นักวิจัยเปิดเผย PoC ของช่องโหว่ระบบ “Critical” ใน Cisco Security Manager สู่สาธารณะ

Cisco ได้เผยแพร่คำแนะนำด้านความปลอดภัยหลายประการเกี่ยวกับช่องโหว่ที่สำคัญใน Cisco Security Manager (CSM) หลังจาก Cisco ได้ทำการเปิดตัวแพตช์เพื่อเเก้ไขช่องโหว่ใน CSM เวอร์ชัน 4.22 อย่างเงียบ ๆ

การเปิดตัวแพตช์เพื่อเเก้ไขช่องโหว่ใน CSM เวอร์ชัน 4.22 เกิดขึ้นหลังจากนักวิจัย Code White Florian Hauser (frycos) เปิดเผย Proof-of-Concept ( PoC ) ต่อสาธารณะ โดย PoC ที่ถูกเปิดเผยเป็น PoC สำหรับช่องโหว่ด้านความปลอดภัยมากถึง 12 รายการใน CSM และช่องโหว่จะส่งผลต่อเว็บอินเตอร์เฟสของ CSM ซึ่งเป็นเครื่องมือสำหรับจัดการและกำหนดค่าไฟร์วอลล์และระบบป้องกันการบุกรุกในเครือข่าย โดยช่องโหว่จะทำให้ผู้โจมตีที่ไม่ได้รับการพิสูจน์ตัวตนสามารถรันโค้ดได้จากระยะไกล (Remote Code Execution - RCE) อย่างไรก็ดีช่องโหว่ยังสามารถทำให้ผู้โจมตีสามารถสร้างคำขอที่เป็นอันตรายตลอดจนอัปโหลดและดาวน์โหลดไฟล์ได้โดยไม่ได้รับอนุญาตในนามของบัญชีผู้ใช้ที่มีสิทธิ์สูงสุด "NT AUTHORITY \ SYSTEM" ซึ่งจะทำให้ผู้โจมตีสามารถเข้าถึงไฟล์ทั้งหมดในไดเรกทอรีเฉพาะได้ ทั้งนี้ช่องโหว่เหล่านี้มีคะแนน CVSS มากสุดถึง 9.1 จาก 10 ทำให้มีความสำคัญอย่างมาก

สำหรับการตัดสินใจเผยเเพร่ PoC ต่อสาธารณะนั้นเกิดจาก frycos ได้ทำการรายงานช่องโหว่ต่อทีม Cisco Product Security Incident Response Team (PSIRT) เมื่อ 3 เดือนก่อนเเต่ช่องโหว่ยังไม่ได้รับการเเก้ไข จึงทำให้ frycos ตัดสินใจเผยเเพร่ PoC ต่อสาธารณะเพื่อเป็นการกระตุ้นให้ทาง Cisco ทำการเเก้ไขช่องโหว่ดังกล่าว

ทั้งนี้ผู้ดูแลระบบควรรีบทำการอัปเดตและติดตั้งเเพตซ์ Cisco Security Manager เป็นเวอร์ชัน 4.22 เพื่อเเก้ไขช่องโหว่และเพื่อเป็นการป้องกันผู้ประสงค์ร้ายใช้ประโยชน์จากช่องโหว่ทำการโจมตีระบบ

ที่มา: thehackernews

Oracle ออกเเพตซ์ฉุกเฉินเเก้ไขช่องโหว่ RCE ใน WebLogic Server

Oracle ออกแพตซ์อัปเดตด้านความปลอดภัยฉุกเฉินเพื่อแก้ไขช่องโหว่การเรียกใช้โค้ดจากระยะไกล (Remote Code Execution - RCE) ใน Oracle WebLogic Server ที่ส่งผลกระทบต่อ Oracle WebLogic Server หลายเวอร์ชัน

ช่องโหว่ CVE-2020-14750 และ CVE-2020-14882 (CVSSv3: 9.8/10) เป็นช่องโหว่การโจมตีจากระยะไกลที่ช่วยให้ผู้โจมตีสามารถควบคุมระบบได้โดยการส่ง Http request ที่สร้างขึ้นมาเป็นพิเศษและไม่มีการตรวจสอบสิทธิ์ไปยัง Oracle WebLogic Server เวอร์ชัน 10.3.6.0.0, 12.1.3.0.0, 12.2.1.3.0, 12.2.1.4.0 และ 14.1.1.0

เนื่องจาก Proof-of-Concept (PoC) ของช่องโหว่ถูกเผยแพร่สู่สาธารณะและมีผู้ประสงค์ร้ายใช้ประโยชน์จากช่องโหว่ทำการโจมตีระบบตามรายงานของ SANS Technology Institute จึงทำให้ Oracle ตัดสินใจออกเเพตซ์เป็นการเร่งด่วนเพื่อแก้ไขช่องโหว่และเพื่อเป็นการป้องกันระบบ

ทั้งนี้ผู้ดูแลระบบ Oracle WebLogic Server ควรทำการอัปเดตเเพตซ์ความปลอดภัยเป็นการเร่งด่วนและควรทำการปิดการเข้าถึงเซิฟเวอร์จากอินเตอร์เน็ตเพื่อเป็นการป้องกันการใช้ประโยชน์จากช่องโหว่ทำการโจมตีระบบ

ที่มา: zdnet

 

นักวิจัยด้านความปลอดภัยเผยแพร่โค้ดเจาะช่องโหว่ใน Android ที่เพิ่งถูกแพตช์

 

นักวิจัยด้านความปลอดภัยชาวสหรัฐอเมริกาได้เผยแพร่โค้ด proof-of-concept บน GitHub สำหรับ CVE-2019-2215

ในช่วงต้นเดือนตุลาคม 2019 ที่ผ่านมามีการเปิดเผยช่องโหว่ CVE-2019-2215 โดยนักวิจัยจาก Google Project Zero ซึ่งช่องโหว่นี้กำลังถูกใช้โจมตีอยู่ ซึ่งนักวิจัยได้เปิดเผยโค้ด proof-of-concept (PoC) ด้วย แต่มีข้อจำกัดคือสามารถอ่านหรือเขียนบน kernel เท่านั้น

ซึ่งข้อจำกัดดังกล่าวทำให้ผู้ที่สนใจจะทดลองใช้โค้ดดังกล่าวเพื่อโจมตีต้องหาวิธีเพิ่มเติมในการหลบหลีกการป้องกัน Android kernel เอาเอง

แต่ล่าสุด Grant Hernandez นักศึกษาระดับปริญญาเอกของ Florida Institute of Cyber Security ได้ออกมาเผยแพร่โค้ดที่รวมเอาความสามารถในการหลบหลีกมาแล้ว ชื่อ Qu1ckR00t

Qu1ckR00t สามารถข้าม DAC (Discretionary Access Control) และ Linux Capabilities (CAP) นอกจากนี้ยังสามารถปิดใช้งาน SELinux (Linux-Enhanced Security), SECCOMP (Secure Computing Mode) และ MAC (Mandatory Access Control)

ผลลัพธ์ที่ได้คือ Qu1ckR00t จะทำให้ได้สิทธิ root บนอุปกรณ์แอนดรอยด์ ซึ่งโค้ดที่เผยแพร่ใน GitHub ของ Grant Hernandez เป็น source code ที่ต้อง compile เป็น APK เอง ซึ่งเมื่อลง APK บนเครื่องแล้วจะสามารถ root เครื่องได้เพียงแค่การกดในครั้งเดียว

Hernandez กล่าวว่าเขาได้ทดสอบ Qu1ckR00t ด้วยโทรศัพท์มือถือ Pixel 2 เท่านั้นและเตือนผู้ใช้ที่ไม่มีประสบการณ์ว่าอาจทำให้เครื่องพังแบบซ่อมไม่ได้ (brick) และข้อมูลหาย

ข้อเสียของการเผยแพร่เครื่องมือ Qu1ckR00t ในครั้งนี้ทำให้ผู้เขียนมัลแวร์สามารถนำโค้ดไปประยุกต์ใช้กับมัลแวร์เพื่อให้ได้สิทธิ์ root ได้

เพื่อลดความเสี่ยง ผู้ใช้งานควรอัปเดตแพตช์ ซึ่ง CVE-2019-2215 ถูกแก้ไขแล้วในแพตช์ประจำเดือนตุลาคม 2019 ของ Android และไม่ติดตั้งแอป APK ที่ไม่แน่ใจว่าปลอดภัยหรือไม่

ที่มา zdnet