Citrix servers ที่มีช่องโหว่ร้ายแรงหลายพันเครื่อง เสี่ยงต่อการตกเป็นเป้าหมายจากการโจมตี

นักวิจัยจากทีม Fox IT ของ NCC Group รายงานว่า Citrix Application Delivery Controller (ADC) และ Citrix Gateway endpoints ยังคงตกเป็นเป้าหมายในการโจมตีจาก 2 ช่องโหว่ที่มีความรุนแรงสูง ประกอบไปด้วย CVE-2022-27510 และ CVE-2022-27518 (คะแนน CVSS scores: 9.8)

ส่งผลให้ Hacker สามารถโจมตีและสั่งรันโค้ดที่เป็นอันตรายจากระยะไกล (RCE) รวมถึงการหลบหลีกการตรวจสอบสอบสิทธิ์การเข้าถึงบน Citrix servers ที่มีช่องโหว่ได้

การตรวจสอบ

โดยนักวิจัยทำการสแกนตรวจสอบในวันที่ 11 พฤศจิกายน 2022 และพบเซิร์ฟเวอร์ Citrix ทั้งหมด 28,000 เครื่องที่ออนไลน์อยู่ ซึ่งในการระบุ Citrix servers ที่มีช่องโหว่ จำเป็นต้องระบุจากหมายเลขเวอร์ชัน ซึ่งทำให้ยังอาจไม่สามารถระบุจำนวนเครื่องที่มีช่องโหว่ได้จาก HTTP response ของเซิร์ฟเวอร์ แต่นักวิจัยก็ยังพบว่ามีค่าพารามิเตอร์บางส่วนที่มีค่าคล้าย MD5 hash ที่สามารถใช้เพื่อจับคู่กับเวอร์ชันของ Citrix ADC และ Gateway ได้

ดังนั้นนักวิจัยจึงทำการตรวจสอบกับ Citrix ADC version ทั้งหมดที่สามารถหาได้จาก Citrix, Google Cloud Marketplace, AWS และ Azure บน VM เพื่อทำการจับคู่ hash กับเวอร์ชันต่างๆ

ในส่วนของค่า hash ที่ไม่สามารถจับคู่กับเวอร์ชันได้ นักวิจัยได้ใช้วิธีค้นหาวันที่สร้างและอนุมานหมายเลขเวอร์ชันตามนั้น

การค้นพบ

โดยผลลัพธ์จากการตรวจสอบซึ่งสรุปไว้ในกราฟให้ข้อมูลว่า ส่วนใหญ่ของ Citrix ADC และ Citrix Gateway จะอยู่ในเวอร์ชัน 13.0-88.14 ซึ่งเป็นเวอร์ชันที่ได้รับการอัปเดตเพื่อแก้ไขช่องโหว่แล้ว

แต่ทั้งนี้ก็ยังพบว่ามี Citrix ADC และ Citrix Gateway อีกกว่า 3,500 เครื่อง ที่ยังอยู่ในเวอร์ชัน12.1-65.21 ที่ได้รับผลกระทบจาก 2 ช่องโหว่ที่มีความรุนแรงสูง

รวมถึงจากข้อมูลที่ได้พบว่า กลุ่มประเทศที่ทำการอัปเดตช่องโหว่อย่างรวดเร็ว ได้แก่ ประเทศสหรัฐอเมริกา เยอรมนี แคนาดา ออสเตรเลีย และสวิตเซอร์แลนด์ ทั้งนี้นักวิจัยจากทีม Fox IT ได้แนะนำว่าขอให้ผู้ดูแลระบบ Citrix Server ที่มีช่องโหว่ ดำเนินการอัปเดตช่องโหว่โดยเร่งด่วน

ที่มา : bleepingcomputer

กลุ่มแฮ็กเกอร์ FIN7 สร้างเครื่องมือสำหรับสแกนและโจมตีช่องโหว่ Exchange servers โดยอัตโนมัติ

Prodaft ทีมข่าวกรองด้านภัยคุกคามได้ค้นพบ “Checkmarks” แพลตฟอร์มที่ถูกสร้างมาสำหรับใช้โจมตีช่องโหว่ของ Microsoft Exchange และ SQL Injection โดยอัตโนมัติ เพื่อใช้เจาะเครือข่ายองค์กร ขโมยข้อมูล และสามารถเลือกเป้าหมายสำหรับการโจมตีด้วยแรนซัมแวร์ตามขนาดฐานะทางการเงินของบริษัท โดยเป็นการค้นพบในระหว่างที่ติดตามเหตุการณ์ข้อมูลรั่วไหลที่มีความเกี่ยวข้องกับกลุ่มแฮ็กเกอร์ FIN7

FIN7 คือกลุ่ม Hacker ชาวรัสเซีย ที่มีเป้าหมายในการเรียกค่าไถ่จากเหยื่อที่ถูกโจมตี โดยเริ่มพบการโจมตีตั้งแต่ปี 2012 ซึ่งเกี่ยวข้องกับเหตุการณ์โจมตีต่างๆ เช่น การโจมตีตู้ ATM, การส่ง USB ที่มีมัลแวร์ไปยังกลุ่มเป้าหมาย และการตั้งบริษัทรักษาความปลอดภัยทางไซเบอร์ปลอมขึ้น เพื่อจ้างผู้ทดสอบสำหรับการโจมตีด้วยแรนซัมแวร์ (ความจริงคือกำลังโจมตีเหยื่ออยู่จริง ๆ) และเหตุการณ์อื่น ๆ ที่พบความเกี่ยวข้องกับกลุ่ม รวมไปถึงกลุ่ม FIN7 ยังมีความเกี่ยวข้องกับกลุ่มแรนซัมแวร์อื่น ๆ เช่น Black Basta, Darkside, REvil และ LockBit Ransomware

ขั้นตอนโจมตีของ Checkmarks

Prodaft ได้อธิบายว่า Checkmarks เป็นแพลตฟอร์มสแกน และเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกล (RCE ) โดยอัตโนมัติ สำหรับช่องโหว่ Microsoft Exchange servers บนเครื่องเป้าหมาย รวมถึงมีการใช้ช่องโหว่ในการยกระดับสิทธิ์ (Privilege Escalation) เช่น CVE-2021-34473, CVE-2021-34523 และ CVE-2021-31207

Checkmarks จะทำการดึงข้อมูลอีเมลจาก Active Directory และรวบรวมข้อมูล Microsoft Exchange servers หลังจากทำการโจมตีเครื่องที่มีช่องโหว่ได้สำเร็จ

จากนั้นจะนำข้อมูลของเหยื่อที่ทำการรวบรวมจาก Active Directory และ Microsoft Exchange servers เพิ่มไปยัง Panel ของระบบที่ใช้สำหรับควบคุมเครื่องเหยื่อโดยอัตโนมัติ เพื่อให้กลุ่ม FIN7 สามารถดูรายละเอียดของข้อมูลได้

นักวิเคราะห์ของ FIN7 จะตรวจสอบรายการข้อมูลของเหยื่อใหม่ รวมถึงแสดงคิดเห็นบนแพลตฟอร์ม Checkmarks เพื่อแสดงข้อมูลรายได้ปัจจุบันของเหยื่อ จำนวนพนักงาน โดเมน รายละเอียดสำนักงานใหญ่และข้อมูลอื่น ๆ รวมถึงการใช้ข้อมูลจากแหล่งข้อมูลที่หลากหลาย เช่น Owler, Crunchbase, DNB, Zoominfo และ Mustat ที่ช่วยให้ Hackers ประเมินได้ว่าบริษัทนั้นคุ้มค่า และมีโอกาสสำเร็จมากเพียงใดในการโจมตีด้วย Ransomware เพื่อเรียกค่าไถ่

หากเหยื่อรายนั้นได้รับการพิจารณาว่าคุ้มค่าและมีโอกาสสำเร็จ ฝ่ายโจมตีระบบของ FIN7 จะทำการออกแบบแผนการโจมตี ว่าสามารถใช้การเชื่อมต่อเซิร์ฟเวอร์ได้อย่างไร การโจมตีจะอยู่ได้นานแค่ไหนและไปได้ไกลแค่ไหน

อีกทั้ง Checkmarks ยังมี SQL injection module เพื่อใช้ SQLMap สแกนหาช่องโหว่บนเว็บไซต์ของเป้าหมาย รวมไปถึงการฝัง SSH backdoors เอาไว้ในเครื่องของเหยื่อ ทำให้สามารถขโมยไฟล์จากอุปกรณ์ที่ถูกโจมตี ใช้การเชื่อมต่อ reverse SSH (SFTP) ผ่านโดเมนบน Tor Network ถึงแม้เหยื่อจะจ่ายค่าไถ่แล้วก็ตาม เพื่อการกลับมาโจมตีซ้ำ รวมไปถึงการขายช่องโหว่นี้แก่ Hackers กลุ่มอื่น ๆ

Prodaft พบว่า แพลตฟอร์ม Checkmarks ของ FIN7 ได้ถูกนำไปใช้ในการแทรกซึมเข้าไปในบริษัทต่าง ๆ กว่า 8,147 แห่ง โดยส่วนใหญ่ตั้งอยู่ในสหรัฐอเมริกา (16.7%) หลังจากสแกนเป้าหมายไปแล้วกว่า 1.8 ล้านเป้าหมาย

โดย แพลตฟอร์ม Checkmarks ได้แสดงให้เห็นถึงผลกระทบ และความรุนแรงของการเกิดขึ้นของกลุ่มผู้โจมตีทางไซเบอร์ ที่มีจุดประสงค์ในการเรียกค่าไถ่จากเหยื่อว่าได้ส่งผลกระทบทั่วโลกแล้วในขณะนี้

การป้องกัน

อัปเดต Microsoft Exchange Server ที่ได้รับผลกระทบเพื่อลดความเสี่ยงจากการถูกโจมตี
เพิ่ม FIN7 IOCไปยังอุปกรณ์ป้องกันภัยคุกคามทางไซเบอร์ที่ท่านใช้งานอยู่ prodaft.

ช่องโหว่ใน Less.js อาจทำให้ AWS Secret Keys รั่วไหล

นักวิจัยด้านความปลอดภัยทางไซเบอร์ที่ Software Secured บริษัทสัญชาติแคนาดาระบุช่องโหว่ร้ายแรงใน Less.

พบช่องโหว่ Remote Code Execution ระดับ Critical บน VMware vCenter Server

VMware ได้เน้นย้ำเกี่ยวกับแพตช์สำหรับแก้ไขช่องโหว่ระดับ Critical บน vCenter Server ที่อาจใช้โดยกลุ่มผู้ไม่หวังดีในการยกระดับสิทธิ์เพื่อสั่งรันโค้ดระยะไกลบน Server ได้

CVE-2021-21985 (RCE vulnerability in the vSphere Client) เป็นช่องโหว่ที่เกิดจากการไม่ได้ตรวจสอบความถูกต้องของ Input ใน plug-in สำหรับตรวจสอบประสิทธิภาพการทำงานของ Virtual SAN (vSAN) ซึ่งจะถูกเปิดใช้งานโดยค่า default ใน vCenterServer และทาง VMware ได้กล่าวเกี่ยวกับช่องโหว่นี้ว่า “ผู้โจมตีที่สามารถเข้าถึงเครือข่ายจะไปที่พอร์ต 443 และใช้ประโยชน์จากช่องโหว่เพื่อรันคำสั่งด้วยสิทธ์ Privilege บนระบบปฏิบติการใน host ของ vCenter Server ” โดยช่องโหว่นี้มีระดับความรุนแรง CVSS อยู่ที่ 9.8/10

CVE-2021-21986 (Authentication mechanism issue in vCenter Server Plug-ins) เป็นช่องโหว่ที่อยู่ในขั้นตอนการพิสูจน์ตัวตนของ vSphere สำหรับ Virtual SAN Health Check, Site Recovery, vSphere Lifecycle Manager, and VMware Cloud Director Availability plug-ins ที่อนุญาตให้ผู้โจมตีใช้งานฟังก์ชัน plug-in ได้โดยไม่ต้องมีการตรวจสอบความถูกต้อง โดยช่องโหว่นี้มีระดับความรุนแรง CVSS อยู่ที่ 6.5/10 (more…)

Attackers are exploiting zero-day in Pulse Secure VPNs to breach orgs (CVE-2021-22893)

พบช่องโหว่ความรุนแรงสูงสุดในอุปกรณ์ Pulse Connect Secure (PCS) ถูกใช้โดยกลุ่มผู้ไม่หวังดีในการโจมตี

ล่าสุดมีการพบช่องโหว่ 0-day (CVE-2021-22893) ที่มีคะแนน CVSS เต็ม 10 ในอุปกรณ์ Pulse Connect Secure (PCS) ตั้งแต่เวอร์ชั่น 9.0R3 และใหม่กว่านั้น ส่งผลให้ผู้ไม่หวังดีสามารถสั่งรันคำสั่งอันตรายจากระยะไกลได้ (RCE) โดยไม่ต้องพิสูจน์ตัวตน (Unauthenticated) ทำให้สามารถแก้ไข File System และวาง Backdoor บนอุปกรณ์ได้ รายงานจาก FireEye ระบุว่าช่องโหว่ดังกล่าวได้ถูกใช้โจมตีโดยกลุ่มผู้ไม่หวังดีแล้ว ตั้งแต่ช่วงสิงหาคม 2020 จนถึงช่วงมีนาคมที่ผ่านมา นอกจากนี้ยังพบว่ามีการใช้ช่องโหว่เก่าอื่นๆ ในการโจมตีด้วย ได้แก่ CVE-2019-11510, CVE-2020-8243 และ CVE-2020-8260

ณ ปัจจุบันยังไม่มีการเปิดเผยรายละเอียดของช่องโหว่ และยังไม่มีแพทช์สำหรับแก้ไขช่องโหว่ดังกล่าวออกมา มีเพียง work around สำหรับแก้ไขปัญหาที่ถูกประกาศออกมาจาก Pulse Secure เท่านั้น โดยเป็นการดาวน์โหลดไฟล์ XML แล้วนำไป import เข้าในระบบ เพื่อ disable ความสามารถในส่วนของ Windows File Share Browser และ Pulse Collaboration ตามรายงานระบุว่าจะมีการออกแพทช์สำหรับแก้ไขปัญหาดังกล่าวออกมาในช่วงต้นเดือนพฤษภาคม

นอกจากนี้ยังมีการปล่อยเครื่องมือที่ชื่อว่า "Pulse Connect Secure Integrity Tool" สำหรับให้ผู้ดูแลระบบใช้ในการตรวจสอบอุปกรณ์ของตัวเองว่าถูกเพิ่มไฟล์น่าสงสัยในระบบ หรือถูกแก้ไข file system หรือไม่ ในขณะเดียวกัน CISA ของสหรัฐอเมริกา ก็ได้มีการออกรายงานแจ้งเตือนหน่วยงานที่เกี่ยวข้อง พร้อมทั้งเปิดเผยรายการของไฟล์ในระบบที่เชื่อว่าถูกแก้ไข และคำสั่งที่ถูกรันผ่าน webshell โดยผู้ไม่หวังดี

ที่มา: helpnetsecurity

Apple ออกแพตช์ฉุกเฉินเพื่อแก้ไขปัญหาความปลอดภัยบนอุปกรณ์ ควรติดตั้งแพตช์ดังกล่าวทันที

แพตช์ที่ออกมาเป็นการแก้ปัญหา zero-day ที่พบ โดยอุปกรณ์ที่ได้รับผลกระทบครอบคลุมทั้ง iPhones, iPads และ Apple Watches ที่ยังรองรับการใช้งานระบบปฏิบัติการ iOS 12 อยู่ มีรายการเวอร์ชันอัปเดต ดังต่อไปนี้

iOS 14 (iPhones ล่าสุด) ให้อัปเดตเป็น 14.4.2
iOS 12 (iPhones เก่า และ iPads) ให้อัปเดตเป็น 12.5.2
iPadOS 14 ให้อัปเดตเป็น 14.4.2
watchOS ให้อัปเดตเป็น 7.3.3

เป็นการแก้ปัญหาช่องโหว่ในส่วนของ WebKit ที่เป็น core web browser ของ Apple, cross-site scripting (XSS) และ Same Origin Policy (SOP) โดยช่องโหว่ดังกล่าว มีผลให้ผู้ไม่หวังดีสามารถเข้าถึงข้อมูลส่วนตัวที่ไม่ต้องการเปิดเผย, สั่งรันคำสั่งอันตรายบนเครื่อง (RCE) หรือ ยกระดับสิทธิ์ (EoP) ได้

ที่มา: nakedsecurity

Microsoft Patch Tuesday ประจำเดือนกุมภาพันธ์ 2021 มาแล้ว พบบางช่องโหว่ถูกใช้โจมตีจริง แนะนำให้ทำการแพตช์โดยด่วน

ไมโครซอฟต์ประกาศแพตช์ช่องโหว่ด้านความปลอดภัยใน Patch Tuesday รอบเดือนกุมภาพันธ์ 2021 เมื่อวานนี้ ซอฟต์แวร์ที่ได้รับแพตช์ในรอบนี้สูงสุดยังคงเป็น Windows ซึ่งได้รับแพตช์ไปทั้งหมด 28 รายการจากทั้งหมด 64 CVE ในมุมของผลกระทบนั้น มีช่องโหว่ทั้งหมด 11 รายการที่ถูกระบุอยู่ในเกณฑ์ Critical

จากรายการที่ประกาศ ทีมนักวิจัยจาก DB App Security ได้ตรวจพบว่าช่องโหว่ CVE-2021-1732 ซึ่งเป็นช่องโหว่ Privilege escalation ใน Windows Kernel ได้ถูกนำมาใช้โจมตีจริงโดยกลุ่ม APT ทีมนักวิจัยได้มีการเขียนรายงานการตรวจพบและการวิเคราะห์ช่องโหว่เอาไว้ ซึ่งสามารถอ่านเพิ่มได้ที่ dbappsecurity

ในขณะเดียวกัน มีการค้นพบช่องโหว่ RCE ระดับ Critical (CVSS 9.8/10) ใน TCP/IP stack ของ Windows ทั้งหมด 2 รายการ จากลักษณะของช่องโหว่ มีความเป็นไปได้สูงว่าช่องโหว่สามารถถูกโจมตีได้จากระยะไกลเพื่อรันโค้ดที่เป็นอันตราย

แพตช์ล่าสุดในรอบนี้ยังมีการแก้แพตช์ช่องโหว่รหัส CVE-2021-1733 ซึ่งเป็นช่องโหว่ Privilege escalation ในเครื่องมือ PsExec ด้วย ช่องโหว่นี้ได้เคยมีการพยายามแก้ไขแพตช์ในเครื่องมือ PsExec แล้วเมื่อเดือนมกราคม อย่างไรก็ตามนักวิจัยด้านความปลอดภัย David Wells ระบุว่าแพตช์ที่เกิดขึ้นในเดือนมกราคมนั้นไม่สมบูรณ์ ซึ่งส่งผลให้แพตช์ถูกบายพาสและยังคงโจมตีช่องโหว่ได้

ขอให้ผู้ใช้งานและผู้ดูแลระบบดำเนินการอัปเดตแพตช์โดยด่วนเพื่อจัดการความเสี่ยงที่จะมีการโจมตีโดยใช้ช่องโหว่เหล่านี้

ที่มา: zdnet,dbappsecurity,twitter,bleepingcomputer

Cisco อัปเดตเเพตซ์ช่องโหว่ที่มีความเสี่ยงสูง 10 รายการที่ส่งผลกระทบกับซอฟต์แวร์ในอุปกรณ์ Switch และ Fiber Storage

Cisco ได้เปิดตัวแพตช์ความปลอดภัยเพื่อแก้ไขช่องโหว่ที่มีความเสี่ยงสูง 10 รายการในซอฟต์แวร์ NX-OS รวมถึงข้อบกพร่องบางประการที่อาจนำไปสู่การเรียกใช้โค้ดและการเพิ่มยกระดับสิทธิ์ โดยช่องโหว่ที่สำคัญและได้รับการเเก้ไขมีดังนี้

CVE-2020-3517 ช่องโหว่อยู่ในซอฟต์แวร์ Cisco FXOS และ NX-OS บน Cisco Fabric Services ช่องโหว่จะทำให้ผู้โจมตีที่ไม่ได้รับการตรวจสอบสามารถทำให้กระบวนการขัดข้องซึ่งอาจส่งผลให้เกิดการปฏิเสธการให้บริการ (DoS) ในอุปกรณ์ที่ได้รับผลกระทบ
CVE-2020-3415 ช่องโหว่การเรียกใช้โค้ดจากระยะไกล (RCE) ใน Data Management Engine (DME) ของซอฟต์แวร์ NX-OS ช่องโหว่จะทำให้ผู้โจมตีสามารถเรียกใช้โค้ดได้โดยไม่ได้รับอนุญาตด้วยสิทธิ์ระดับผู้ดูแลระบบหรือทำให้เกิดเงื่อนไขการปฏิเสธการให้บริการ (DoS) บนอุปกรณ์ที่ได้รับผลกระทบ
CVE-2020-3394 ช่องโหว่การยกระดับสิทธ์บนอุปกรณ์สวิตช์ Nexus 3000 และ 9000 series ช่องโหว่จะทำให้ผู้โจมตีสามารถรับสิทธิ์ระดับผู้ดูแลระบบเต็มรูป
CVE-2020-3397 และ CVE-2020-3398 ช่องโหว่ DoS ใน BGP Multicast VPN ของซอฟต์แวร์ NX-OS ซึ่งกระทบกับอุปกรณ์สวิตช์ Nexus 7000 series
ทั้งนี้ผู้ใช้งานและผู้ดูแลระบบควรทำการอัปเดตเเพตซ์ให้เป็นเวอร์ชันล่าสุดเพื่อป้องกันผู้ประสงค์ร้ายทำการใช้ประโยชน์จากช่องโหว่ทำการโจมตีระบบ

ที่มา:

securityaffairs.

Cisco ออกเเพตซ์เเก้ไขช่องโหว่ความรุนเเรงระดับ “Critical” ที่อนุญาตให้ผู้โจมตีสามารถยึดครองเราเตอร์ได้

Cisco ได้ประกาศถึงเเพตซ์เเก้ไขและปรับปรุงความปลอดภัยเพื่อจัดการเเก้ไขช่องโหว่ Remote Code Execution (RCE), Authentication Bypass และ Static Default Credential ที่ส่งผลกระทบต่ออุปกรณ์เราเตอร์และไฟร์วอลล์หลายตัวใน Cisco ที่อาจทำให้ผู้โจมตีสามารถครอบครองอุปกรณ์อย่างเต็มรูปแบบ นอกจากนี้ Cisco ยังได้ออกเเพตซ์การปรับปรุงความปลอดภัยเพื่อแก้ไขช่องโหว่การเพิ่มสิทธิพิเศษในซอฟต์แวร์ Cisco Prime License Manager

ช่องโหว่ที่ได้รับการเเพตซ์เเก้ไขช่องโหว่และปรับปรุงความปลอดภัยทั้ง 5 รายการนี้ถูกจัดระดับคะเเนนความรุนเเรงจาก CVSS อยู่ที่ 9.8 จาก 10 คะเเนน โดยช่องโหว่ที่สำคัญมีดังนี้

ช่องโหว่ CVE-2020-3330 เป็นช่องโหว่ Static Default Credential กระทบกับ Cisco Small Business รุ่น RV110W Wireless-N VPN Firewall firmware เฟิร์มแวร์ก่อนเวอร์ชั่น 1.2.2.8.
ช่องโหว่ CVE-2020-3323 เป็นช่องโหว่ Remote Command Execution (RCE) กระทบกับ Cisco Small Business รุ่น RV110W, RV130, RV130W และ RV215W
ช่องโหว่ CVE-2020-3144 เป็นช่องโหว่ Authentication Bypass กระทบกับ Cisco RV110W, RV130, RV130W และ RV215W
ช่องโหว่ CVE-2020-3331 เป็นช่องโหว่ Arbitrary Code Execution กระทบกับ Cisco เราเตอร์ซีรีส์ RV110W and RV215W เฟิร์มแวร์ก่อนเวอร์ชั่น 1.3.1.7.
ช่องโหว่ CVE-2020-3140 เป็นช่องโหว่ Privilege Escalation กระทบกับ Cisco Prime License Manager เวอร์ชั่นก่อนหน้า 10.5(2)SU9 และ 11.5(1)SU6

ผู้ใช้งานควรรีบทำการอัปเดตเเพตซ์เเก้ไขช่องโหว่ให้เร็วที่สุดเพื่อป้องกันผู้ประสงค์ร้ายใช้ประโยชน์จากช่องโหว่

ที่มา: bleepingcomputer

CVE-2020-2555: RCE Through a Deserialization Bug in Oracle’s WebLogic Server

CVE-2020-2555: RCE ข้อผิดพลาดกระบวนการ Deserialization ใน Oracle WebLogic Server (09/03/2020)

นักวิจัยด้านความปลอดภัย Jang จาก VNPT ISC ได้ประกาศการค้นพบช่องโหว่ใหม่ผ่านโครงการ Zero Day Initiative (ZDI) กับไลบรารี Oracle Coherence ซึ่งใช้ใน Oracle WebLogic Server

ช่องโหว่ใหม่ล่าสุดรหัสผ่าน CVE-2020-2555 นี้เป็นช่องโหว่ Deserialization ซึ่งส่งผลให้ผู้โจมตีสามารถรันโค้ดที่เป็นอันตรายได้จากระยะไกล (Remote code execution - RCE) และมีความง่ายในการโจมตี ด้วยคุณลักษณะของช่องโหว่นี้ การประเมินความรุนแรงของช่องโหว่ด้วยเกณฑ์ CVSS จึงทำให้ช่องโหว่นี้ได้รับคะแนนสูงถึง 9.8 หรืออยู่ในระดับวิกฤติสูงสุด

ในขณะนี้ทาง Oracle ได้เผยแพร่ Patch เพื่อแก้ไขช่องโหว่แก่ Oracle Coherence ในรุ่น 3.7.1.17, 12.1.3.0.0, 12.2.1.3.0 และ 12.2.1.40 เราขอแนะนำผู้ใช้ทำการอัพเกรด Oracle Coherence โดยเร็วที่สุด และขอแนะนำให้ผู้ใช้ที่ใช้ Oracle WebLogic Server ปิดการใช้งานโปรโตคอล T3 เพื่อหลีกเลี่ยงการโจมตีที่เป็นอันตรายด้วย

ที่มา : zerodayinitiative