Fortinet บริษัทโซลูชั่นด้านความปลอดภัยทางไซเบอร์ ได้ออกอัปเดตแก้ไขช่องโหว่สำหรับผลิตภัณฑ์ FortiNAC และ FortiWeb โดยระบุถึงช่องโหว่ที่มีความรุนแรงระดับ critical 2 รายการ ซึ่งทำให้สามารถโจมตีเข้ามาโดยหลบเลี่ยงการตรวจสอบสิทธิ และสามารถสั่งรันโค้ดที่เป็นอันตรายจากระยะไกลได้ (Remote Code Execution (RCE)) (more…)

พบแคมเปญใหม่ที่มีความเชื่อมโยงกับกลุ่ม Lazarus มีการโจมตีโดยใช้ประโยชน์จากช่องโหว่บนอุปกรณ์ Zimbra ที่ยังไม่ได้ทำการ Patch เพื่อเข้าควบคุมเครื่องของเหยื่อ โดยถูกตั้งเป็นแคมเปญชื่อ No Pineapple (more…)

หลังจากที่ QNAP บริษัทด้านอุปกรณ์สำรองข้อมูลได้เผยแพร่อัปเดตเพื่อแก้ไขช่องโหว่ระดับ Critical บนอุปกรณ์เก็บสำรองข้อมูลที่เชื่อมต่อกับเครือข่าย Network-Attached Storage (NAS) ซึ่งอาจนำไปสู่การโจมตี และสั่งรันโค้ดที่เป็นอันตรายจากระยะไกลได้ (more…)

SOPHOS แจ้งเตือนช่องโหว่ RCE บน Firewall ที่กำลังถูกนำมาใช้โจมตีอยู่ในปัจจุบัน

Sophos ออกมาแจ้งเตือนช่องโหว่ RCE (remote code execution) ระดับ critical ใน Firewall ของตน โดยช่องโหว่ดังกล่าวกำลังถูกใช้ในการโจมตีกลุ่มเป้าหมายองค์กรในภูมิภาคเอเชียใต้ โดยทาง Sophos ได้แจ้งเตือนไปยังองค์กรเหล่านี้โดยตรงเรียบร้อยแล้ว

โดยช่องโหว่นี้มีหมายเลข CVE-2022-3236 เป็นช่องโหว่บน User Portal และ Webadmin ของ Sophos Firewall ซึ่งสามารถทำให้ผู้โจมตีสั่งรันโค้ดที่เป็นอันตรายจากระยะไกลได้ (remote code execution)

โดย Sophos ระบุว่าได้ปล่อย hotfixes สำหรับแก้ไขปัญหาเบื้องต้นให้กับ Sophos Firewall เวอร์ชันที่ได้รับผลกระทบแล้ว (v19.0 MR1 (19.0.1) และเก่ากว่า) ซึ่งจะได้รับการอัปเดตโดยอัตโนมัติหากมีการเปิดการตั้งค่าอัปเดตอัตโนมัติไว้ แต่ผู้ใช้งาน Sophos Firewall เวอร์ชันเก่าจะต้องอัปเกรดเป็นเวอร์ชันที่รองรับเพื่อที่จะสามารถอัปเดตแพตช์ของ CVE-2022-3236 ได้

Sophos ยังแนะนำวิธีแก้ปัญหาสำหรับผู้ใช้งานที่ยังไม่สามารถอัปเดตอุปกรณ์ที่มีช่องโหว่ได้ในทันที โดยแนะนำให้ไม่ควรเปิดให้เข้าถึง User Portal และ Webadmin ของ Sophos Firewall ได้โดยตรงจากภายนอก

ก่อนหน้านี้ Sophos Firewall เคยพบช่องโหว่ระดับ Critical มาแล้วในเดือนมีนาคม โดยช่องโหว่ดังกล่าวมีหมายเลข CVE-2022-1040 ซึ่งเป็นช่องโหว่บน User Portal และ Webadmin เช่นเดียวกัน ซึ่งสามารถทำให้ผู้โจมตี bypass การตรวจสอบสิทธิ์ และสั่งรันโค้ดที่เป็นอันตรายได้ตามที่ต้องการ

เช่นเดียวกับ CVE-2022-3236 ข้อมูลจาก Volexity ระบุว่า ช่องโหว่ดังกล่าวถูกใช้โจมตีโดยมุ่งเป้าไปที่องค์กรจากเอเชียใต้เป็นหลัก ซึ่งมีข้อมูลว่ากลุ่ม DriftingCloud กลุ่มผู้โจมตีสัญญาติจีนใช้ประโยชน์จากช่องโหว่ CVE-2022-1040 มาตั้งแต่ต้นเดือนมีนาคม ประมาณสามสัปดาห์ก่อนที่ Sophos จะออกอัปเดตแพตช์

ผู้โจมตียังใช้การโจมตีในรูปแบบ SQL injection กับ XG Firewall มาตั้งแต่ต้นปี 2020 โดยมีเป้าหมายในการขโมยข้อมูลที่สำคัญ เช่น ชื่อผู้ใช้ และรหัสผ่าน ซึ่งเป็นส่วนหนึ่งของการโจมตีเพื่อติดตั้งมัลแวร์ Asnarök เพื่อพยายามขโมยข้อมูลสำคัญบนไฟร์วอลล์จากอินสแตนซ์ของ XG Firewall ที่มีช่องโหว่

Zero-day ในลักษณะเดียวกันนี้ก็เคยถูกใช้เพื่อแพร่กระจาย Ragnarok ransomware payloads ไปยังองค์กรที่ใช้ระบบปฏิบัติการ Windows อีกด้วย

ที่มา : www.