แพตช์ที่ออกมาเป็นการแก้ปัญหา zero-day ที่พบ โดยอุปกรณ์ที่ได้รับผลกระทบครอบคลุมทั้ง iPhones, iPads และ Apple Watches ที่ยังรองรับการใช้งานระบบปฏิบัติการ iOS 12 อยู่ มีรายการเวอร์ชันอัปเดต ดังต่อไปนี้

iOS 14 (iPhones ล่าสุด) ให้อัปเดตเป็น 14.4.2
iOS 12 (iPhones เก่า และ iPads) ให้อัปเดตเป็น 12.5.2
iPadOS 14 ให้อัปเดตเป็น 14.4.2
watchOS ให้อัปเดตเป็น 7.3.3

เป็นการแก้ปัญหาช่องโหว่ในส่วนของ WebKit ที่เป็น core web browser ของ Apple, cross-site scripting (XSS) และ Same Origin Policy (SOP) โดยช่องโหว่ดังกล่าว มีผลให้ผู้ไม่หวังดีสามารถเข้าถึงข้อมูลส่วนตัวที่ไม่ต้องการเปิดเผย, สั่งรันคำสั่งอันตรายบนเครื่อง (RCE) หรือ ยกระดับสิทธิ์ (EoP) ได้

ที่มา: nakedsecurity

ไมโครซอฟต์ประกาศแพตช์ช่องโหว่ด้านความปลอดภัยใน Patch Tuesday รอบเดือนกุมภาพันธ์ 2021 เมื่อวานนี้ ซอฟต์แวร์ที่ได้รับแพตช์ในรอบนี้สูงสุดยังคงเป็น Windows ซึ่งได้รับแพตช์ไปทั้งหมด 28 รายการจากทั้งหมด 64 CVE ในมุมของผลกระทบนั้น มีช่องโหว่ทั้งหมด 11 รายการที่ถูกระบุอยู่ในเกณฑ์ Critical

จากรายการที่ประกาศ ทีมนักวิจัยจาก DB App Security ได้ตรวจพบว่าช่องโหว่ CVE-2021-1732 ซึ่งเป็นช่องโหว่ Privilege escalation ใน Windows Kernel ได้ถูกนำมาใช้โจมตีจริงโดยกลุ่ม APT ทีมนักวิจัยได้มีการเขียนรายงานการตรวจพบและการวิเคราะห์ช่องโหว่เอาไว้ ซึ่งสามารถอ่านเพิ่มได้ที่ dbappsecurity

ในขณะเดียวกัน มีการค้นพบช่องโหว่ RCE ระดับ Critical (CVSS 9.8/10) ใน TCP/IP stack ของ Windows ทั้งหมด 2 รายการ จากลักษณะของช่องโหว่ มีความเป็นไปได้สูงว่าช่องโหว่สามารถถูกโจมตีได้จากระยะไกลเพื่อรันโค้ดที่เป็นอันตราย

แพตช์ล่าสุดในรอบนี้ยังมีการแก้แพตช์ช่องโหว่รหัส CVE-2021-1733 ซึ่งเป็นช่องโหว่ Privilege escalation ในเครื่องมือ PsExec ด้วย ช่องโหว่นี้ได้เคยมีการพยายามแก้ไขแพตช์ในเครื่องมือ PsExec แล้วเมื่อเดือนมกราคม อย่างไรก็ตามนักวิจัยด้านความปลอดภัย David Wells ระบุว่าแพตช์ที่เกิดขึ้นในเดือนมกราคมนั้นไม่สมบูรณ์ ซึ่งส่งผลให้แพตช์ถูกบายพาสและยังคงโจมตีช่องโหว่ได้

ขอให้ผู้ใช้งานและผู้ดูแลระบบดำเนินการอัปเดตแพตช์โดยด่วนเพื่อจัดการความเสี่ยงที่จะมีการโจมตีโดยใช้ช่องโหว่เหล่านี้

ที่มา: zdnet,dbappsecurity,twitter,bleepingcomputer

Cisco ได้เปิดตัวแพตช์ความปลอดภัยเพื่อแก้ไขช่องโหว่ที่มีความเสี่ยงสูง 10 รายการในซอฟต์แวร์ NX-OS รวมถึงข้อบกพร่องบางประการที่อาจนำไปสู่การเรียกใช้โค้ดและการเพิ่มยกระดับสิทธิ์ โดยช่องโหว่ที่สำคัญและได้รับการเเก้ไขมีดังนี้

CVE-2020-3517 ช่องโหว่อยู่ในซอฟต์แวร์ Cisco FXOS และ NX-OS บน Cisco Fabric Services ช่องโหว่จะทำให้ผู้โจมตีที่ไม่ได้รับการตรวจสอบสามารถทำให้กระบวนการขัดข้องซึ่งอาจส่งผลให้เกิดการปฏิเสธการให้บริการ (DoS) ในอุปกรณ์ที่ได้รับผลกระทบ
CVE-2020-3415 ช่องโหว่การเรียกใช้โค้ดจากระยะไกล (RCE) ใน Data Management Engine (DME) ของซอฟต์แวร์ NX-OS ช่องโหว่จะทำให้ผู้โจมตีสามารถเรียกใช้โค้ดได้โดยไม่ได้รับอนุญาตด้วยสิทธิ์ระดับผู้ดูแลระบบหรือทำให้เกิดเงื่อนไขการปฏิเสธการให้บริการ (DoS) บนอุปกรณ์ที่ได้รับผลกระทบ
CVE-2020-3394 ช่องโหว่การยกระดับสิทธ์บนอุปกรณ์สวิตช์ Nexus 3000 และ 9000 series ช่องโหว่จะทำให้ผู้โจมตีสามารถรับสิทธิ์ระดับผู้ดูแลระบบเต็มรูป
CVE-2020-3397 และ CVE-2020-3398 ช่องโหว่ DoS ใน BGP Multicast VPN ของซอฟต์แวร์ NX-OS ซึ่งกระทบกับอุปกรณ์สวิตช์ Nexus 7000 series
ทั้งนี้ผู้ใช้งานและผู้ดูแลระบบควรทำการอัปเดตเเพตซ์ให้เป็นเวอร์ชันล่าสุดเพื่อป้องกันผู้ประสงค์ร้ายทำการใช้ประโยชน์จากช่องโหว่ทำการโจมตีระบบ

ที่มา:

securityaffairs.

Cisco ได้ประกาศถึงเเพตซ์เเก้ไขและปรับปรุงความปลอดภัยเพื่อจัดการเเก้ไขช่องโหว่ Remote Code Execution (RCE), Authentication Bypass และ Static Default Credential ที่ส่งผลกระทบต่ออุปกรณ์เราเตอร์และไฟร์วอลล์หลายตัวใน Cisco ที่อาจทำให้ผู้โจมตีสามารถครอบครองอุปกรณ์อย่างเต็มรูปแบบ นอกจากนี้ Cisco ยังได้ออกเเพตซ์การปรับปรุงความปลอดภัยเพื่อแก้ไขช่องโหว่การเพิ่มสิทธิพิเศษในซอฟต์แวร์ Cisco Prime License Manager

ช่องโหว่ที่ได้รับการเเพตซ์เเก้ไขช่องโหว่และปรับปรุงความปลอดภัยทั้ง 5 รายการนี้ถูกจัดระดับคะเเนนความรุนเเรงจาก CVSS อยู่ที่ 9.8 จาก 10 คะเเนน โดยช่องโหว่ที่สำคัญมีดังนี้

ช่องโหว่ CVE-2020-3330 เป็นช่องโหว่ Static Default Credential กระทบกับ Cisco Small Business รุ่น RV110W Wireless-N VPN Firewall firmware เฟิร์มแวร์ก่อนเวอร์ชั่น 1.2.2.8.
ช่องโหว่ CVE-2020-3323 เป็นช่องโหว่ Remote Command Execution (RCE) กระทบกับ Cisco Small Business รุ่น RV110W, RV130, RV130W และ RV215W
ช่องโหว่ CVE-2020-3144 เป็นช่องโหว่ Authentication Bypass กระทบกับ Cisco RV110W, RV130, RV130W และ RV215W
ช่องโหว่ CVE-2020-3331 เป็นช่องโหว่ Arbitrary Code Execution กระทบกับ Cisco เราเตอร์ซีรีส์ RV110W and RV215W เฟิร์มแวร์ก่อนเวอร์ชั่น 1.3.1.7.
ช่องโหว่ CVE-2020-3140 เป็นช่องโหว่ Privilege Escalation กระทบกับ Cisco Prime License Manager เวอร์ชั่นก่อนหน้า 10.5(2)SU9 และ 11.5(1)SU6

ผู้ใช้งานควรรีบทำการอัปเดตเเพตซ์เเก้ไขช่องโหว่ให้เร็วที่สุดเพื่อป้องกันผู้ประสงค์ร้ายใช้ประโยชน์จากช่องโหว่

ที่มา: bleepingcomputer

CVE-2020-2555: RCE ข้อผิดพลาดกระบวนการ Deserialization ใน Oracle WebLogic Server (09/03/2020)

นักวิจัยด้านความปลอดภัย Jang จาก VNPT ISC ได้ประกาศการค้นพบช่องโหว่ใหม่ผ่านโครงการ Zero Day Initiative (ZDI) กับไลบรารี Oracle Coherence ซึ่งใช้ใน Oracle WebLogic Server

ช่องโหว่ใหม่ล่าสุดรหัสผ่าน CVE-2020-2555 นี้เป็นช่องโหว่ Deserialization ซึ่งส่งผลให้ผู้โจมตีสามารถรันโค้ดที่เป็นอันตรายได้จากระยะไกล (Remote code execution - RCE) และมีความง่ายในการโจมตี ด้วยคุณลักษณะของช่องโหว่นี้ การประเมินความรุนแรงของช่องโหว่ด้วยเกณฑ์ CVSS จึงทำให้ช่องโหว่นี้ได้รับคะแนนสูงถึง 9.8 หรืออยู่ในระดับวิกฤติสูงสุด

ในขณะนี้ทาง Oracle ได้เผยแพร่ Patch เพื่อแก้ไขช่องโหว่แก่ Oracle Coherence ในรุ่น 3.7.1.17, 12.1.3.0.0, 12.2.1.3.0 และ 12.2.1.40 เราขอแนะนำผู้ใช้ทำการอัพเกรด Oracle Coherence โดยเร็วที่สุด และขอแนะนำให้ผู้ใช้ที่ใช้ Oracle WebLogic Server ปิดการใช้งานโปรโตคอล T3 เพื่อหลีกเลี่ยงการโจมตีที่เป็นอันตรายด้วย

ที่มา : zerodayinitiative

Cisco Talos ทำบล็อกแจ้งเตือนใหม่โดยเผลอหลุดชื่อช่องโหว่ RCE ใน SMBv3 ที่ไมโครซอฟต์กำลังจะออกแพตช์รหัส CVE-2020-0796 โดยช่องโหว่นี้มีลักษณะ Wormable ได้ ซึ่งหมายถึงว่ามันสามารถถูกเอามาใช้แพร่กระจายได้เช่นเดียวกับกรณีของ CVE-2017-0143/0144 ที่ #WannaCry ใช้

ตอนนี้ IPS ก็เริ่มมี signature มาก่อนแล้วโดยที่ข้อมูลช่องโหว่ยังไม่มีออกมา แต่จากรายละเอียดก็พอบอกได้แต่เพียงว่าเป็นช่องโหว่ Buffer Overflow ในส่วนของกระบวนการ compress packet

ด้วยสถานการณ์ตอนนี้ Patch Tuesday ที่กำลังจะมาถึงอาจจะเป็นหนึ่งในแพตช์ที่ช่วยรักษาชีวิตของเราไว้ได้อย่างที่เราคาดไม่ถึงครับ

ที่มา : twitter

แพตช์ด่วน มีการปล่อย POC สำหรับช่องโหว่ RCE ใน Microsoft SQL Server Reporting Services แล้ว

ช่องโหว่ CVE-2020-0618 เป็นช่องโหว่ใน Microsoft SQL Server Reporting Services ซึ่งเป็นส่วนสำหรับการออกรายงานใน Microsoft SQL Server ช่องโหว่ดังกล่าวทำให้ผู้โจมตีที่สามารถเข้าสู่ระบบสามารถโจมตีด้วยการรันคำสั่งอันตรายจากระยะไกลได้ (Remote Code Execution หรือ RCE) ช่องโหว่นี้กระทบ Microsoft SQL Server รุ่น 2012, 2014 และ 2016 โดยได้รับการแก้ไขไปในแพตช์ประจำเดือนกุมภาพันธ์ 2020 ที่ผ่านมา

ซึ่งในขณะนี้มีการเผยแพร่โค้ด Proof of Concept (POC) สำหรับใช้โจมตีช่องโหว่ดังกล่าวสู่สาธารณะแล้วรวมถึงพบการแสกนเพื่อหาเครื่อง Microsoft SQL Server ที่มีช่องโหว่ดังกล่าวแล้ว

ทั้งนี้ Kevin Beaumont (@GossiTheDog) นักวิจัยด้านความปลอดภัยให้ความเห็นว่าช่องโหว่ดังกล่าวอาจกระทบไปจนถึง Microsoft SQL Server 2008 ซึ่งหมดระยะการสนับสนุนจึงไม่ได้แพตช์อีกด้วย

ที่มา : mdsec

Microsoft เผยแพร่คำแนะนำด้านความปลอดภัยเกี่ยวกับช่องโหว่ Zero-day ใน Internet Explorer (IE) ที่กำลังถูกโจมตีในช่วงนี้

เบื้องต้นทาง Microsoft ระบุว่าการโจมตีดังกล่าวไม่ได้โจมตีเป็นวงกว้าง จำกัดแค่ผู้ใช้งานส่วนหนึ่ง แต่ได้ทำการออกวิธีการแก้ไขปัญหาและการลดผลกระทบที่สามารถนำไปใช้เพื่อป้องกันระบบที่มีช่องโหว่จากการโจมตีเท่านั้น แล้วจะออก Patch สำหรับแก้ไขช่องโหว่ดังกล่าวตามมาในอนาคต

Microsoft อธิบายถึงช่องโหว่ Zero-day ใน IE ซึ่งได้รับ CVE-2020-0674 ว่าเป็นช่องโหว่ที่ทำให้ผู้โจมตีสามารถรันคำสั่งที่เป็นอันตรายจากระยะไกลเพื่อเข้าถึงระบบ (remote code execution หรือ RCE ) โดยเกิดจากข้อผิดพลาดของหน่วยความจำเสียหายใน IE's scripting engine องค์ประกอบของเบราว์เซอร์ที่จัดการ JavaScript (Jscript9.dll) ช่องโหว่ดังกล่าวส่งผลกระทบกับ IE9 ถึง IE11 บน Windows desktop และ Windows Server

ผู้โจมตีสามารถออกแบบเว็บไซต์เป็นพิเศษเพื่อใช้ประโยชน์จากช่องโหว่ดังกล่าวแล้วโน้มน้าวให้ผู้ใช้ดูเว็บไซต์ดังกล่าว เช่น การส่งอีเมล

วิธีการแก้ไขปัญหาและการลดผลกระทบของช่องโหว่ดังกล่าวคือตั้งค่าเพื่อจำกัดการเข้าถึง Jscript9.dll โดยสามารถอ่านวิธีได้จาก www.

Oracle ออกแพตช์ประจำไตรมาสของเดือนมกราคม 2020 แก้ไขช่องโหว่ 334 ช่องโหว่ในหลายผลิตภัณฑ์ มี 43 ช่องโหว่ที่มีความรุนแรงระดับ Critical ทั้งนี้หลายๆ ช่องโหว่สามารถถูกโจมตีระยะไกลได้โดยผู้โจมตีที่ไม่ต้องเข้าสู่ระบบ

ตัวอย่างช่องโหว่ที่สา่มารถโจมตีจากระยะไกลได้โดยผู้โจมตีที่ไม่ต้องเข้าสู่ระบบได้แก่ช่องโหว่ใน Oracle WebLogic Server CVE-2020-2546 และ CVE-2020-2551 ถ้าโจมตีช่องโหว่ทั้งสองนี้สำเร็จจะสามารถรันคำสั่งอันตรายจากระยะไกลได้ (RCE)

CVE-2020-2546 เป็นช่องโหว่ใน WLS Core Component ผู้โจมตีสามารถโจมตีผ่านโปรโตคอล T3 ได้ส่งผลกระทบ WebLogic Server รุ่น 10.3.6.0.0 และ 12.1.3.0.0

CVE-2020-2551 เป็นช่องโหว่ใน Application Container - JavaEE ผู้โจมตีโจมตีผ่านโปรโตคอล IIOP ได้ ส่งผลกระทบ 10.3.6.0.0, 12.1.3.0.0, 12.2.1.3.0 และ 12.2.1.4.0

ทั้งสองช่องโหว่นี้ยังไม่มีการเผยแพร่ POC แต่มีนักวิจัยด้านความปลอดภัยหลายๆ คนเผยแพร่ภาพและวิดีโอว่าสามารถโจมตีช่องโหว่ทั้งสองได้แล้ว

ผู้ดูแลระบบควรอัปเดตแพตช์เพื่อความปลอดภัย ในกรณีที่ไม่สามารถอัปเดตแพตช์ได้ ผู้ดูแลระบบสามารถพิจารณาปิดการใช้งานโปรโตคอล T3 และโปรโตคอล IIOP เพื่อลดความเสี่ยงจากการโจมตี

สามารถดูรายการช่องโหว่ทั้งหมดที่ได้รับการอัปเดตในครั้งนี้ได้จาก https://www.

พบช่องโหว่การเรียกรันคำสั่งระยะไกล (RCE) ที่มีอายุถึง 7 ปีถูกค้นพบใน iTerm2 ของ macOS - หนึ่งในโอเพนซอร์ซที่ได้รับความนิยมมากที่สุดสำหรับแอพเทอร์มินัลในตัวของ Mac

ช่องโหว่ได้รับ CVE-2019-9535 ถูกค้นพบโดยนักตรวจสอบความปลอดภัยอิสระซึ่งได้รับทุนจากโปรแกรม Mozilla Open Source Support (MOSS) และบริษัท Radically Open Security (ROS) จากการเปิดเผยในวันนี้โดย Mozilla ระบุว่าช่องโหว่ RCE อยู่ในส่วน tmux ของ iTerm2 ซึ่งหากถูกโจมตีจะทำให้สามารถรันคำสั่งที่ต้องการได้ จากวิดีโอที่เผยแพร่ออกมาแสดงให้เห็นว่าการโจมตีสามารถทำงานได้ผ่าน Command-line ของระบบปฏิบัติการได้ ซึ่งต่างจากการโจมตีโดยทั่วไปที่มักต้องมีการโต้ตอบจากผู้ใช้งานด้วย ช่องโหว่ดังกล่าวจึงค่อนข้างน่ากังวล ผู้สนใจสามารถศึกษาได้จากวิดีโอในลิงก์ที่มาได้

ช่องโหว่ดังกล่าวส่งผลกระทบต่อ iTerm2 เวอร์ชั่น 3.3.5 และก่อนหน้า อย่างไรก็ตามช่องโหว่เพิ่งได้รับการแก้ไขด้วยการเปิดตัว iTerm2 3.3.6

ที่มา: thehackernews