Cisco แจ้งเตือนช่องโหว่ RCE ระดับ Critical ใน communications software

Cisco แจ้งเตือนว่าผลิตภัณฑ์ Unified Communications Manager (CM) และ Contact Center Solutions หลายรายการ มีความเสี่ยงต่อช่องโหว่ด้านความปลอดภัยจากการเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกลที่มีความรุนแรงระดับ Critical (more…)

Fortinet บริษัทโซลูชันด้านความปลอดภัยทางไซเบอร์ ออกแพตซ์อัปเดตช่องโหว่ในโซลูชัน Zero-Trust Access ของตนเองที่ชื่อว่า FortiNAC เพื่อแก้ไขช่องโหว่ระดับ Critical ซึ่งผู้โจมตีสามารถใช้เพื่อสั่งรันโค้ด และคำสั่งที่เป็นอันตรายได้

FortiNAC ช่วยให้องค์กรสามารถจัดการกับนโยบายการเข้าถึงเครือข่ายได้อย่างมีประสิทธิภาพ รวมถึงการควบคุมอุปกรณ์ และผู้ใช้งานภายในเครือข่าย และรักษาความปลอดภัยของเครือข่ายจากการเข้าถึงที่ไม่ได้รับอนุญาต

โดยช่องโหว่ดังกล่าวมีหมายเลข CVE-2023-33299 และได้รับคะแนนระดับความรุนแรงของช่องโหว่ที่ 9.6 จาก 10 คะแนน โดยช่องโหว่ดังกล่าวเกิดจากการ deserialization of untrusted data ซึ่งอาจนำไปสู่การเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกล (RCE) โดยไม่ต้องผ่านการตรวจสอบสิทธิ์ของผู้ใช้งาน

โดย Fortinet ระบุว่า "ช่องโหว่ deserialization of untrusted data ใน FortiNAC อาจทำให้ผู้โจมตีที่ไม่ผ่านการตรวจสอบสิทธิ์ สามารถเรียกใช้โค้ด หรือคำสั่งที่ไม่ได้รับอนุญาตผ่าน request ที่ถูกสร้างขึ้นโดยเฉพาะไปยังบริการด้วยพอร์ต TCP/1050"

ผลิตภัณฑ์ที่ได้รับผลกระทบ มีดังนี้

FortiNAC version 9.4.0 ถึง 9.4.2
FortiNAC version 9.2.0 ถึง 9.2.7
FortiNAC version 9.1.0 ถึง 9.1.9
FortiNAC version 7.2.0 ถึง 7.2.1
FortiNAC 8.8 ทุกรุ่น
FortiNAC 8.7 ทุกรุ่น
FortiNAC 8.6 ทุกรุ่น
FortiNAC 8.5 ทุกรุ่น
FortiNAC 8.3 ทุกรุ่น

เวอร์ชันที่แนะนำให้อัปเกรดเพื่อจัดการกับความเสี่ยงที่เกิดขึ้นจากช่องโหว่ มีดังนี้

FortiNAC 9.4.3 ขึ้นไป
FortiNAC 9.2.8 ขึ้นไป
FortiNAC 9.1.10 ขึ้นไป
FortiNAC 7.2.2 ขึ้นไป

เนื่องจากทาง Fortinet ไม่ได้ให้คำแนะนำเกี่ยวกับการแก้ไขปัญหาแบบชั่วคราว ดังนั้นแนะนำให้รีบอัปเดตแพตซ์เพื่อป้องกันการถูกโจมตีจากช่องโหว่ดังกล่าว

(more…)

นักวิจัยจาก VulnCheck ได้เผยแพร่ proof-of-concept (PoC) ซึ่งเป็นชุดสาธิตการโจมตีช่องโหว่ใน PaperCut รูปแบบใหม่ ที่สามารถหลีกเลี่ยงการตรวจจับจากอุปกรณ์ป้องกันด้านความปลอดภัยได้

CVE-2023-27350 (คะแนน CVSS 9.8/10 ความรุนแรงระดับ critical) หรือช่องโหว่ใน PaperCut ซึ่งเป็นช่องโหว่ระดับ critical ที่สามารถหลีกเลี่ยงการตรวจสอบสิทธิ์ใน PaperCut MF หรือ NG เวอร์ชัน 8.0 และใหม่กว่า ซึ่งกำลังถูกนำมาใช้ในการโจมตีด้วยแรนซัมแวร์ (more…)

นักวิจัยของ Unit 42 หน่วยงานวิจัยด้านความปลอดภัยของ Palo Alto Networks ได้ออกเผยแพร่รายงานการพบช่องโหว่บน jsonwebtoken (JWT) ที่มีหมายเลข CVE-2022-23529 ซึ่งส่งผลให้ Hackers ที่สามารถโจมตีได้สำเร็จสามารถสั่งรันโค้ดที่เป็นอันตรายจากระยะไกลได้

CVE-2022-23529 (คะแนน CVSS: 7.6 ระดับความรุนแรงสูง) เป็นช่องโหว่ของ JSON web token (JWT) ที่สามารถสั่งรันโค้ดที่เป็นอันตรายจากระยะไกล (Remote Code Execution RCE) บนเซิร์ฟเวอร์เป้าหมายได้

jsonwebtoken ถูกพัฒนาและดูแลโดย Auth0 ของ Okta โดยเป็นโมดูล JavaScript ที่ช่วยให้ผู้ใช้สามารถถอดรหัส ตรวจสอบ และสร้างโทเค็นเว็ป JSON เพื่อเป็นวิธีการส่งข้อมูลอย่างปลอดภัยระหว่างสองฝ่าย เพื่อการตรวจสอบสิทธิ์การใช้งาน และการตรวจสอบความถูกต้อง โดยมีการดาวน์โหลดไปแล้วมากกว่า 10 ล้านครั้งต่อสัปดาห์ใน npm software และมีการใช้งานมากกว่า 22,000 โครงการ

การโจมตี

Hackers จะทำการโจมตีบนเซิร์ฟเวอร์เป้าหมายผ่านทาง jsonwebtoken ที่มีช่องโหว่ เพื่อสั่งรันโค้ดที่เป็นอันตรายจากระยะไกล รวมไปถึงการเขียนข้อมูลทับ หรือเข้ารหัสไฟล์บนเครื่องที่ถูกโจมตีผ่านทาง secret management process โดยใช้ secretOrPublicKey value ที่มีช่องโหว่

jsonwebtoken เวอร์ชันที่ได้รับผลกระทบ

jsonwebtoken ตั้งแต่เวอร์ชัน 8.5.1 ลงไป

วิธีการป้องกัน

ดำเนินการอัปเดตเป็น jsonwebtoken เวอร์ชัน 9.0.0 เพื่อป้องกันความเสี่ยงจากการถูกโจมตี

ที่มา : thehackernews

นักวิจัยจากทีม Fox IT ของ NCC Group รายงานว่า Citrix Application Delivery Controller (ADC) และ Citrix Gateway endpoints ยังคงตกเป็นเป้าหมายในการโจมตีจาก 2 ช่องโหว่ที่มีความรุนแรงสูง ประกอบไปด้วย CVE-2022-27510 และ CVE-2022-27518 (คะแนน CVSS scores: 9.8)

ส่งผลให้ Hacker สามารถโจมตีและสั่งรันโค้ดที่เป็นอันตรายจากระยะไกล (RCE) รวมถึงการหลบหลีกการตรวจสอบสอบสิทธิ์การเข้าถึงบน Citrix servers ที่มีช่องโหว่ได้

การตรวจสอบ

โดยนักวิจัยทำการสแกนตรวจสอบในวันที่ 11 พฤศจิกายน 2022 และพบเซิร์ฟเวอร์ Citrix ทั้งหมด 28,000 เครื่องที่ออนไลน์อยู่ ซึ่งในการระบุ Citrix servers ที่มีช่องโหว่ จำเป็นต้องระบุจากหมายเลขเวอร์ชัน ซึ่งทำให้ยังอาจไม่สามารถระบุจำนวนเครื่องที่มีช่องโหว่ได้จาก HTTP response ของเซิร์ฟเวอร์ แต่นักวิจัยก็ยังพบว่ามีค่าพารามิเตอร์บางส่วนที่มีค่าคล้าย MD5 hash ที่สามารถใช้เพื่อจับคู่กับเวอร์ชันของ Citrix ADC และ Gateway ได้

ดังนั้นนักวิจัยจึงทำการตรวจสอบกับ Citrix ADC version ทั้งหมดที่สามารถหาได้จาก Citrix, Google Cloud Marketplace, AWS และ Azure บน VM เพื่อทำการจับคู่ hash กับเวอร์ชันต่างๆ

ในส่วนของค่า hash ที่ไม่สามารถจับคู่กับเวอร์ชันได้ นักวิจัยได้ใช้วิธีค้นหาวันที่สร้างและอนุมานหมายเลขเวอร์ชันตามนั้น

การค้นพบ

โดยผลลัพธ์จากการตรวจสอบซึ่งสรุปไว้ในกราฟให้ข้อมูลว่า ส่วนใหญ่ของ Citrix ADC และ Citrix Gateway จะอยู่ในเวอร์ชัน 13.0-88.14 ซึ่งเป็นเวอร์ชันที่ได้รับการอัปเดตเพื่อแก้ไขช่องโหว่แล้ว

แต่ทั้งนี้ก็ยังพบว่ามี Citrix ADC และ Citrix Gateway อีกกว่า 3,500 เครื่อง ที่ยังอยู่ในเวอร์ชัน12.1-65.21 ที่ได้รับผลกระทบจาก 2 ช่องโหว่ที่มีความรุนแรงสูง

รวมถึงจากข้อมูลที่ได้พบว่า กลุ่มประเทศที่ทำการอัปเดตช่องโหว่อย่างรวดเร็ว ได้แก่ ประเทศสหรัฐอเมริกา เยอรมนี แคนาดา ออสเตรเลีย และสวิตเซอร์แลนด์ ทั้งนี้นักวิจัยจากทีม Fox IT ได้แนะนำว่าขอให้ผู้ดูแลระบบ Citrix Server ที่มีช่องโหว่ ดำเนินการอัปเดตช่องโหว่โดยเร่งด่วน

ที่มา : bleepingcomputer

Prodaft ทีมข่าวกรองด้านภัยคุกคามได้ค้นพบ “Checkmarks” แพลตฟอร์มที่ถูกสร้างมาสำหรับใช้โจมตีช่องโหว่ของ Microsoft Exchange และ SQL Injection โดยอัตโนมัติ เพื่อใช้เจาะเครือข่ายองค์กร ขโมยข้อมูล และสามารถเลือกเป้าหมายสำหรับการโจมตีด้วยแรนซัมแวร์ตามขนาดฐานะทางการเงินของบริษัท โดยเป็นการค้นพบในระหว่างที่ติดตามเหตุการณ์ข้อมูลรั่วไหลที่มีความเกี่ยวข้องกับกลุ่มแฮ็กเกอร์ FIN7

FIN7 คือกลุ่ม Hacker ชาวรัสเซีย ที่มีเป้าหมายในการเรียกค่าไถ่จากเหยื่อที่ถูกโจมตี โดยเริ่มพบการโจมตีตั้งแต่ปี 2012 ซึ่งเกี่ยวข้องกับเหตุการณ์โจมตีต่างๆ เช่น การโจมตีตู้ ATM, การส่ง USB ที่มีมัลแวร์ไปยังกลุ่มเป้าหมาย และการตั้งบริษัทรักษาความปลอดภัยทางไซเบอร์ปลอมขึ้น เพื่อจ้างผู้ทดสอบสำหรับการโจมตีด้วยแรนซัมแวร์ (ความจริงคือกำลังโจมตีเหยื่ออยู่จริง ๆ) และเหตุการณ์อื่น ๆ ที่พบความเกี่ยวข้องกับกลุ่ม รวมไปถึงกลุ่ม FIN7 ยังมีความเกี่ยวข้องกับกลุ่มแรนซัมแวร์อื่น ๆ เช่น Black Basta, Darkside, REvil และ LockBit Ransomware

ขั้นตอนโจมตีของ Checkmarks

Prodaft ได้อธิบายว่า Checkmarks เป็นแพลตฟอร์มสแกน และเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกล (RCE ) โดยอัตโนมัติ สำหรับช่องโหว่ Microsoft Exchange servers บนเครื่องเป้าหมาย รวมถึงมีการใช้ช่องโหว่ในการยกระดับสิทธิ์ (Privilege Escalation) เช่น CVE-2021-34473, CVE-2021-34523 และ CVE-2021-31207

Checkmarks จะทำการดึงข้อมูลอีเมลจาก Active Directory และรวบรวมข้อมูล Microsoft Exchange servers หลังจากทำการโจมตีเครื่องที่มีช่องโหว่ได้สำเร็จ

จากนั้นจะนำข้อมูลของเหยื่อที่ทำการรวบรวมจาก Active Directory และ Microsoft Exchange servers เพิ่มไปยัง Panel ของระบบที่ใช้สำหรับควบคุมเครื่องเหยื่อโดยอัตโนมัติ เพื่อให้กลุ่ม FIN7 สามารถดูรายละเอียดของข้อมูลได้

นักวิเคราะห์ของ FIN7 จะตรวจสอบรายการข้อมูลของเหยื่อใหม่ รวมถึงแสดงคิดเห็นบนแพลตฟอร์ม Checkmarks เพื่อแสดงข้อมูลรายได้ปัจจุบันของเหยื่อ จำนวนพนักงาน โดเมน รายละเอียดสำนักงานใหญ่และข้อมูลอื่น ๆ รวมถึงการใช้ข้อมูลจากแหล่งข้อมูลที่หลากหลาย เช่น Owler, Crunchbase, DNB, Zoominfo และ Mustat ที่ช่วยให้ Hackers ประเมินได้ว่าบริษัทนั้นคุ้มค่า และมีโอกาสสำเร็จมากเพียงใดในการโจมตีด้วย Ransomware เพื่อเรียกค่าไถ่

หากเหยื่อรายนั้นได้รับการพิจารณาว่าคุ้มค่าและมีโอกาสสำเร็จ ฝ่ายโจมตีระบบของ FIN7 จะทำการออกแบบแผนการโจมตี ว่าสามารถใช้การเชื่อมต่อเซิร์ฟเวอร์ได้อย่างไร การโจมตีจะอยู่ได้นานแค่ไหนและไปได้ไกลแค่ไหน

อีกทั้ง Checkmarks ยังมี SQL injection module เพื่อใช้ SQLMap สแกนหาช่องโหว่บนเว็บไซต์ของเป้าหมาย รวมไปถึงการฝัง SSH backdoors เอาไว้ในเครื่องของเหยื่อ ทำให้สามารถขโมยไฟล์จากอุปกรณ์ที่ถูกโจมตี ใช้การเชื่อมต่อ reverse SSH (SFTP) ผ่านโดเมนบน Tor Network ถึงแม้เหยื่อจะจ่ายค่าไถ่แล้วก็ตาม เพื่อการกลับมาโจมตีซ้ำ รวมไปถึงการขายช่องโหว่นี้แก่ Hackers กลุ่มอื่น ๆ

Prodaft พบว่า แพลตฟอร์ม Checkmarks ของ FIN7 ได้ถูกนำไปใช้ในการแทรกซึมเข้าไปในบริษัทต่าง ๆ กว่า 8,147 แห่ง โดยส่วนใหญ่ตั้งอยู่ในสหรัฐอเมริกา (16.7%) หลังจากสแกนเป้าหมายไปแล้วกว่า 1.8 ล้านเป้าหมาย

โดย แพลตฟอร์ม Checkmarks ได้แสดงให้เห็นถึงผลกระทบ และความรุนแรงของการเกิดขึ้นของกลุ่มผู้โจมตีทางไซเบอร์ ที่มีจุดประสงค์ในการเรียกค่าไถ่จากเหยื่อว่าได้ส่งผลกระทบทั่วโลกแล้วในขณะนี้

การป้องกัน

อัปเดต Microsoft Exchange Server ที่ได้รับผลกระทบเพื่อลดความเสี่ยงจากการถูกโจมตี
เพิ่ม FIN7 IOCไปยังอุปกรณ์ป้องกันภัยคุกคามทางไซเบอร์ที่ท่านใช้งานอยู่ prodaft.

นักวิจัยด้านความปลอดภัยทางไซเบอร์ที่ Software Secured บริษัทสัญชาติแคนาดาระบุช่องโหว่ร้ายแรงใน Less.

VMware ได้เน้นย้ำเกี่ยวกับแพตช์สำหรับแก้ไขช่องโหว่ระดับ Critical บน vCenter Server ที่อาจใช้โดยกลุ่มผู้ไม่หวังดีในการยกระดับสิทธิ์เพื่อสั่งรันโค้ดระยะไกลบน Server ได้

CVE-2021-21985 (RCE vulnerability in the vSphere Client) เป็นช่องโหว่ที่เกิดจากการไม่ได้ตรวจสอบความถูกต้องของ Input ใน plug-in สำหรับตรวจสอบประสิทธิภาพการทำงานของ Virtual SAN (vSAN) ซึ่งจะถูกเปิดใช้งานโดยค่า default ใน vCenterServer และทาง VMware ได้กล่าวเกี่ยวกับช่องโหว่นี้ว่า “ผู้โจมตีที่สามารถเข้าถึงเครือข่ายจะไปที่พอร์ต 443 และใช้ประโยชน์จากช่องโหว่เพื่อรันคำสั่งด้วยสิทธ์ Privilege บนระบบปฏิบติการใน host ของ vCenter Server ” โดยช่องโหว่นี้มีระดับความรุนแรง CVSS อยู่ที่ 9.8/10

CVE-2021-21986 (Authentication mechanism issue in vCenter Server Plug-ins) เป็นช่องโหว่ที่อยู่ในขั้นตอนการพิสูจน์ตัวตนของ vSphere สำหรับ Virtual SAN Health Check, Site Recovery, vSphere Lifecycle Manager, and VMware Cloud Director Availability plug-ins ที่อนุญาตให้ผู้โจมตีใช้งานฟังก์ชัน plug-in ได้โดยไม่ต้องมีการตรวจสอบความถูกต้อง โดยช่องโหว่นี้มีระดับความรุนแรง CVSS อยู่ที่ 6.5/10 (more…)

พบช่องโหว่ความรุนแรงสูงสุดในอุปกรณ์ Pulse Connect Secure (PCS) ถูกใช้โดยกลุ่มผู้ไม่หวังดีในการโจมตี

ล่าสุดมีการพบช่องโหว่ 0-day (CVE-2021-22893) ที่มีคะแนน CVSS เต็ม 10 ในอุปกรณ์ Pulse Connect Secure (PCS) ตั้งแต่เวอร์ชั่น 9.0R3 และใหม่กว่านั้น ส่งผลให้ผู้ไม่หวังดีสามารถสั่งรันคำสั่งอันตรายจากระยะไกลได้ (RCE) โดยไม่ต้องพิสูจน์ตัวตน (Unauthenticated) ทำให้สามารถแก้ไข File System และวาง Backdoor บนอุปกรณ์ได้ รายงานจาก FireEye ระบุว่าช่องโหว่ดังกล่าวได้ถูกใช้โจมตีโดยกลุ่มผู้ไม่หวังดีแล้ว ตั้งแต่ช่วงสิงหาคม 2020 จนถึงช่วงมีนาคมที่ผ่านมา นอกจากนี้ยังพบว่ามีการใช้ช่องโหว่เก่าอื่นๆ ในการโจมตีด้วย ได้แก่ CVE-2019-11510, CVE-2020-8243 และ CVE-2020-8260

ณ ปัจจุบันยังไม่มีการเปิดเผยรายละเอียดของช่องโหว่ และยังไม่มีแพทช์สำหรับแก้ไขช่องโหว่ดังกล่าวออกมา มีเพียง work around สำหรับแก้ไขปัญหาที่ถูกประกาศออกมาจาก Pulse Secure เท่านั้น โดยเป็นการดาวน์โหลดไฟล์ XML แล้วนำไป import เข้าในระบบ เพื่อ disable ความสามารถในส่วนของ Windows File Share Browser และ Pulse Collaboration ตามรายงานระบุว่าจะมีการออกแพทช์สำหรับแก้ไขปัญหาดังกล่าวออกมาในช่วงต้นเดือนพฤษภาคม

นอกจากนี้ยังมีการปล่อยเครื่องมือที่ชื่อว่า "Pulse Connect Secure Integrity Tool" สำหรับให้ผู้ดูแลระบบใช้ในการตรวจสอบอุปกรณ์ของตัวเองว่าถูกเพิ่มไฟล์น่าสงสัยในระบบ หรือถูกแก้ไข file system หรือไม่ ในขณะเดียวกัน CISA ของสหรัฐอเมริกา ก็ได้มีการออกรายงานแจ้งเตือนหน่วยงานที่เกี่ยวข้อง พร้อมทั้งเปิดเผยรายการของไฟล์ในระบบที่เชื่อว่าถูกแก้ไข และคำสั่งที่ถูกรันผ่าน webshell โดยผู้ไม่หวังดี

ที่มา: helpnetsecurity