แจ้งเตือนช่องโหว่ RCE ในซอฟต์แวร์ Exim คาดกระทบอีเมลเซิร์ฟเวอร์กว่าครึ่งหนึ่งของโลก

ซอฟต์แวร์ Exim ซึ่งเป็นซอฟต์แวร์ประเภท mail transfer agent (MTA) ถูกระบุว่ามีช่องโหว่ประเภท Remote Code Execution โดย Qualys วันนี้

ช่องโหว่ที่รหัส CVE-2019-10149 หรือในอีกชื่อซึ่งถูกเรียกว่า "Return off the WIZard" โดย Qualys นั้นเป็นช่องโหว่ประเภท Remote Code Execution ที่มีลักษณะที่คล้ายกับช่องโหว่เก่าแก่อย่าง WIZ และ DEBUG ในซอฟต์แวร์ sendmail ในอดีต การโจมตีช่องโหว่นี้สามารถทำได้สองรูปแบบคือแบบ local attack ซึ่งผู้ใช้งานที่มีอีเมลอยู่บนเซิร์ฟเวอร์อยู่แล้วทำการโจมตี และแบบ remote attack ซึ่งถูกระบุว่ามีความซับซ้อนสูง เนื่องจากผู้โจมตีจะต้องมีการรักษา connection ที่เชื่อมต่อกับเซิร์ฟเวอร์ที่มีช่องโหว่เอาไว้กว่า 7 วัน และยังไม่มีการโจมตีช่องโหว่จากระยะไกลที่ง่ายไปกว่านี้

ช่องโหว่กระทบ Exim ตั้งแต่เวอร์ชัน 4.87 ถึง 4.91 โดยผู้ใช้งานสามารถทำการอัปเกรดซอฟต์แวร์เพื่อรับแพตช์จากโครงการต้นน้ำได้ตั้งแต่วันนี้เป็นต้นไป

ที่มา : zdnet

Google ได้เริ่มทยอยปล่อย patch ด้านความปลอดภัยของ Android ประจำเดือนพฤศจิกายนให้กับผู้ให้บริการและผู้ผลิตอุปกรณ์ชุดใหม่เพื่อติดตั้ง สำหรับผู้ใช้งานคาดว่าจะเริ่มทยอยปล่อยในอีกไม่ช้า

Google แก้ไขช่องโหว่ 3 ช่องโหว่ เกี่ยวข้องกับการ Remote Code Execution (RCE) ได้รับการจัดอันดับความรุนแรงเป็น critical 2 ช่องโหว่ (CVE-2018-9527, CVE-2018-9531) และความรุนแรง high อีก 1 ช่องโหว่ (CVE-2018-9521) นอกจากนี้ยังมีการแก้ไขช่องโหว่เกี่ยวกับการยกระดับสิทธิ์ (Privilege Escalation) อีก 2 ช่องโหว่ (CVE-2018-9536, CVE-2018-9537) จัดอยู่ในระดับความรุนแรง critical เช่นกัน โดยช่องโหว่ทั้งหมด พบได้ในส่วนของมีเดีย framework บน Android

ทั้งนี้ส่วนที่น่าจะได้รับความสนใจสำหรับแพทช์ในรอบนี้น่าจะเป็นช่องโหว่ 18 รายการ ที่เกี่ยวข้องกับไลบรารี่ Libxaac ของ Android นอกเหนือจากนี้ยังมีการแก้ไขช่องโหว่ในส่วนของ Qualcomm CPU ที่ถูกใช้ในอุปกรณ์ของ Android ด้วย แต่ยังไม่มีการให้รายละเอียดเพิ่มเติมใดๆ เนื่องจาก Qualcomm จะเป็นผู้ให้ข้อมูลเอง

ที่มา: theregister

แฮกเกอร์สามารถโจมตีระบบเครือข่ายของคุณได้เพียงแค่ส่งแฟ็กซ์

นักวิจัยจาก CheckPoint ได้เปิดเผยรายละเอียดเกี่ยวกับ 2 ช่องโหว่ในการรันคำสั่งอันตรายจากระยะไกล (RCE) ในโปรโตคอลที่ใช้ในเครื่องแฟ็กซ์นับล้านเครื่องทั่วโลก

เนื่องจากเครื่องแฟ็กซ์ส่วนใหญ่ถูกรวมเข้ากับเครื่องพิมพ์แบบ All-in-One โดยเชื่อมต่อกับเครือข่าย Wi-Fi และสายโทรศัพท์ PSTN ผู้โจมตีจึงสามารถส่งไฟล์รูปภาพที่สร้างขึ้นมาเป็นพิเศษผ่านทางแฟ็กซ์เพื่อใช้ประโยชน์จากช่องโหว่และควบคุมการดำเนินงานขององค์กร หรือเครือข่ายภายในได้ โดยจำเป็นต้องรู้หมายเลขแฟ็กซ์ ซึ่งสามารถค้นหาได้ง่ายมาก

ช่องโหว่ Faxploit นี้เกี่ยวข้องกับ 2 ช่องโหว่ ได้แก่ buffer overflow CVE-2018-5925 และ CVE-2018-5924 ซึ่งจะนำไปสู่การเรียกใช้โค้ดจากระยะไกล
โดยทีมวิจัยมัลแวร์ของ CheckPoint ทดสอบใช้เครื่องพิมพ์แฟ็กซ์ HP Officejet Pro All-in-One ที่เป็นที่รู้จักทั่วไป ได้แก่ เครื่องพิมพ์ HP Officejet Pro 6830 all-in-one และ OfficeJet Pro 8720 โดยส่งไฟล์รูปภาพที่เต็มไปด้วย payload ที่เป็นอันตรายผ่านสายโทรศัพท์และทันทีที่เครื่องแฟ็กซ์ได้รับภาพจะถูกถอดรหัสและอัปโหลดลงในหน่วยความจำของเครื่องพิมพ์แฟ็กซ์ ซึ่งผู้บุกรุกสามารถทำรหัสไฟล์รูปภาพด้วยมัลแวร์ได้เช่น ransomware หรือ cryptocurrency miner ทั้งนี้ขึ้นอยู่กับเป้าหมายที่น่าสนใจและแรงจูงใจ

นักวิจัยของ CheckPoint ได้เปิดเผยการค้นพบให้แก่ Hewlett Packard ซึ่งทาง HP ได้แก้ไขข้อบกพร่องในเครื่องพิมพ์ของ All-in- One อย่างรวดเร็ว
อย่างไรก็ตามนักวิจัยเชื่อว่าช่องโหว่เดียวกันอาจส่งผลกระทบต่อเครื่องพิมพ์แฟ็กซ์แบบ All-In-One ส่วนใหญ่ที่จำหน่ายโดยผู้ผลิตรายอื่นและการใช้งานแฟ็กซ์อื่น ๆ เช่นบริการแฟ็กซ์ เมลบริการเครื่องแฟ็กซ์แบบสแตนด์อโลนและอื่นๆ

ที่มา : thehackernews

ช่องโหว่ remote code execution กระทบกับ Google Chrome browser เวอร์ชั่นเก่า ยกเว้นเวอร์ชั่นล่าสุด(Chrome 60)
ช่องโหว่ถูกค้นพบโดยนักวิจัยด้านความปลอดภัยที่ไม่ต้องการเปิดเผยตัว ซึ่งอยู่ใน SecuriTeam ของ Beyond Security และได้ทำการแจ้งให้ Google ทราบแล้ว ด้าน Google เองได้แจ้งว่าช่องโหว่นี้มีผลเฉพาะกับ Chrome ที่เป็นเวอร์ชั่นเก่าเท่านั้น จึงไม่มีความจำเป็นที่จะต้องทำการปิดช่องโหว่ดังกล่าว
การใช้ประโยชน์จากช่องโหว่นี้ ผู้โจมตีจะทำการหลอกให้ผู้ใช้เข้าไปยังเว็บไซต์ของตนเอง จากนั้นจึงทำการรัน JavaScript ผู้โจมตีสามารถสั่งให้โค้ดทำงานผ่านเบราว์เซอร์ของผู้ใช้ เพื่อขโมยข้อมูลที่เข้าถึงได้จากเบราว์เซอร์ เช่น รหัสผ่าน และ Cookies บนเครื่อง จึงแนะนำให้ทำการอัปเกรดเป็นเวอร์ชันล่าสุด Chrome 60 จะช่วยให้การใช้งานปลอดภัยยิ่งขึ้น

ที่มา : bleepingcomputer

CISCO ประกาศข่าวน่าตกใจว่าพบช่องโหว่ Buffer Overflow ในส่วน Simple Network Management Protocol (SNMP) Service ในทุกๆ version ที่ให้บริการใน CISCO IOS, IOS XE

CISCO กล่าวว่า SNMP ทุกๆ version (v1,v2c,v3) ที่ให้บริการใน CISCO IOS, IOS XE นั้นมีช่องโหว่ Buffer Overflow อยู่ทำให้สามารถถูก exploit แล้วกลายเป็น Denila of Service (ส่งผลให้เครื่องไม่สามารถให้บริการได้) หรือ Remote Code Execution (สั่งงานเครื่องจากระยะไกล) ได้ โดยหากเป็นบริการ SNMP v1,v2c ผู้โจมตีสามารถโจมตีได้โดยที่จำเป็นต้องรู้ SNMP community string แต่หากเป็น SNMPv3 จำเป็นต้องมี username, password ด้วย

โดยช่องโหว่ดังกล่าวนี้มี CVE 9 CVE คือ CVE-2017-6736, CVE-2017-6737, CVE-2017-6738, CVE-2017-6739, CVE-2017-6740, CVE-2017-6741, CVE-2017-6742, CVE-2017-6743, CVE-2017-6744 และ CVE แต่ละตัวจะเกี่ยวข้องกับ SNMP Management Information Bases (MIBs) ต่อไปนี้ :

ADSL-LINE-MIB
ALPS-MIB
CISCO-ADSL-DMT-LINE-MIB
CISCO-BSTUN-MIB
CISCO-MAC-AUTH-BYPASS-MIB
CISCO-SLB-EXT-MIB
CISCO-VOICE-DNIS-MIB
CISCO-VOICE-NUMBER-EXPANSION-MIB
TN3270E-RT-MIB
ตอนนี้ทาง CISCO ยังคงทำ patch update ไม่เสร็จ ดังนั้นในระหว่างนี้หากไม่มีความจำเป็นใดๆแนะนำให้ทำการปิด SNMP Access ไปก่อน หรือปิดการใช้งาน MIBs ที่มีช่องโหว่ครับ

ที่มา : TheRegister
แปลโดย : Techsuii