Synology ออกอัปเดตแก้ไขช่องโหว่ Zero-Days ที่ถูกใช้โจมตีในงาน Pwn2Own

Synology ผู้ผลิตอุปกรณ์จัดเก็บข้อมูลบนเครือข่าย (NAS) ของไต้หวัน ได้แก้ไขช่องโหว่ระดับ Critical 2 รายการที่ถูกโจมตีในการแข่งขัน Pwn2Own hacking competition (more…)

QNAP ออกแพตช์แก้ไขช่องโหว่ zero-day ที่สอง ซึ่งถูกนำมาใช้ในการโจมตีในงาน Pwn2Own เพื่อยกระดับสิทธิ์เป็น root

QNAP ได้ออกแพตช์เพื่อแก้ไขช่องโหว่ zero-day ที่สอง ซึ่งถูกนักวิจัยด้านความปลอดภัยนำไปใช้โจมตีในการแข่งขันแฮ็ก Pwn2Own เมื่อสัปดาห์ที่ผ่านมา

ช่องโหว่ระดับ Critical นี้เป็นช่องโหว่ SQL injection (SQLi) ที่มีหมายเลข CVE-2024-50387 เป็นช่องโหว่ใน SMB service ของ QNAP และได้รับการแก้ไขแล้วในเวอร์ชัน 4.15.002 ขึ้นไป และ h4.15.002 ขึ้นไป

ช่องโหว่ zero-day นี้ได้รับการแก้ไขไปแล้วหนึ่งสัปดาห์หลังจากที่ YingMuo (ซึ่งทำงานร่วมกับโครงการฝึกงาน DEVCORE) สามารถเข้าถึงสิทธิ์ root และควบคุมอุปกรณ์ QNAP TS-464 NAS ได้ในงาน Pwn2Own Ireland 2024 (more…)

QNAP แก้ไขช่องโหว่ Zero-Day บน NAS Backup Software ที่ถูกใช้โจมตีใน Pwn2Own

QNAP แก้ไขช่อง zero-day ความรุนแรงระดับ Critical ที่ถูกนักวิจัยด้านความปลอดภัยใช้โจมตีอุปกรณ์ NAS TS-464 ในระหว่างการแข่งขัน Pwn2Own Ireland 2024

CVE-2024-50388 เป็นช่องโหว่ด้านความปลอดภัยที่เกิดจาก OS command injection ใน HBS 3 Hybrid Backup Sync เวอร์ชัน 25.1.x ซึ่งเป็นโซลูชันการกู้คืนระบบ และการสำรองข้อมูล ที่ทำให้ Hacker สามารถเรียกใช้คำสั่งได้ตามที่ต้องการได้

ช่องโหว่ดังกล่าวถูกค้นพบโดย Ha The Long และ Ha Anh Hoang จาก Viettel Cyber ​​Security ที่สามารถเรียกใช้คำสั่ง และได้รับสิทธิ์ของผู้ดูแลระบบในวันที่สามของงาน Pwn2Own Ireland 2024

ปัจจุบัน QNAP ได้แก้ไขช่องโหว่ดังกล่าวแล้วใน HBS 3 Hybrid Backup Sync เวอร์ชัน 25.1.1.673 และเวอร์ชันที่ใหม่กว่า

หากต้องการอัปเดต HBS 3 บนอุปกรณ์ NAS สามารถเข้าสู่ระบบ QTS หรือ QuTS hero ในฐานะผู้ดูแลระบบ เปิด App Center และค้นหา "HBS 3 Hybrid Backup Sync" หากมีการอัปเดต ให้คลิก "Update" หากไม่พบปุ่ม "Update" แสดงว่า HBS 3 Hybrid Backup Sync อาจได้รับการอัปเดตไปแล้ว

หลังจากการแข่งขัน Pwn2Own ผู้ให้บริการมักจะใช้เวลาในการออกอัปเดตแพตซ์ด้านความปลอดภัย เนื่องจากพวกเขามีเวลา 90 วันจนกว่า Zero Day Initiative ของ Trend Micro จะเผยแพร่รายละเอียดเกี่ยวกับช่องโหว่ด้านความปลอดภัยที่ถูกใช้ในระหว่างการแข่งขัน Pwn2Own

ทั้งนี้ในการแข่งขันดังกล่าว ทีม Viettel เป็นผู้คว้าชัยชนะในการแข่งขัน Pwn2Own Ireland 2024 โดยมีรางวัลมูลค่ารวมกว่า 1 ล้านเหรียญสหรัฐฯ โดยมอบให้กับ Hacker ที่เปิดเผยช่องโหว่ Zero Day ที่ไม่ซ้ำกันมากกว่า 70 รายการ

ในปี 2021 QNAP ได้ลบ backdoor account ใน Hybrid Backup Sync solution (CVE-2021-28799) ซึ่งถูกใช้ในการโจมตีร่วมกับช่องโหว่ SQL Injection ใน Multimedia Console และ Media Streaming Add-On (CVE-2020-36195) เพื่อติดตั้ง Qlocker ransomware ในอุปกรณ์ NAS ที่เข้าถึงได้จากอินเทอร์เน็ตเพื่อเข้ารหัสไฟล์ข้อมูล

ในเดือนมิถุนายน 2020 QNAP ได้แจ้งเตือนการโจมตีด้วย eCh0raix ransomware ที่ใช้ประโยชน์จากช่องโหว่ด้านความปลอดภัยของแอป Photo Station หลังจากนั้นหนึ่งปีต่อมา eCh0raix (หรือที่เรียกว่า QNAPCrypt) ได้กลับมาโจมตีอีกครั้งโดยใช้ประโยชน์จากช่องโหว่ที่พบ และบัญชีที่ใช้รหัสผ่านที่คาดเดาได้ง่าย

นอกจากนี้ QNAP ยังแจ้งเตือนลูกค้าในเดือนกันยายน 2020 เกี่ยวกับการโจมตีด้วย AgeLocker ransomware ที่กำหนดเป้าหมายไปที่อุปกรณ์ NAS ที่เข้าถึงได้จากอินเทอร์เน็ต และใช้งาน Photo Station เวอร์ชันเก่า และมีช่องโหว่

อุปกรณ์ QNAP เป็นเป้าหมายยอดนิยมของกลุ่ม Hacker ที่ใช้ในการเรียกค่าไถ่ เนื่องจากอุปกรณ์เหล่านี้จัดเก็บไฟล์ส่วนบุคคลที่มีความสำคัญ ทำให้สามารถใช้เป็นเครื่องมือในการบังคับให้เหยื่อจ่ายค่าไถ่เพื่อถอดรหัสข้อมูลได้

ที่มา : bleepingcomputer 

ช่องโหว่ Zero-Day รวมกว่า 70 รายการทำให้แฮ็กเกอร์ได้รับเงิน 1 ล้านดอลลาร์ที่งาน Pwn2Own Ireland

วันที่สี่ของงาน Pwn2Own Ireland 2024 ถือว่าเป็นวันสุดท้ายของการแข่งขันแฮ็ก โดยมีเงินรางวัลมากกว่า 1 ล้านดอลลาร์จากการค้นพบช่องโหว่ Zero-Day กว่า 70 รายการในอุปกรณ์ที่ได้รับการอัปเดตล่าสุด

การแข่งขันแฮ็กนี้เป็นความท้าทายให้เหล่านักวิจัยด้านความปลอดภัยเจาะระบบในซอฟต์แวร์ และฮาร์ดแวร์หลายประเภท เพื่อชิงตำแหน่ง "Master of Pwn" โดยมีเป้าหมายให้เจาะระบบใน 8 หมวดหมู่ ตั้งแต่โทรศัพท์มือถือ, แอปพลิเคชันส่งข้อความ, ระบบอัตโนมัติที่ใช้ในบ้าน, ลำโพงอัจฉริยะ, เครื่องพิมพ์, ระบบเฝ้าระวัง, อุปกรณ์จัดเก็บข้อมูลเครือข่าย (NAS) ไปจนถึงอุปกรณ์สำนักงานขนาดเล็ก (SOHO Smash-up)

Pwn2Own ครั้งนี้นับเป็นปีที่สี่ติดต่อกันที่เหล่า white-hat แฮ็กเกอร์สามารถคว้ารางวัลรวมเกินหนึ่งล้านดอลลาร์ โดยทำยอดรวมทั้งหมดได้ถึง 1,066,625 ดอลลาร์

ในวันสุดท้ายของการแข่งขัน นักวิจัยด้านความปลอดภัยสามารถโจมตีอุปกรณ์ Lexmark, True NAS และ QNAP ได้สำเร็จ

Team Smoking Barrels ใช้ช่องโหว่สองรายการใน TrueNAS X แม้ว่าหนึ่งในช่องโหว่จะเคยถูกใช้มาก่อนในการแข่งขัน แต่ยังคงได้รับเงินรางวัล 20,000 ดอลลาร์ และ 2 คะแนนสำหรับตำแหน่ง Master of Pwn
Team Cluck ใช้ช่องโหว่ทั้งหมด 6 รายการเพื่อย้ายจากอุปกรณ์ QNAP QHora-322 ไปยัง Lexmark CX331adwe แม้ว่าจะมีหนึ่งช่องโหว่ที่เคยถูกนำมาใช้แล้ว แต่ยังคงได้รับเงินรางวัล 23,000 ดอลลาร์ และคะแนน Master of Pwn สำหรับการแฮ็กที่สำเร็จครั้งนี้
Viettel Cyber Security ทำการโจมตี TrueNAS Mini X ด้วยการใช้ช่องโหว่ 2 รายการในการแฮ็ก แม้ว่าจะมีช่องโหว่หนึ่งรายการที่เคยปรากฏในการแข่งขันก่อนหน้านี้ แต่การสาธิตนี้ยังได้รับเงินรางวัล 20,000 ดอลลาร์ และ 2 คะแนน Master of Pwn
PHP Hooligans / Midnight Blue ใช้ช่องโหว่แบบ integer overflow ในการโจมตี Lexmark printer ซึ่งทำให้พวกเขาได้รับเงินรางวัล 10,000 ดอลลาร์ และ 2 คะแนน Master of Pwn

Viettel Cyber Security ได้รับรางวัล "Master of Pwn" หลังจากสะสมคะแนน Master of Pwn รวม 33 คะแนน พวกเขาได้รับเงินรางวัล 205,000 ดอลลาร์สำหรับช่องโหว่ใน QNAP NAS, Sonos speakers และ Lexmark printers

งาน Pwn2Own ครั้งถัดไปมีกำหนดจัดขึ้นในวันที่ 22 มกราคม 2025 ที่กรุงโตเกียว ประเทศญี่ปุ่น

โดยงานนี้มุ่งเน้นไปที่อุตสาหกรรมยานยนต์ และมีสี่หมวดหมู่สำหรับผู้เข้าร่วม ได้แก่ Tesla, ระบบความบันเทิงภายในรถ (IVI), เครื่องชาร์จรถยนต์ไฟฟ้า และระบบปฏิบัติการรถยนต์

Zero Day Initiative (ZDI) ได้เผยแพร่รายละเอียดเกี่ยวกับหมวดหมู่ และเงินรางวัลสำหรับการโจมตีที่ประสบความสำเร็จ กฎของการแข่งขันสามารถดูได้ที่นี่

ที่มา : bleepingcomputer

Windows, Ubuntu และ VMWare Workstation ถูกแฮ็กในวันสุดท้ายของการแข่งขัน Pwn2Own

ในวันที่สามของการแข่งขัน Pwn2Own นักวิจัยด้านความปลอดภัยได้รับเงินรางวัลรวมกันกว่า 185,000 ดอลลาร์ หลังจากสาธิตการโจมตีด้วยช่องโหว่ Zero-Day 5 รายการ โดยมีเป้าหมายเป็น Windows 11, Ubuntu Desktop และ VMware Workstation

มีการสาธิตช่องโหว่ Zero-Day บน Ubuntu 3 รายการ ที่สามารถโจมตีได้จริง โดย Kyle Zeng จาก ASU SEFCOM (double free bug), Mingi Cho จาก Theori (ช่องโหว่ Use-After-Free) และ Bien Pham (@bienpnn) จาก Qrious Security

สำหรับสองรายชื่อแรกที่สามารถใช้ Zero-Day ในการโจมตีได้ ได้รับเงินรางวัลคนละ 30,000 ดอลลาร์ ในขณะที่ Pham ได้รับเงินรางวัล 15,000 ดอลลาร์ เนื่องจากมี bug collision

Windows 11 ที่ได้รับการอัปเดตล่าสุด ถูกโจมตีได้อีกครั้งในการแข่งขัน โดยมี Thomas Imbert (@masthoon) จาก Synacktiv (@Synacktiv) ได้รับเงินรางวัล 30,000 ดอลลาร์สำหรับช่องโหว่ Use-After-Free (UAF) (more…)

งานแฮกระดับประเทศของจีน Tianfu Cup เข้าปีที่สาม ตบ iOS 14, Windows 10 และ Chrome ร่วง

งานแฮกระดับประเทศของจีน Tianfu Cup ดำเนินเข้ามาสู่ปีที่ 3 แล้ว โดยในปีนี้นั้นเป้าหมายชื่อดังอย่าง iOS 14, Windows 10 v2004, Chrome รวมไปถึงกลุ่มเทคโนโลยี virtualization สามารถถูกโจมตีโดยช่องโหว่ได้สำเร็จ

Tianfu Cup ครั้งที่ 3 จัดขึ้นที่เมืองเฉิงตูในช่วงเวลาเดียวกับการแข่งขัน Pwn2Own ผู้เข้าแข่งขันจำนวน 15 ทีมจะมีเวลา 5 นาทีและเงื่อนไขในการโจมตีได้ 3 ครั้งเพื่อให้นำ exploit ที่ทำการพัฒนามาโจมตีกับเป้าหมาย เงินรางวัลจะถูกมอบให้กับทีมซึ่งโจมตีเป้าหมายได้สำเร็จก่อนตามเงื่อนไขของความยากและอื่นๆ โดยในปีนี้ทีมผู้ชนะซึ่งได้เงินรางวัลไปสูงสุดคือทีม 360 Enterprise Security and Government and (ESG) Vulnerability Research Institute จาก Qihoo 360 ซึ่งได้เงินรางวัลไป 22 ล้านบาท

นอกเหนือจาก iOS 14, Windos 10 และ Chrome แล้ว เป้าหมายที่ถูกโจมตีสำเร็จยังมี Samsung Galaxy S20, Ubuntu, Safari, Firefox, Adobe PDF Reader, Docker (Community Edition), VMWare EXSi (hypervisor), QEMU (emulator & virtualizer) และเฟิร์มแวร์ของ TP-Link และ ASUS ด้วย

การแข่งขัน Tianfu Cup เป็นส่วนหนึ่งของผลลัพธ์ที่หลังจากรัฐบาลจีนมีนโยบายจำกัดไม่ให้ชาวจีนเข้าร่วมการแข่งขันอย่าง Pwn2Own จากข้อกังวลเรื่องความมั่นคงของประเทศ แต่ผลักดันให้มีการแข่งขันภายในประเทศแทนและคาดว่าผลลัพธ์ที่ได้จากการแข่งขันจะก่อให้เกิดประโยชน์ต่อแนวทางด้านไซเบอร์ของจีน

ที่มา: zdnet

Hackers pwn Edge, Firefox, Safari, macOS, & VirtualBox at Pwn2Own 2018

งาน Pwn2Own 2018 จัดขึ้นโดย Trend Micro Zero Day Initiative ที่ CanSecWest Vancouver ได้มีการเปิดเผยช่องโหว่ด้านความปลอดภัยที่มีอยู่ในผลิตภัณฑ์ยอดนิยมเช่น Apple, Microsoft, Mozilla และ Oracle ซึ่งมีแฮกเกอร์จากทั่วโลกเข้ามาค้นหาช่องโหว่ Zero-day จากผลิตภัณฑ์ดังกล่าว

ในวันแรก (14 มีนาคม 2018) Richard Zhu ได้กำหนดเป้าหมายไปที่ Safari ของ Apple เพื่อหลบหลีกการทำงานของ Sandbox แต่ไม่สามารถบรรลุเป้าหมายในเวลาที่กำหนดไว้ 30 นาทีได้ แต่เมื่อเปลี่ยนเป้าหมายเป็นเบราว์เซอร์ Edge ของ Microsoft โดยใช้ประโยชน์จากข้อบกพร่องด้านความปลอดภัยแบบ use-after-free ทำให้ Zhu สามารถแฮ็กเบราว์เซอร์ได้ ได้รับเงินรางวัลจำนวน 70,000 เหรียญ

ในวันเดียวกัน แฮ็กเกอร์จากทีม phoenhex ได้กำหนดเป้าหมายไปที่ Oracle VirtualBox โดยใช้ช่องโหว่ซึ่งทำให้สามารถรันแอปทะลุ virtualization ได้ ทำให้ได้รับเงินรางวัล 27,000 เหรียญ

แฮ็กเกอร์ Samuel Groß จากทีม phoenhex ใช้ช่องโหว่จาก Safari ทะลุไปจนถึง macOS Kernel ได้ โดยช่องโหว่ที่ใช้เป็น JIT Optimization ที่อยู่บนเบราเซอร์ และ Logic bug ของ macOS ทำให้ได้รับรางวัล 65,000 เหรียญ

ในวันที่สอง (15 มีนาคม 2018) Richard Zhu ได้กลับมาโดยการแฮ็ก Firebox โดยใช้ช่องโหว่ out-of-bounds และ integer overflow ใน Windows kernel และรันโค้ดของเขาด้วยการยกระดับสิทธิ์ สำหรับการแฮ็ก Firefox นั้น Zhu ได้รับเงินรางวัลจำนวน 50,000 เหรียญรวมทั้งรางวัล Master of Pwn โดย Zhu ได้รับเงินรางวัลทั้งหมด 120,000 เหรียญจากการแฮก Microsoft Edge และ Firefox

ทีมสุดท้ายคือ MWR Labs กลุ่มแฮกเกอร์ Alex Plaskett, Georgi Geshev และ Fabi Beterke ได้เล็งเป้าหมายไปที่ Apple Safari ด้วยการหลบหลีกการทำงานของ Sandbox โดยใช้ประโยชน์จาก buffer underflow ของ heap ในเบราว์เซอร์และปัญหา stack uninitialized ใน macOS ทำให้ได้รับเงินรางวัล 55,000 เหรียญ และ 5 Master of Pwn points

สำหรับการประกวดสองวันกลุ่มแฮกเกอร์ได้รับรางวัลรวม 267,000 เหรียญ ในขณะที่แฮกเกอร์ค้นพบข้อบกพร่องของ Mozilla 1 รายการ Oracle 2 รายการ Microsoft 4 รายการและข้อบกพร่องของ Apple รายการ

ที่มา : hackread