แจ้งเตือน! NCC Group พบกลุ่มเเฮกเกอร์พยายามใช้ประโยชน์จากช่องโหว่ CVE-2021-22986 ในอุปกรณ์ F5 BIG-IP โจมตีอุปกรณ์ที่ไม่ได้รับการอัปเดตแพตช์เป็นจำนวนมาก

ผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์จากบริษัท NCC Group และนักวิจัยด้านรักษาความปลอดภัยจาก Bad Packets ได้ตรวจพบการพยายามใช้ช่องโหว่ CVE-2021-22986 ในอุปกรณ์ F5 BIG-IP และ BIG-IQ อย่างมากในสัปดาห์ที่ผ่านมา

สืบเนื่องมาจากเมื่อช่วงต้นเดือนมีนาคม F5 Networks ได้เปิดตัว การอัปเดตด้านความปลอดภัยสำหรับช่องโหว่ร้ายเเรงจำนวน 7 รายการในผลิตภัณฑ์ BIG-IP ซึ่งสามารถอ่านรายละเอียดได้ที่: i-secure

โดยหลังจากที่นักวิจัยด้านความปลอดภัยได้ทำการเผยแพร่โค้ด Proof-of-Concept สำหรับช่องโหว่ทางสาธารณะหลังจากที่ทาง F5 Networks ได้ทำการการแก้ไขช่องโหว่แล้ว ผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์จาก NCC Group และ Bad Packets ได้สังเกตเห็นกลุ่มแฮกเกอร์หลายกลุ่มเริ่มทำการโจมตีอุปกรณ์ F5 BIG-IP และ BIG-IQ ที่ไม่ได้รับการอัปเดตเเพตช์จำนวนมาก นอกจากนี้ทีม Unit 42 จาก Palo Alto Networks ยังได้พบการพยายามที่จะใช้ประโยชน์จากช่องโหว่ CVE-2021-22986 เพื่อทำการติดตั้ง Mirai botnet ในรุ่นต่างๆ แต่ในขณะนี้ยังมีไม่ความชัดเจนการโจมตีเหล่านั้นประสบความสำเร็จหรือไม่

สำหรับช่องโหว่ CVE-2021-22986 เป็นช่องโหว่การเรียกใช้โค้ดจากระยะไกลที่ช่วยให้ผู้โจมตีที่ไม่ได้รับการพิสูจน์ตัวตนสามารถรันคำสั่งได้ในส่วน iControl REST interface ซึ่งมีคะแนน CVSS อยู่ที่ 9.8 /10 และมีผลต่ออุปกรณ์ BIG-IP และ BIG-IQ

ทั้งนี้ผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์ได้ออกมาแนะนำให้ผู้ดูแลระบบควรรีบทำการอัปเดตเเพตช์โดยด่วนเพื่อป้องกันการตกเป็นเป้าหมายของการโจมตีจากผู้ประสงค์ร้าย

ที่มา: securityaffairs, bleepingcomputer, thehackernews

กลุ่มช่องโหว่ล่าสุดใน Microsoft Exchange ถูกปล่อย POC แล้ว

จากที่ Microsoft ออกแพตช์ฉุกเฉินเพื่อเเก้ไขช่องโหว่ Zero-day สำหรับ Microsoft Exchange ที่ผ่านมาเมื่อวันที่ 2 มีนาคม 2021 ปัจจุบันกลุ่มช่องโหว่ดังกล่าวที่ถูกตั้งชื่อว่า ProxyLogon (https://proxylogon.

เตือนภัยช่องโหว่ร้ายแรงใน VMware vCenter Server มี POC และการสแกนหาเครื่องที่มีช่องโหว่แล้ว

เมื่อวันที่ 23 กุมภาพันธ์ 2021 ที่ผ่านมา VMware ออกแพตช์ให้กับ VMware vCenter Server (vCenter Server) เพื่อแก้ไขช่องโหว่ร้ายแรง CVE-2021-21972 ซึ่งทำให้ผู้โจมตีสามารถส่งคำสั่งอันตรายมาจากระยะไกลผ่านพอร์ต Hโดยที่ไม่ต้องยืนยันตัวตนเพื่อทำการรันบนระบบปฏิบัติการณ์ของเครื่องที่มี vCenter Server ได้

โดยหลังจากการประกาศแพตช์ช่องโหว่ดังกล่าวเพียงวันเดียวก็มีการเผยแพร่ POC ของช่องโหว่ดังกล่าวทันที ทำให้เกิดการสแกนหาเครื่องที่มีช่องโหว่ตามมา ซึ่งจากการค้นหาผ่าน shodan.

นักวิจัยด้านความปลอดภัยเปิดเผยรายละเอียดช่องโหว่บน Windows NT LAN Manager ที่ Microsoft เพิ่งทำการแก้ไขช่องโหว่

Yaron Zinar นักวิจัยด้านความปลอดภัยจากบริษัท Preempt ได้เปิดเผยถึงรายละเอียดของช่องโหว่ใน Windows NT LAN Manager (NTLM) ที่ Microsoft ได้ทำการแก้ไขช่องโหว่ดังกล่าวแล้วในการอัปเดตความปลอดภัยประจำเดือนหรือ Patch Tuesday เมื่อต้นเดือนที่ผ่านมา

ช่องโหว่ถูกติดตามด้วยรหัส CVE-2021-1678 (CVSSv3: 4.3/10) ซึ่งช่องโหว่ดังกล่าวได้รับการอธิบายจาก Microsoft ว่าเป็นช่องโหว่ที่สามารถ Bypass ฟีเจอร์ความปลอดภัยของ Windows NT LAN Manager (NTLM) โดยช่องโหว่ดังกล่าวอยู่ใน IRemoteWinSpool MSRPC interface ซึ่งเป็นอินเทอร์เฟซสำหรับ Printer Remote Procedure Call (RPC) ที่ออกแบบมาสำหรับการจัดการตัวจัดคิวของเครื่องพิมพ์เอกสารจากระยะไกล ซึ่งช่องโหว่จะทำให้ผู้โจมตีสามารถรีเลย์เซสชันการตรวจสอบสิทธิ์ NTLM ไปยังเครื่องที่ถูกโจมตีและใช้ MSRPC interface ของ Printer spooler เพื่อเรียกใช้โค้ดจากระยะไกลบนเครื่องที่ถูกโจมตี

ช่องโหว่จะส่งผลกระทบกับ Windows ทุกรุ่น ได้แก่ Windows Server, Windows Server 2012 R2, Windows Server 2008, Windows Server 2016, Windows Server 2019, RT 8.1, 8.1, 7 และ 10

ทั้งนี้นักวิจัยด้านความปลอดภัยได้กล่าวว่าพวกเขามีโค้ด Proof-of-Concept (POC) สำหรับช่องโหว่และสามารถใช้งานได้ แต่จะยังไม่ทำการเผยเเพร่สู่สาธารณะ อย่างไรก็ดีผู้ใช้และผู้ดูแลระบบควรทำการอัปเดตแพตช์ความปลอดภัยให้เป็นเวอร์ชันล่าสุดเพื่อป้องกันการตกเป็นเหยื่อของผู้ประสงค์ร้าย

ที่มา: securityweek | thehackernews

นักวิจัยเปิดเผย PoC ของช่องโหว่ระบบ “Critical” ใน Cisco Security Manager สู่สาธารณะ

Cisco ได้เผยแพร่คำแนะนำด้านความปลอดภัยหลายประการเกี่ยวกับช่องโหว่ที่สำคัญใน Cisco Security Manager (CSM) หลังจาก Cisco ได้ทำการเปิดตัวแพตช์เพื่อเเก้ไขช่องโหว่ใน CSM เวอร์ชัน 4.22 อย่างเงียบ ๆ

การเปิดตัวแพตช์เพื่อเเก้ไขช่องโหว่ใน CSM เวอร์ชัน 4.22 เกิดขึ้นหลังจากนักวิจัย Code White Florian Hauser (frycos) เปิดเผย Proof-of-Concept ( PoC ) ต่อสาธารณะ โดย PoC ที่ถูกเปิดเผยเป็น PoC สำหรับช่องโหว่ด้านความปลอดภัยมากถึง 12 รายการใน CSM และช่องโหว่จะส่งผลต่อเว็บอินเตอร์เฟสของ CSM ซึ่งเป็นเครื่องมือสำหรับจัดการและกำหนดค่าไฟร์วอลล์และระบบป้องกันการบุกรุกในเครือข่าย โดยช่องโหว่จะทำให้ผู้โจมตีที่ไม่ได้รับการพิสูจน์ตัวตนสามารถรันโค้ดได้จากระยะไกล (Remote Code Execution - RCE) อย่างไรก็ดีช่องโหว่ยังสามารถทำให้ผู้โจมตีสามารถสร้างคำขอที่เป็นอันตรายตลอดจนอัปโหลดและดาวน์โหลดไฟล์ได้โดยไม่ได้รับอนุญาตในนามของบัญชีผู้ใช้ที่มีสิทธิ์สูงสุด "NT AUTHORITY \ SYSTEM" ซึ่งจะทำให้ผู้โจมตีสามารถเข้าถึงไฟล์ทั้งหมดในไดเรกทอรีเฉพาะได้ ทั้งนี้ช่องโหว่เหล่านี้มีคะแนน CVSS มากสุดถึง 9.1 จาก 10 ทำให้มีความสำคัญอย่างมาก

สำหรับการตัดสินใจเผยเเพร่ PoC ต่อสาธารณะนั้นเกิดจาก frycos ได้ทำการรายงานช่องโหว่ต่อทีม Cisco Product Security Incident Response Team (PSIRT) เมื่อ 3 เดือนก่อนเเต่ช่องโหว่ยังไม่ได้รับการเเก้ไข จึงทำให้ frycos ตัดสินใจเผยเเพร่ PoC ต่อสาธารณะเพื่อเป็นการกระตุ้นให้ทาง Cisco ทำการเเก้ไขช่องโหว่ดังกล่าว

ทั้งนี้ผู้ดูแลระบบควรรีบทำการอัปเดตและติดตั้งเเพตซ์ Cisco Security Manager เป็นเวอร์ชัน 4.22 เพื่อเเก้ไขช่องโหว่และเพื่อเป็นการป้องกันผู้ประสงค์ร้ายใช้ประโยชน์จากช่องโหว่ทำการโจมตีระบบ

ที่มา: thehackernews

Oracle ออกเเพตซ์ฉุกเฉินเเก้ไขช่องโหว่ RCE ใน WebLogic Server

Oracle ออกแพตซ์อัปเดตด้านความปลอดภัยฉุกเฉินเพื่อแก้ไขช่องโหว่การเรียกใช้โค้ดจากระยะไกล (Remote Code Execution - RCE) ใน Oracle WebLogic Server ที่ส่งผลกระทบต่อ Oracle WebLogic Server หลายเวอร์ชัน

ช่องโหว่ CVE-2020-14750 และ CVE-2020-14882 (CVSSv3: 9.8/10) เป็นช่องโหว่การโจมตีจากระยะไกลที่ช่วยให้ผู้โจมตีสามารถควบคุมระบบได้โดยการส่ง Http request ที่สร้างขึ้นมาเป็นพิเศษและไม่มีการตรวจสอบสิทธิ์ไปยัง Oracle WebLogic Server เวอร์ชัน 10.3.6.0.0, 12.1.3.0.0, 12.2.1.3.0, 12.2.1.4.0 และ 14.1.1.0

เนื่องจาก Proof-of-Concept (PoC) ของช่องโหว่ถูกเผยแพร่สู่สาธารณะและมีผู้ประสงค์ร้ายใช้ประโยชน์จากช่องโหว่ทำการโจมตีระบบตามรายงานของ SANS Technology Institute จึงทำให้ Oracle ตัดสินใจออกเเพตซ์เป็นการเร่งด่วนเพื่อแก้ไขช่องโหว่และเพื่อเป็นการป้องกันระบบ

ทั้งนี้ผู้ดูแลระบบ Oracle WebLogic Server ควรทำการอัปเดตเเพตซ์ความปลอดภัยเป็นการเร่งด่วนและควรทำการปิดการเข้าถึงเซิฟเวอร์จากอินเตอร์เน็ตเพื่อเป็นการป้องกันการใช้ประโยชน์จากช่องโหว่ทำการโจมตีระบบ

ที่มา: zdnet

 

นักวิจัยด้านความปลอดภัยเผยแพร่โค้ดเจาะช่องโหว่ใน Android ที่เพิ่งถูกแพตช์

 

นักวิจัยด้านความปลอดภัยชาวสหรัฐอเมริกาได้เผยแพร่โค้ด proof-of-concept บน GitHub สำหรับ CVE-2019-2215

ในช่วงต้นเดือนตุลาคม 2019 ที่ผ่านมามีการเปิดเผยช่องโหว่ CVE-2019-2215 โดยนักวิจัยจาก Google Project Zero ซึ่งช่องโหว่นี้กำลังถูกใช้โจมตีอยู่ ซึ่งนักวิจัยได้เปิดเผยโค้ด proof-of-concept (PoC) ด้วย แต่มีข้อจำกัดคือสามารถอ่านหรือเขียนบน kernel เท่านั้น

ซึ่งข้อจำกัดดังกล่าวทำให้ผู้ที่สนใจจะทดลองใช้โค้ดดังกล่าวเพื่อโจมตีต้องหาวิธีเพิ่มเติมในการหลบหลีกการป้องกัน Android kernel เอาเอง

แต่ล่าสุด Grant Hernandez นักศึกษาระดับปริญญาเอกของ Florida Institute of Cyber Security ได้ออกมาเผยแพร่โค้ดที่รวมเอาความสามารถในการหลบหลีกมาแล้ว ชื่อ Qu1ckR00t

Qu1ckR00t สามารถข้าม DAC (Discretionary Access Control) และ Linux Capabilities (CAP) นอกจากนี้ยังสามารถปิดใช้งาน SELinux (Linux-Enhanced Security), SECCOMP (Secure Computing Mode) และ MAC (Mandatory Access Control)

ผลลัพธ์ที่ได้คือ Qu1ckR00t จะทำให้ได้สิทธิ root บนอุปกรณ์แอนดรอยด์ ซึ่งโค้ดที่เผยแพร่ใน GitHub ของ Grant Hernandez เป็น source code ที่ต้อง compile เป็น APK เอง ซึ่งเมื่อลง APK บนเครื่องแล้วจะสามารถ root เครื่องได้เพียงแค่การกดในครั้งเดียว

Hernandez กล่าวว่าเขาได้ทดสอบ Qu1ckR00t ด้วยโทรศัพท์มือถือ Pixel 2 เท่านั้นและเตือนผู้ใช้ที่ไม่มีประสบการณ์ว่าอาจทำให้เครื่องพังแบบซ่อมไม่ได้ (brick) และข้อมูลหาย

ข้อเสียของการเผยแพร่เครื่องมือ Qu1ckR00t ในครั้งนี้ทำให้ผู้เขียนมัลแวร์สามารถนำโค้ดไปประยุกต์ใช้กับมัลแวร์เพื่อให้ได้สิทธิ์ root ได้

เพื่อลดความเสี่ยง ผู้ใช้งานควรอัปเดตแพตช์ ซึ่ง CVE-2019-2215 ถูกแก้ไขแล้วในแพตช์ประจำเดือนตุลาคม 2019 ของ Android และไม่ติดตั้งแอป APK ที่ไม่แน่ใจว่าปลอดภัยหรือไม่

ที่มา zdnet