แพตช์ด่วน มีการปล่อย POC สำหรับช่องโหว่ RCE ใน Microsoft SQL Server Reporting Services แล้ว

แพตช์ด่วน มีการปล่อย POC สำหรับช่องโหว่ RCE ใน Microsoft SQL Server Reporting Services แล้ว

ช่องโหว่ CVE-2020-0618 เป็นช่องโหว่ใน Microsoft SQL Server Reporting Services ซึ่งเป็นส่วนสำหรับการออกรายงานใน Microsoft SQL Server ช่องโหว่ดังกล่าวทำให้ผู้โจมตีที่สามารถเข้าสู่ระบบสามารถโจมตีด้วยการรันคำสั่งอันตรายจากระยะไกลได้ (Remote Code Execution หรือ RCE) ช่องโหว่นี้กระทบ Microsoft SQL Server รุ่น 2012, 2014 และ 2016 โดยได้รับการแก้ไขไปในแพตช์ประจำเดือนกุมภาพันธ์ 2020 ที่ผ่านมา

ซึ่งในขณะนี้มีการเผยแพร่โค้ด Proof of Concept (POC) สำหรับใช้โจมตีช่องโหว่ดังกล่าวสู่สาธารณะแล้วรวมถึงพบการแสกนเพื่อหาเครื่อง Microsoft SQL Server ที่มีช่องโหว่ดังกล่าวแล้ว

ทั้งนี้ Kevin Beaumont (@GossiTheDog) นักวิจัยด้านความปลอดภัยให้ความเห็นว่าช่องโหว่ดังกล่าวอาจกระทบไปจนถึง Microsoft SQL Server 2008 ซึ่งหมดระยะการสนับสนุนจึงไม่ได้แพตช์อีกด้วย

ที่มา : mdsec

Microsoft warns about Internet Explorer zero-day, but no patch yet

Microsoft เผยแพร่คำแนะนำด้านความปลอดภัยเกี่ยวกับช่องโหว่ Zero-day ใน Internet Explorer (IE) ที่กำลังถูกโจมตีในช่วงนี้

เบื้องต้นทาง Microsoft ระบุว่าการโจมตีดังกล่าวไม่ได้โจมตีเป็นวงกว้าง จำกัดแค่ผู้ใช้งานส่วนหนึ่ง แต่ได้ทำการออกวิธีการแก้ไขปัญหาและการลดผลกระทบที่สามารถนำไปใช้เพื่อป้องกันระบบที่มีช่องโหว่จากการโจมตีเท่านั้น แล้วจะออก Patch สำหรับแก้ไขช่องโหว่ดังกล่าวตามมาในอนาคต

Microsoft อธิบายถึงช่องโหว่ Zero-day ใน IE ซึ่งได้รับ CVE-2020-0674 ว่าเป็นช่องโหว่ที่ทำให้ผู้โจมตีสามารถรันคำสั่งที่เป็นอันตรายจากระยะไกลเพื่อเข้าถึงระบบ (remote code execution หรือ RCE ) โดยเกิดจากข้อผิดพลาดของหน่วยความจำเสียหายใน IE's scripting engine องค์ประกอบของเบราว์เซอร์ที่จัดการ JavaScript (Jscript9.dll) ช่องโหว่ดังกล่าวส่งผลกระทบกับ IE9 ถึง IE11 บน Windows desktop และ Windows Server

ผู้โจมตีสามารถออกแบบเว็บไซต์เป็นพิเศษเพื่อใช้ประโยชน์จากช่องโหว่ดังกล่าวแล้วโน้มน้าวให้ผู้ใช้ดูเว็บไซต์ดังกล่าว เช่น การส่งอีเมล

วิธีการแก้ไขปัญหาและการลดผลกระทบของช่องโหว่ดังกล่าวคือตั้งค่าเพื่อจำกัดการเข้าถึง Jscript9.dll โดยสามารถอ่านวิธีได้จาก www.

Oracle ออกแพตช์ประจำไตรมาส มีแก้ไขช่องโหว่ RCE ร้ายแรงใน Oracle WebLogic Server

Oracle ออกแพตช์ประจำไตรมาสของเดือนมกราคม 2020 แก้ไขช่องโหว่ 334 ช่องโหว่ในหลายผลิตภัณฑ์ มี 43 ช่องโหว่ที่มีความรุนแรงระดับ Critical ทั้งนี้หลายๆ ช่องโหว่สามารถถูกโจมตีระยะไกลได้โดยผู้โจมตีที่ไม่ต้องเข้าสู่ระบบ

ตัวอย่างช่องโหว่ที่สา่มารถโจมตีจากระยะไกลได้โดยผู้โจมตีที่ไม่ต้องเข้าสู่ระบบได้แก่ช่องโหว่ใน Oracle WebLogic Server CVE-2020-2546 และ CVE-2020-2551 ถ้าโจมตีช่องโหว่ทั้งสองนี้สำเร็จจะสามารถรันคำสั่งอันตรายจากระยะไกลได้ (RCE)

CVE-2020-2546 เป็นช่องโหว่ใน WLS Core Component ผู้โจมตีสามารถโจมตีผ่านโปรโตคอล T3 ได้ส่งผลกระทบ WebLogic Server รุ่น 10.3.6.0.0 และ 12.1.3.0.0

CVE-2020-2551 เป็นช่องโหว่ใน Application Container - JavaEE ผู้โจมตีโจมตีผ่านโปรโตคอล IIOP ได้ ส่งผลกระทบ 10.3.6.0.0, 12.1.3.0.0, 12.2.1.3.0 และ 12.2.1.4.0

ทั้งสองช่องโหว่นี้ยังไม่มีการเผยแพร่ POC แต่มีนักวิจัยด้านความปลอดภัยหลายๆ คนเผยแพร่ภาพและวิดีโอว่าสามารถโจมตีช่องโหว่ทั้งสองได้แล้ว

ผู้ดูแลระบบควรอัปเดตแพตช์เพื่อความปลอดภัย ในกรณีที่ไม่สามารถอัปเดตแพตช์ได้ ผู้ดูแลระบบสามารถพิจารณาปิดการใช้งานโปรโตคอล T3 และโปรโตคอล IIOP เพื่อลดความเสี่ยงจากการโจมตี

สามารถดูรายการช่องโหว่ทั้งหมดที่ได้รับการอัปเดตในครั้งนี้ได้จาก https://www.

7-Year-Old Critical RCE Flaw Found in Popular iTerm2 macOS Terminal App

พบช่องโหว่การเรียกรันคำสั่งระยะไกล (RCE) ที่มีอายุถึง 7 ปีถูกค้นพบใน iTerm2 ของ macOS - หนึ่งในโอเพนซอร์ซที่ได้รับความนิยมมากที่สุดสำหรับแอพเทอร์มินัลในตัวของ Mac

ช่องโหว่ได้รับ CVE-2019-9535 ถูกค้นพบโดยนักตรวจสอบความปลอดภัยอิสระซึ่งได้รับทุนจากโปรแกรม Mozilla Open Source Support (MOSS) และบริษัท Radically Open Security (ROS) จากการเปิดเผยในวันนี้โดย Mozilla ระบุว่าช่องโหว่ RCE อยู่ในส่วน tmux ของ iTerm2 ซึ่งหากถูกโจมตีจะทำให้สามารถรันคำสั่งที่ต้องการได้ จากวิดีโอที่เผยแพร่ออกมาแสดงให้เห็นว่าการโจมตีสามารถทำงานได้ผ่าน Command-line ของระบบปฏิบัติการได้ ซึ่งต่างจากการโจมตีโดยทั่วไปที่มักต้องมีการโต้ตอบจากผู้ใช้งานด้วย ช่องโหว่ดังกล่าวจึงค่อนข้างน่ากังวล ผู้สนใจสามารถศึกษาได้จากวิดีโอในลิงก์ที่มาได้

ช่องโหว่ดังกล่าวส่งผลกระทบต่อ iTerm2 เวอร์ชั่น 3.3.5 และก่อนหน้า อย่างไรก็ตามช่องโหว่เพิ่งได้รับการแก้ไขด้วยการเปิดตัว iTerm2 3.3.6

ที่มา: thehackernews

New RCE vulnerability impacts nearly half of the internet’s email servers

แจ้งเตือนช่องโหว่ RCE ในซอฟต์แวร์ Exim คาดกระทบอีเมลเซิร์ฟเวอร์กว่าครึ่งหนึ่งของโลก

ซอฟต์แวร์ Exim ซึ่งเป็นซอฟต์แวร์ประเภท mail transfer agent (MTA) ถูกระบุว่ามีช่องโหว่ประเภท Remote Code Execution โดย Qualys วันนี้

ช่องโหว่ที่รหัส CVE-2019-10149 หรือในอีกชื่อซึ่งถูกเรียกว่า "Return off the WIZard" โดย Qualys นั้นเป็นช่องโหว่ประเภท Remote Code Execution ที่มีลักษณะที่คล้ายกับช่องโหว่เก่าแก่อย่าง WIZ และ DEBUG ในซอฟต์แวร์ sendmail ในอดีต การโจมตีช่องโหว่นี้สามารถทำได้สองรูปแบบคือแบบ local attack ซึ่งผู้ใช้งานที่มีอีเมลอยู่บนเซิร์ฟเวอร์อยู่แล้วทำการโจมตี และแบบ remote attack ซึ่งถูกระบุว่ามีความซับซ้อนสูง เนื่องจากผู้โจมตีจะต้องมีการรักษา connection ที่เชื่อมต่อกับเซิร์ฟเวอร์ที่มีช่องโหว่เอาไว้กว่า 7 วัน และยังไม่มีการโจมตีช่องโหว่จากระยะไกลที่ง่ายไปกว่านี้

ช่องโหว่กระทบ Exim ตั้งแต่เวอร์ชัน 4.87 ถึง 4.91 โดยผู้ใช้งานสามารถทำการอัปเกรดซอฟต์แวร์เพื่อรับแพตช์จากโครงการต้นน้ำได้ตั้งแต่วันนี้เป็นต้นไป

ที่มา : zdnet

Google pushed out the November edition of its monthly Android security updates

Google ได้เริ่มทยอยปล่อย patch ด้านความปลอดภัยของ Android ประจำเดือนพฤศจิกายนให้กับผู้ให้บริการและผู้ผลิตอุปกรณ์ชุดใหม่เพื่อติดตั้ง สำหรับผู้ใช้งานคาดว่าจะเริ่มทยอยปล่อยในอีกไม่ช้า

Google แก้ไขช่องโหว่ 3 ช่องโหว่ เกี่ยวข้องกับการ Remote Code Execution (RCE) ได้รับการจัดอันดับความรุนแรงเป็น critical 2 ช่องโหว่ (CVE-2018-9527, CVE-2018-9531) และความรุนแรง high อีก 1 ช่องโหว่ (CVE-2018-9521) นอกจากนี้ยังมีการแก้ไขช่องโหว่เกี่ยวกับการยกระดับสิทธิ์ (Privilege Escalation) อีก 2 ช่องโหว่ (CVE-2018-9536, CVE-2018-9537) จัดอยู่ในระดับความรุนแรง critical เช่นกัน โดยช่องโหว่ทั้งหมด พบได้ในส่วนของมีเดีย framework บน Android

ทั้งนี้ส่วนที่น่าจะได้รับความสนใจสำหรับแพทช์ในรอบนี้น่าจะเป็นช่องโหว่ 18 รายการ ที่เกี่ยวข้องกับไลบรารี่ Libxaac ของ Android นอกเหนือจากนี้ยังมีการแก้ไขช่องโหว่ในส่วนของ Qualcomm CPU ที่ถูกใช้ในอุปกรณ์ของ Android ด้วย แต่ยังไม่มีการให้รายละเอียดเพิ่มเติมใดๆ เนื่องจาก Qualcomm จะเป็นผู้ให้ข้อมูลเอง

ที่มา: theregister

Hackers can compromise your network just by sending a Fax

แฮกเกอร์สามารถโจมตีระบบเครือข่ายของคุณได้เพียงแค่ส่งแฟ็กซ์

นักวิจัยจาก CheckPoint ได้เปิดเผยรายละเอียดเกี่ยวกับ 2 ช่องโหว่ในการรันคำสั่งอันตรายจากระยะไกล (RCE) ในโปรโตคอลที่ใช้ในเครื่องแฟ็กซ์นับล้านเครื่องทั่วโลก

เนื่องจากเครื่องแฟ็กซ์ส่วนใหญ่ถูกรวมเข้ากับเครื่องพิมพ์แบบ All-in-One โดยเชื่อมต่อกับเครือข่าย Wi-Fi และสายโทรศัพท์ PSTN ผู้โจมตีจึงสามารถส่งไฟล์รูปภาพที่สร้างขึ้นมาเป็นพิเศษผ่านทางแฟ็กซ์เพื่อใช้ประโยชน์จากช่องโหว่และควบคุมการดำเนินงานขององค์กร หรือเครือข่ายภายในได้ โดยจำเป็นต้องรู้หมายเลขแฟ็กซ์ ซึ่งสามารถค้นหาได้ง่ายมาก

ช่องโหว่ Faxploit นี้เกี่ยวข้องกับ 2 ช่องโหว่ ได้แก่ buffer overflow CVE-2018-5925 และ CVE-2018-5924 ซึ่งจะนำไปสู่การเรียกใช้โค้ดจากระยะไกล
โดยทีมวิจัยมัลแวร์ของ CheckPoint ทดสอบใช้เครื่องพิมพ์แฟ็กซ์ HP Officejet Pro All-in-One ที่เป็นที่รู้จักทั่วไป ได้แก่ เครื่องพิมพ์ HP Officejet Pro 6830 all-in-one และ OfficeJet Pro 8720 โดยส่งไฟล์รูปภาพที่เต็มไปด้วย payload ที่เป็นอันตรายผ่านสายโทรศัพท์และทันทีที่เครื่องแฟ็กซ์ได้รับภาพจะถูกถอดรหัสและอัปโหลดลงในหน่วยความจำของเครื่องพิมพ์แฟ็กซ์ ซึ่งผู้บุกรุกสามารถทำรหัสไฟล์รูปภาพด้วยมัลแวร์ได้เช่น ransomware หรือ cryptocurrency miner ทั้งนี้ขึ้นอยู่กับเป้าหมายที่น่าสนใจและแรงจูงใจ

นักวิจัยของ CheckPoint ได้เปิดเผยการค้นพบให้แก่ Hewlett Packard ซึ่งทาง HP ได้แก้ไขข้อบกพร่องในเครื่องพิมพ์ของ All-in- One อย่างรวดเร็ว
อย่างไรก็ตามนักวิจัยเชื่อว่าช่องโหว่เดียวกันอาจส่งผลกระทบต่อเครื่องพิมพ์แฟ็กซ์แบบ All-In-One ส่วนใหญ่ที่จำหน่ายโดยผู้ผลิตรายอื่นและการใช้งานแฟ็กซ์อื่น ๆ เช่นบริการแฟ็กซ์ เมลบริการเครื่องแฟ็กซ์แบบสแตนด์อโลนและอื่นๆ

ที่มา : thehackernews

RCE Vulnerability Affecting Older Versions of Chrome Will Remain Unpatched

ช่องโหว่ remote code execution กระทบกับ Google Chrome browser เวอร์ชั่นเก่า ยกเว้นเวอร์ชั่นล่าสุด(Chrome 60)
ช่องโหว่ถูกค้นพบโดยนักวิจัยด้านความปลอดภัยที่ไม่ต้องการเปิดเผยตัว ซึ่งอยู่ใน SecuriTeam ของ Beyond Security และได้ทำการแจ้งให้ Google ทราบแล้ว ด้าน Google เองได้แจ้งว่าช่องโหว่นี้มีผลเฉพาะกับ Chrome ที่เป็นเวอร์ชั่นเก่าเท่านั้น จึงไม่มีความจำเป็นที่จะต้องทำการปิดช่องโหว่ดังกล่าว
การใช้ประโยชน์จากช่องโหว่นี้ ผู้โจมตีจะทำการหลอกให้ผู้ใช้เข้าไปยังเว็บไซต์ของตนเอง จากนั้นจึงทำการรัน JavaScript ผู้โจมตีสามารถสั่งให้โค้ดทำงานผ่านเบราว์เซอร์ของผู้ใช้ เพื่อขโมยข้อมูลที่เข้าถึงได้จากเบราว์เซอร์ เช่น รหัสผ่าน และ Cookies บนเครื่อง จึงแนะนำให้ทำการอัปเกรดเป็นเวอร์ชันล่าสุด Chrome 60 จะช่วยให้การใช้งานปลอดภัยยิ่งขึ้น

ที่มา : bleepingcomputer

พบช่องโหว่ Buffer Overflow ใน CISCO IOS, IOS XE

CISCO ประกาศข่าวน่าตกใจว่าพบช่องโหว่ Buffer Overflow ในส่วน Simple Network Management Protocol (SNMP) Service ในทุกๆ version ที่ให้บริการใน CISCO IOS, IOS XE

CISCO กล่าวว่า SNMP ทุกๆ version (v1,v2c,v3) ที่ให้บริการใน CISCO IOS, IOS XE นั้นมีช่องโหว่ Buffer Overflow อยู่ทำให้สามารถถูก exploit แล้วกลายเป็น Denila of Service (ส่งผลให้เครื่องไม่สามารถให้บริการได้) หรือ Remote Code Execution (สั่งงานเครื่องจากระยะไกล) ได้ โดยหากเป็นบริการ SNMP v1,v2c ผู้โจมตีสามารถโจมตีได้โดยที่จำเป็นต้องรู้ SNMP community string แต่หากเป็น SNMPv3 จำเป็นต้องมี username, password ด้วย

โดยช่องโหว่ดังกล่าวนี้มี CVE 9 CVE คือ CVE-2017-6736, CVE-2017-6737, CVE-2017-6738, CVE-2017-6739, CVE-2017-6740, CVE-2017-6741, CVE-2017-6742, CVE-2017-6743, CVE-2017-6744 และ CVE แต่ละตัวจะเกี่ยวข้องกับ SNMP Management Information Bases (MIBs) ต่อไปนี้ :

ADSL-LINE-MIB
ALPS-MIB
CISCO-ADSL-DMT-LINE-MIB
CISCO-BSTUN-MIB
CISCO-MAC-AUTH-BYPASS-MIB
CISCO-SLB-EXT-MIB
CISCO-VOICE-DNIS-MIB
CISCO-VOICE-NUMBER-EXPANSION-MIB
TN3270E-RT-MIB
ตอนนี้ทาง CISCO ยังคงทำ patch update ไม่เสร็จ ดังนั้นในระหว่างนี้หากไม่มีความจำเป็นใดๆแนะนำให้ทำการปิด SNMP Access ไปก่อน หรือปิดการใช้งาน MIBs ที่มีช่องโหว่ครับ

ที่มา : TheRegister
แปลโดย : Techsuii