แฮกเกอร์พบช่องโหว่ใหม่สำหรับข้ามขั้นตอนการพิสูจน์ตัวตนบน Router ที่ใช้เฟิร์มแวร์ Arcadyan กระทบผู้ใช้งานจำนวนมาก

 

กลุ่มแฮกเกอร์ไม่ทราบชื่อกำลังใช้ประโยชน์จากช่องโหว่ร้ายแรงในการข้ามขั้นตอนการพิสูจน์ตัวตน ทำให้สามารถเข้าควบคุม Router และแพร่มัลแวร์ Mirai botnet เพื่อใช้ในการโจมตี DDoS

CVE-2021-20090 (CVSS score: 9.9) เป็นช่องโหว่ Path Traversal บนเว็บอินเตอร์เฟสของ Router ซึ่งทำให้แฮกเกอร์สามารถข้ามขั้นตอนการพิสูจน์ตัวตนเพื่อเข้าควบคุม Router ได้ ซึ่งช่องโหว่นี้เกิดขึ้นกับเฟิร์มแวร์ของ Arcadyan โดยผู้เชี่ยวชาญจาก Tenable ได้เปิดเผยเมื่อวันที่ 3 สิงหาคม ว่าช่องโหว่นี้น่าจะมีมานานกว่า 10 ปีแล้ว  ซึ่งส่งผลกระทบกับ Router อย่างน้อย 20 รุ่นจากผู้ผลิต 17 ราย

 

การใช้ประโยชน์จากช่องโหว่นี้จะทำให้แฮกเกอร์สามารถข้ามขั้นตอนการพิสูจน์ตัวตน และเข้าถึงข้อมูลสำคัญต่างๆ ได้ เช่น Request tokens ซึ่งสามารถใช้เพื่อส่ง Request ไปแก้ไขการตั้งค่าของ Router ได้

ต่อมาไม่นาน Juniper Threat Labs ก็ค้นพบการโจมตีซึ่งพยายามจะใช้ประโยชน์จากช่องโหว่นี้มาจาก IP address ซึ่งระบุว่าอยู่ในประเทศจีน โดยเริ่มตั้งแต่วันที่ 5 สิงหาคม ที่แฮกเกอร์พยายามจะปล่อย Mirai botnet ไปยัง Router ต่างๆ ซึ่งผู้เชี่ยวชาญให้ความเห็นว่าพฤติกรรมการโจมตีที่พบนี้แสดงให้เห็นว่าเป็นการโจมตีจากแฮกเกอร์กลุ่มเดียวกันกับรายงานเหตุการณ์การโจมตีของผู้เชี่ยวชาญจาก Palo Alto Network ซึ่งได้พบเห็นการโจมตีในรูปแบบเดียวกันนี้ตั้งแต่ในช่วงเดือนมีนาคม

นอกจากช่องโหว่ CVE-2021-20090 แล้ว แฮกเกอร์ยังพยายามใช้ช่องโหว่อื่นๆ ในการโจมตี Router อีก เช่น

CVE-2020-29557 (Pre-authentication remote code execution in D-Link DIR-825 R1 devices)
CVE-2021-1497 และ CVE-2021-1498 (Command injection vulnerabilities in Cisco HyperFlex HX)
CVE-2021-31755 (Stack buffer overflow vulnerability in Tenda AC11 leading to arbitrary code execution)
CVE-2021-22502 (Remote code execution flaw in Micro Focus Operation Bridge Reporter)
CVE-2021-22506 (Information Leakage vulnerability in Micro Focus Access Manager)

เพื่อหลีกเลี่ยงการถูกโจมตี ผู้เชี่ยวชาญได้แนะนำให้ผู้ใช้งานพยายามอัพเดตเฟิร์มแวร์ของ Router ให้เป็นเวอร์ชันปัจจุบันอยู่เสมอ

ที่มา: thehackernews

ข้อผิดพลาดของ Cloudflare CDNJS อาจนำไปสู่การโจมตีในรูปแบบ Supply-Chain Attack

เมื่อเดือนที่แล้ว Cloudflare บริษัทผู้ให้บริการระบบเครือข่าย network และรักษาความปลอดภัยเว็บไซต์ ได้แก้ไขช่องโหว่ที่สำคัญในไลบรารี CDNJS ซึ่งมีการใช้งานอยู่ที่ 12.7% ของเว็บไซต์ทั้งหมดบนอินเทอร์เน็ต

CDNJS เป็นเครือข่ายการส่งเนื้อหา (Content Delivery Network) แบบโอเพ่นซอร์สที่ให้บริการฟรี ซึ่งให้บริการไลบรารี JavaScript และ CSS ประมาณ 4,041 รายการ ทำให้เป็น CDN ไลบรารี JavaScript ที่ได้รับความนิยมสูงสุดเป็นอันดับสองรองจาก Google Hosted Libraries

ข้อผิดพลาดเกี่ยวข้องกับปัญหาในเซิร์ฟเวอร์อัปเดตไลบรารี CDNJS ที่อาจอนุญาตให้ผู้โจมตีดำเนินการรันคำสั่งที่เป็นอันตรายได้ และนำไปสู่การเข้าถึงระบบโดยสมบูรณ์

ช่องโหว่ดังกล่าวถูกค้นพบและรายงานโดยนักวิจัยด้านความปลอดภัย RyotaK เมื่อวันที่ 6 เมษายน พ.ศ. 2564 ซึ่งยังไม่พบหลักฐานว่ามีการใช้ช่องโหว่นี้ในการโจมตีจริง

ช่องโหว่นี้ทำงานโดยการส่งแพ็คเกจไปยัง CDNJS ของ Cloudflare โดยใช้ GitHub และ npm ใช้เพื่อทริกเกอร์ช่องโหว่ path traversal และท้ายที่สุดคือทำให้เซิร์ฟเวอร์สามารถเรียกใช้โค้ดจากระยะไกลได้ น่าสังเกตว่าโครงสร้างพื้นฐานของ CDNJS มีการอัปเดตไลบรารีเป็นอัตโนมัติโดยเรียกใช้สคริปต์บนเซิร์ฟเวอร์เป็นระยะ เพื่อดาวน์โหลดไฟล์ที่เกี่ยวข้องจากที่เก็บ Git ซึ่งมีการจัดการโดยผู้ใช้หรือรีจิสตรีแพ็กเกจ npm

RyotaK พบว่า "สามารถเรียกใช้โค้ดได้ หลังจากดำเนินการ path traversal จากไฟล์ .tgz ไปยัง npm และเขียนทับสคริปต์ที่ทำงานเป็นประจำบนเซิร์ฟเวอร์" และ “ช่องโหว่นี้สามารถโจมตีได้โดยไม่ต้องใช้ทักษะพิเศษใดๆ แต่ก็สามารถส่งผลกระทบต่อเว็บไซต์จำนวนมากได้ ทำให้เป็นไปได้ว่าจะเกิดการโจมตีช่องโหว่นี้ในลักษณะ Supply-chain ได้"

เป้าหมายของการโจมตีคือการส่งแพ็คเกจที่สร้างขึ้นเป็นพิเศษไปยังที่เก็บ จากนั้นจะเลือกเซิร์ฟเวอร์อัปเดตไลบรารี CDNJS เพื่อเผยแพร่แพ็คเกจ กระบวนการคือการคัดลอกเนื้อหาของแพ็คเกจที่เป็นอันตรายไปยังโฮสต์ไฟล์สคริปต์ปกติที่เรียกใช้งานเป็นประจำบนเซิร์ฟเวอร์ ส่งผลให้มีการเรียกใช้โค้ดอันตรายได้

นี่ไม่ใช่ครั้งแรกที่นักวิจัยด้านความปลอดภัยค้นพบช่องโหว่ในลักษณะดังกล่าว โดยในเดือนเมษายน 2564 RyotaK ได้เปิดเผยช่องโหว่ที่สำคัญในที่เก็บ Homebrew Cask ซึ่งทำให้ผู้โจมตีสามารถรันโค้ดที่เป็นอันตรายได้บนเครื่องของผู้ใช้งาน

ที่มา : thehackernews

พบ Ransomware ตัวใหม่ใช้ประโยชน์จากช่องโหว่เก่าของ Fortinet VPN เพื่อโจมตีเครื่องที่ยังไม่ได้แพทช์

Cring ransomware เป็นมัลแวร์เรียกค่าไถ่สายพันธุ์ล่าสุดที่พบว่าอาศัยช่องโหว่ของ Fortinet SSL VPN (CVE-2018-13379) ที่สามารถถูกใช้เพื่อดึงข้อมูล credentials ของผู้ใช้งาน VPN ออกมาได้โดยไม่ต้องพิสูจน์ตัวตนผ่านการส่ง http request ที่ถูกดัดแปลงแล้ว (Path Traversal) และได้มีการเปิดเผย IP ของอุปกรณ์ที่มีช่องโหว่ออกมาเมื่อปลายปีที่แล้ว มัลแวร์เรียกค่าไถ่ตัวนี้เป็น human-operated ransomware นั่นคือเป็น ransomware ที่มีการปฏิบัติการและควบคุมโดยแฮ็กเกอร์อยู่เบื้องหลัง

เริ่มต้นด้วยการโจมตีช่องโหว่ของ Fortinet VPN จากนั้นจึงอาศัยข้อมูลที่ได้มาเข้าไปติดตั้ง Mimikatz ที่ถูกดัดแปลงลงบนเครื่องเหยื่อ ตามด้วย CobaltStrike และวาง ransomware ด้วยการดาวน์โหลดผ่านโปรแกรม CertUtil ของ Windows เอง เพื่อหลบหลีกการตรวจจับ Mimikatz จะถูกใช้เพื่อกวาด credentials ที่อาจหลงเหลืออยู่บนเครื่องเหยื่อ เพื่อนำไปเข้าถึงเครื่องอื่นๆ ต่อไป (Lateral movement) เช่น domain admin เป็นต้น จากนั้นจึงใช้ CobaltStrike เป็นเครื่องมือในการแพร่กระจายไฟล์ ransomware ไปยังเครื่องอื่นๆ

ถึงแม้ช่องโหว่ที่ค่อนข้างเก่า แต่ก็มีความรุนแรงสูงมาก (9.8/10) ผู้ใช้งาน Fortinet SSL VPN ที่ยังเป็น FortiOS 6.0.0 to 6.0.4, 5.6.3 to 5.6.7 และ 5.4.6 ถึง 5.4.12 ควรตรวจสอบอุปกรณ์ที่ใช้งานอยู่ และดำเนินการแพทช์โดยเร็วที่สุด สำหรับ IOCs สามารถศึกษาเพิ่มเติมได้จากรายงานของ Kaspersky ตามลิงก์ด้านล่าง : kaspersky

ที่มา: bleepingcomputer

แจ้งเตือนช่องโหว่ Code injection ในไลบรารี Node.js “systeminformation”

นักพัฒนาของไลบรารี Node.js "systeminformation" ได้มีการเผยแพร่เวอร์ชันของไลบรารีดังกล่าวหลังจากมีการตรวจพบช่องโหว่ Command injection ในตัวไลบรารีซึ่งปัจจุบันถูกติดตามด้วยรหัส CVE-2021-21315 ความน่ากังวลของสถานการณ์ดังกล่าวนั้นอยู่ที่ความนิยมของไลบรารีนี้ที่มียอดดาวน์โหลดรายสัปดาห์สูงถึง 800,000 ครั้ง ซึ่งหลังจากมีการเปิดเผยการแพตช์ไป อาจทำให้เกิดการโจมตีที่สร้างผลกระทบเป็นวงกว้างได้

ไลบรารี systeminformation เป็นไลบรารีใน Node.

SAP ออกเเพตซ์เเก้ไขช่องโหว่จำนวน 13 รายการ ในเเพตซ์ประจำเดือนธันวาคม 2020

SAP ประกาศการอัปเดตเเพตช์ความปลอดภัยประจำเดือนธันวาคม 2020 หรือ SAP Security Patch Day December 2020 โดยในเดือนธันวาคมนี้ SAP ได้ออกเเพตซ์เเก้ไขช่องโหว่ที่สำคัญจำนวน 13 รายการ ซึ่งช่องโหว่ที่ได้รับการเเก้ไขมี 4 รายการที่มีช่องโหว่ระดับความรุนแรงจาก CVSSv3 อยู่ที่ 9.1 - 10 และส่งผลกระทบต่อผลิตภัณฑ์ SAP NetWeaver AS JAVA, SAP BusinessObjects Business Intelligence Platform, SAP Business Warehouse และ SAP AS ABAP and S/4 HANA โดยรายละเอียดของโหว่ที่มีความสำคัญมีดังนี้

CVE-2020-26829 (CVSSv3: 10/10) เป็นช่องโหว่ที่เกิดจากปัญหาในการตรวจสอบการพิสูจน์ตัวตนใน SAP NetWeaver AS JAVA (P2P Cluster Communication) ช่องโหว่จะมีผลกระทบกับ (P2P Cluster Communication) เวอร์ชัน 7.11, 7.20, 7.30, 7.31, 7.40 และ 7.50
CVE-2020-26831 (CVSSv3: 9.6/10) เป็นช่องโหว่การขาดการตรวจสอบ XML ใน BusinessObjects Business Intelligence Platform (Crystal Report) ช่องโหว่จะทำให้ผู้โจมตีสามารถแทรกเอนทิตี XML โดยช่องโหว่จะมีผลกระทบกับ BusinessObjects Business Intelligence Platform (Crystal Report) เวอร์ชัน 4.1, 4.2 และ 4.3
CVE-2020-26838 (CVSSv3: 9.1/10) เป็นช่องโหว่ Code Injection ใน SAP Business Warehouse (Master Data Management) และ SAP BW4HANA ช่องโหว่จะมีผลกระทบกับ SAP AS ABAP(DMIS) เวอร์ชัน 011_1_620, 2011_1_640, 2011_1_700, 2011_1_710, 2011_1_730, 2011_1_731, 2011_1_752, 2020 และ SAP S4 HANA(DMIS) เวอร์ชัน 101, 102, 103, 104, 105
CVE-2020-26837 (CVSSv3: 9.1/10) เป็นช่องโหว่ Path traversal และช่องโหว่ที่เกิดจากปัญหาในการตรวจสอบการพิสูจน์ตัวตนใน SAP Solution Manager 7.2 (User Experience Monitoring) โดยช่องโหว่จะมีผลกระทบกับ SAP Solution Manager เวอร์ชัน 7.2
ทั้งนี้ผู้ดูแลระบบและผู้ใช้งานควรรีบทำการอัปเดตเเพตซ์เป็นการด่วนเพื่อเป็นการป้องกันผู้ประสงค์ร้ายใช้ประโยชน์จากช่องโหว่ทำการโจมตีระบบ ผู้ที่สนใจรายละเอียดแพตช์เพิ่มเติมสามารถดูได้จากเเหล่งที่มา

ที่มา: securityweek | wiki.

แจ้งเตือนช่องโหว่ใหม่ใน Citrix SD-WAN ทำ Remote Code Execution ได้

Citrix ออกประกาศและแพตช์สำหรับ 3 ช่องโหว่ใหม่ในแพลตฟอร์ม Citrix SD-WAN ได้แก่ CVE-2020-8721, CVE-2020-8272 และ CVE-2020-8273

ในส่วนของ 2 ช่องโหว่แรกนั้น ช่องโหว่ CVE-2020-8271 เป็นช่องโหว่ซึ่งทำให้ผู้โจมตีสามารถโจมตีด้วยวิธีการ Path traversal แบบไม่ต้องมีการยืนยันตัวตนรวมไปถึงทำ Shell injection ได้ ช่องโหว่ CVE-2020-8272 เป็นช่องโหว่ที่ทำให้ผู้โจมตีสามารถข้ามผ่านการระบุตัวตนได้ การโจมตีจะเกิดขึ้นได้ก็ต่อเมื่อแฮกเกอร์สามารถเข้าถึงหมายเลขไอพีแอดเดรสขา Management หรือ FQDN ของระบบ SD-WAN ได้

สำหรับช่องโหว่ที่สามนั้น ช่องโหว่ CVE-2020-8273 เป็นช่องโหว่ในลักษณะ Shell injection ซึ่งทำให้ผู้โจมตีสามารถรันคำสั่งของระบบได้ เงื่อนไขการโจมตีของช่องโหว่นี้อยู่ที่ผู้โจมตีจะต้องผ่านการพิสูจน์ตัวตนเป็นผู้ใช้งานในระบบก่อน

ช่องโหว่ทั้งหมดส่งผลกระทบต่อ Citrix SD-WAN Center ก่อนเวอร์ชัน 11.2.2, 11.1.2b และ 10.2.8 และยังไม่มีการประเมินคะแนนตามแนวทางของ CVSS ออกมา อย่างไรก็ตามขอให้ผู้ใช้งานติดตามและดำเนินการอัปเดตแพตช์ตามความเหมาะสมโดยด่วนด้วยลักษณะของผลกระทบจากช่องโหว่ที่สูง

ที่มา: threatpost

Adobe ออกแพตช์นอกรอบแก้ช่องโหว่ command injection และ Path Traversal ใน ColdFusion

 

Adobe ออกแพตช์นอกรอบสำหรับแพลตฟอร์มการพัฒนาเว็บแอปพลิเคชัน ColdFusion แก้ช่องโหว่สามช่องโหว่ซึ่งรวมถึงช่องโหว่สองช่องที่จัดอยู่ในประเภท “critical”

ColdFusion 2016 อัปเดตเป็นเวอร์ชั่น 12 และ ColdFusion 2018 อัปเดตเป็นเวอร์ชั่น 5 เพื่อแก้ไขช่องโหว่การโจมตีในรูปแบบ path traversal ซึ่งทำให้หลบเลี่ยง access control ได้ (CVE-2019-8074) และแก้ช่องโหว่ command injection ซึ่งสามารถโจมตีเพื่อรันคำสั่งอันตรายได้ (CVE-2019-8073)

อีกช่องโหว่ที่ถูกแก้ไขเป็นช่องโหว่เปิดเผยข้อมูลโดยไม่จำเป็น ความร้ายแรงระดับ important

นักวิจัยจาก Foundeo, Knownsec 404 Team และ Aura Information Security ได้รับเครดิตในการค้นพบช่องโหว่เหล่านั้น

Adobe กล่าวว่ายังไม่พบการโจมตีที่ใช้ประโยชน์จากช่องโหว่เหล่านี้และเชื่อว่าจะยังไม่มีการโจมตีเร็วๆ นี้ อย่างไรก็ตามผู้ใช้ไม่ควรเพิกเฉยต่ออัปเดตแพตช์เนื่องจากเมื่อปีที่แล้วพบการโจมตีโดยใช้ช่องโหว่ใน ColdFusion

ที่มา securityweek