimipy (รองรับ Windows / Linux / macOS) และ mimipenguin (รองรับ Linux) ทำการอ่านข้อมูลรหัสแบบ plaintext ภายในหน่วยความจำของระบบที่ถูกบุกรุกและส่งไปยังเซิร์ฟเวอร์ C&C ของ TeamTNT

ด้วยการรวมเทคนิคและขั้นตอนทั้งหมดเข้าด้วยกัน TeamTNT สามารถใช้บ็อตเน็ตของเซิร์ฟเวอร์ที่ถูกบุกรุกเพื่อทำการสแกนหา Docker daemon API เพิ่มเติม ภายในเครือข่ายโดยใช้เครื่องมือ masscan, pnscan และ zgrab และเมื่อมัลแวร์สามารถบุกรุกแล้วได้จะทำการติดตั้ง Kubernetes และ Docker และหลังจากนั้นจะปรับใช้ payload binary ใน container เพื่อทำการเริ่มต้น Monero (XMR) cryptocurrency ภายในเครื่องที่บุกรุก

ทั้งนี้ผู้ดูแลระบบควรทำการตรวจสอบให้แน่ใจว่า Docker daemon API บนระบบคลาวด์ของท่านไม่ถูกเปิดเผยและสามารถเข้าถึงได้จากอินเตอร์เน็ตและเพื่อเป็นการป้องกันการตกเป็นเหยือของมัลแวร์ ผู้ดูแลระบบควรใช้ทำการติดตั้งและใช้งาน Next-Generation Firewall ในระบบของท่าน

ที่มา : bleepingcomputer

09/09: Palo Alto Network ออกเเพตซ์แก้ไขช่องโหว่ 9 รายการใน PAN-OS

Alto Network ออกเเพตซ์แก้ไขช่องโหว่ 9 รายการใน PAN-OS ช่องโหว่ถูกค้นพบและรายงานโดย Mikhail Klyuchnikov นักวิจัยจาก Positive Technologies ซึ่งช่องโหว่ที่ถูกเเก้ไขนั้นมีระดับความรุนเเรงจาก CVSS อยู่ที่ 3.3 - 9.8 ช่องโหว่ที่มีความสำคัญมีรายละเอียดดังนี้

CVE-2020-2040 (CVSS: 9.8) เป็นช่องโหว่ Buffer overflow ใน PAN-OS โดยช่องโหว่จะทำให้ผู้โจมตีที่ไม่ได้รับการพิสูจน์ตัวตนสามารถขัดขวางกระบวนการของระบบและอาจเรียกใช้โค้ดได้โดยไม่ได้รับอนุญาตด้วยสิทธิ์ระดับรูท โดยการส่งคำขอที่เป็นอันตรายไปยัง Captive Portal หรืออินเทอร์เฟซ Multi-Factor Authentication ช่องโหว่นี้ได้โดยไม่ได้รับอนุญาตด้วยสิทธิ์ระดับรูทจะกระทบกับ PAN-OS 8.0 ทุกเวอร์ชัน, PAN-OS 8.1 เวอร์ชันก่อนหน้า PAN-OS 8.1.15, PAN-OS 9.0 เวอร์ชันก่อนหน้า PAN-OS 9.0.9, PAN-OS 9.1 เวอร์ชันก่อนหน้า PAN-OS 9.1.3 โดยช่องโหว่นี้จะไม่ส่งผลกระทบกับ GlobalProtect VPN และ PAN-OS management web interfaces
CVE-2020-2036 (CVSS: 8.8) เป็นช่องโหว่ Cross-Site Scripting (XSS) ช่องโหว่อยู่ใน management web interfaces ช่องโหว่จะทำให้ผู้โจมตีจากระยะไกลที่ทำการหลอกผู้ดูแลระบบด้วยเซสชันที่ได้รับการพิสูจน์ตัวตนและใช้งานอยู่บน firewall management interface ให้ทำการคลิกลิงก์ที่สร้างขึ้นเป็นพิเศษโดยช่องโหว่จะทำให้สามารถเรียกใช้โค้ด JavaScript ได้โดยไม่ได้รับอนุญาตในเบราว์เซอร์ของผู้ดูแลระบบและผู้โจมตีจะสามารถดำเนินการในฐานะดูแลระบบได้ ช่องโหว่นี้มีผลกระทบกับ PAN-OS 8.1 เวอร์ชันก่อนหน้า PAN-OS 8.1.16 และ PAN-OS 9.0 เวอร์ชันก่อนหน้า PAN-OS 9.0.9
CVE-2020-2041 (CVSS: 7.5) เป็นช่องโหว่ Denial-of-service (DoS) ใน Management web interface ช่องโหว่จะทำให้ผู้ใช้ที่ไม่ได้รับการพิสูจน์ตัวตนจากระยะไกลสามารถส่งคำขอที่สร้างขึ้นโดยเฉพาะไปยังอุปกรณ์ที่ทำให้บริการ appweb ซึ่งเมื่อเกิดการส่งการร้องขอซ้ำหลายครั้งส่งผลใก้เกิด DoS ใน PAN-OS เซอร์วิสและจะทำให้อุปกรณ์เกิดการรีสตาร์ท ช่องโหว่นี้จะส่งผลกระทบกับ PAN-OS 8.0 และ PAN-OS 8.1 ทุกเวอร์ชันก่อนหน้า 8.1.16
CVE-2020-2037(CVSS: 7.2) และ CVE-2020-2038 (CVSS: 7.2) เป็นช่องโหว่ Command Injection ใน Management web interface ช่องโหว่จะทำให้ผู้โจมตีสามารถรันคำสั่งได้ด้วยสิทธิ์ของรูท ช่องโหว่จะกระทบกับ PAN-OS 9.0 เวอร์ชันก่อนหน้า 9.0.10, PAN-OS 9.1 เวอร์ชันก่อนหน้า 9.1.4 และ PAN-OS 10.0 เวอร์ชันก่อนหน้า 10.0.1
CVE-2020-2042 (CVSS: 7.2) เป็นช่องโหว่ Buffer overflow ใน Management web interface ช่องโหว่จะทำให้ผู้โจมตีที่ได้รับการพิสูจน์ตัวตนสามารถขัดขวางกระบวนการของระบบและอาจเรียกใช้โค้ดโดยอำเภอใจด้วยสิทธิ์ระดับรูท ช่องโหว่นี้จะส่งผลกระทบกับ PAN-OS 10.0 เวอร์ชันก่อนหน้า PAN-OS 10.0.1
ทั้งนี้ผู้ดูแลระบบควรทำการอัปเดตเเพตซ์ของ PAN-OS ให้เป็นเวอร์ชันล่าสุดเพื่อป้องกันผู้ประสงค์ร้ายใช้ประโยชน์จากช่องโหว่ทำการโจมตีระบบ

ที่มา: security.

Cyber Security Frameworks Workshop By I-SECURE

“การสร้างระบบความปลอดภัยทางด้านไซเบอร์ให้กับองค์กรควรจะเริ่มต้นอย่างไร

เริ่มต้นตรงจุดไหนเพื่อให้องค์กรของเรามีความปลอดภัยตามมาตรฐานสากล”

I-SECURE ร่วมกับ Palo Alto Networks และ Attivo Networks ขอเชิญทุกท่านเข้าร่วม Workshop Series การสร้างระบบความปลอดภัยทางด้านไซเบอร์ด้วย NIST Cybersecurity Frameworks และ CIS Controls ซึ่งเป็น Frameworks ที่ได้รับยอมรับและเป็นมาตรฐานสากล

พิเศษของที่ระลึกสำหรับ Early Bird 10 ท่านแรก