CISCO ได้มีการอัพเดทระบบความปลอดภัย และพบว่าช่องโหว่ในระบบ

ในวันพฤหัสที่ผ่านมาใน Security Advisory Update ทาง Cisco ได้ออกมาเปิดเผยถึงช่องโหว่ที่สามารถรันโค้ดที่เป็นอันตรายได้จากระยะไกล (Remote code execution) ที่พบในอุปกรณ์ Adaptive Security Device Manager (ASDM) เมื่อเดือนที่ผ่านมา ซึ่งเป็น Zero-day และยังไม่ได้รับการแก้ไข

Cisco ASDM คือระบบจัดการไฟร์วอลล์ที่ทำหน้าที่ควบคุมไฟร์วอลล์ ของ Cisco เช่น Adaptive Security Appliance (ASA) และ AnyConnect Secure Mobility clients

โดย Cisco เปิดเผยว่า “ขณะนี้ Cisco มีแผนในการแก้ไขช่องโหว่ใน ASDM ดังกล่าว แต่ตอนนี้ยังไม่มีซอฟต์แวร์อัพเดทสำหรับแก้ปัญหานี้ รวมไปถึงยังไม่มี Workaround สำหรับกรณีนี้อีกด้วย” และทาง Cisco ได้ทำการปรับปรุงรายละเอียดของเวอร์ชันที่อาจจะถูกโจมตีได้จากเวอร์ชั่น '9.16.1 และก่อนหน้า' เป็น '7.16(1.150) และก่อนหน้า'

การตรวจสอบ Verification Signature ที่ไม่ถูกต้องระหว่าง ASDM และ Launcher ไม่ตรงกัน จะทำให้เกิดช่องโหว่ Zero-day นี้ขึ้น โดยปัจจุบันมีรหัสของช่องโหว่คือ CVE-2021-1585 หากผู้ไม่ประสงค์ดีสามารถใช้ช่องโหว่ดังกล่าวในการรันโค้ดที่เป็นอันตรายจากระยะไกลได้โดยไม่ต้องมีการพิสูจน์ตัวตน

Cisco อธิบายว่า “ผู้ไม่หวังดีสามารถใช้ช่องโหว่นี้หาประโยชน์ในลักษณะ Man-in-the-middle เพื่อแทรกการโจมตีด้วยโค้ดที่เป็นอันตรายระหว่างที่ ASDM และ Launcher มีการติดต่อกัน”

“หากจะโจมตีให้สำเร็จ ผู้โจมตีอาจจะต้องใช้วิธี Social Engineering เพื่อชักจูงให้ผู้ใช้งานทำการเชื่อมต่อระหว่าง Launcher ไปยัง ASDM”

อย่างไรก็ตาม Cisco ยืนยันว่า Product Security Incident Response Team (PSIRT) ยังไม่ได้รับข้อมูลว่ามีการโจมตีด้วยช่องโหว่นี้เกิดขึ้นจริง

Cisco ได้แก้ไขช่องโหว่ Zero-day CVE-2020-3556 ที่ถูกพบมามากกว่า 6 เดือนก่อนของอุปกรณ์ AnyConnect Secure Mobility Client VPN software เมื่อ 3 เดือนที่แล้ว จาก Exploit Code ที่ถูกปล่อยออกมา แต่ Cisco PSIRT แจ้งว่ายังไม่พบการโจมตีในวงกว้างเช่นกัน

Cisco รายงาน Zero-day นี้ในเดือน พฤศจิกายน 2020 โดยไม่มีการออกแพตซ์เพื่อแก้ไขช่องโหว่แต่อย่างใด มีเพียงเทคนิคการลดความเสี่ยงของช่องทางที่จะถูกใช้ในการโจมตี

CVE-2020-3556 ได้รับการแก้ไขในเดือน พฤษภาคม และถือเป็นความโชคดีที่ไม่มีความเสียหายอะไรเกิดขึ้นก่อนหน้านั้น อาจเนื่องมาจาก default VPN setups มีการป้องกันระบบเองอยู่แล้ว และการโจมตีโดยใช้ช่องโหว่นี้ต้องอาศัยผู้มีความเชี่ยวชาญสูงมาก

อย่างไรก็ดีหลังจากที่ทีม Offensive ของ Positive Technologies เปิดเผยช่องโหว่ของ Cisco ASA เมื่อเดือนที่ผ่านมา ก็เริ่มพบเห็นการโจมตีเกิดขึ้น ซึ่ง Cisco ออกการแก้ไขช่องโหว่บางส่วนในเดือนตุลาคม 2020 และแก้ไขช่องโหว่อย่างสมบูรณ์ในเดือนเมษายน 2021

ที่มา : ehackingnews.

Microsoft ได้ออกมาบอกข้อมูลอีก 1 ช่องโหว่ที่มีอยู่ใน Service Print Spooler

หลังจากมีการปล่อย Patch Tuesday ไปเมื่อวันอังคารที่ผ่านมา Microsoft ได้รับทราบถึงข้อมูลการโจมตีในลักษณะ Remote Code Execution อีก 1 ช่องโหว่ที่อยู่ใน Service Print Spooler โดยทาง Microsoft ให้ข้อมูลเสริมว่ากำลังดำเนินการเพื่อแก้ไขช่องโหว่นี้ และจะมีการปล่อยให้อัพเดทแพตซ์แก้ไขช่องโหว่ในการอัพเดทครั้งถัดไป

ช่องโหว่นี้ได้รหัสเป็น CVE-2021-36958(CVSS score: 7.3) ซึ่งช่องโหว่นี้ถือว่าเป็นส่วนนึงของช่องโหว่ PrintNightmare ที่ Microsoft ออกแพตซ์ปิดช่องโหว่ไปในช่วงที่ผ่านมา Victor Mata จาก Accenture Security ผู้รายงานช่องโหว่ได้รายงานช่องโหว่ดังกล่าวให้กับ Microsoft ในเดือนธันวาคม 2020 ที่ผ่านมา

ช่องโหว่ Remote Code Execution นี้จะเกิดขึ้นเมื่อ Windows Print Spooler Service ดำเนินการกับไฟล์ด้วยสิทธิ์ที่ไม่เหมาะสม ซึ่งทำให้หลังจากที่ผู้โจมตีทำการโจมตีช่องโหว่นี้สำเร็จ จะสามารถเรียกรันโค้ดต่างๆได้ด้วยสิทธิ์ system ของระบบ ทำให้ผู้โจมตีสามารถติดตั้ง โปรแกรม ดู เปลี่ยนแปลง หรือ ลบข้อมูล หรือ สร้างบัญชีใหม่พร้อมสิทธิ์ผู้ใช้งานเต็มรูปแบบได้

เป็นที่น่าสังเกตว่าก่อนหน้านี้ Microsoft ทำการปล่อยอัปเดต patch ของ Windows โดยใช้วิธีเปลี่ยนค่าตั้งต้นของ Point และ Print โดยป้องกันไม่ให้สามารถติดตั้งหรืออัปเดตไดรเวอร์ Printer ใหม่ได้จากภายนอก หากไม่มีสิทธิ์ของผู้ดูแลระบบ

การแก้ไขปัญหาชั่วคราวทาง Microsoft แนะนำให้ผู้ใช้งานปิด Service Print Spooler เพื่อป้องกันไม่ให้ผู้ประสงค์ร้ายใช้ประโยชน์จากช่องโหว่ โดยศูนย์ประสานงาน CERT ยังแนะนำให้ผู้ใช้บล็อกการรับส่งข้อมูล SMB ขาออกเพื่อป้องกันการเชื่อมต่อกับเครื่องพิมพ์ที่ถูกสร้างขึ้นเพื่อใช้ในการโจมตีได้

ที่มา : thehackernews.

Remote Code Execution Vulnerability Disclosed in Windows JScript Component

นักวิจัยด้านความปลอดภัย Dmitri Kaslov จาก Telspace Systems ได้ประกาศการค้นพบช่องโหว่ล่าสุดในส่วน Jscript ซึ่งอยู่ในระบบปฏิบัติการ Windows โดยอาจส่งผลให้เกิดการรันโค้ดที่เป็นอันตรายได้จากระยะไกล

ช่องโหว่ดังกล่าวเกิดขึ้นจากปัญหาในลักษณะ dangling pointer ซึ่งในช่องโหว่นี้นั้นคือการที่ pointer ของโปรแกรมยังคงชี้ไปยังจุดใดจุดหนึ่งในหน่วยความจำเคยถูกใช้งานแต่ถูกคืนพื้นที่กลับไปแล้ว อาจส่งผลให้ pointer ชี้ไปยังหน่วยความจำที่มีการใช้งานอยู่แต่ไม่เกี่ยวข้องกับการทำงานและเกิดเป็นพฤติกรรมของโปรแกรมที่ไม่สามารถคาดเดาได้ (undefined behavior)

ในการโจมตีช่องโหว่นี้นั้น ผู้โจมตีจำเป็นต้องหลอกล่อให้ผู้ใช้งานทำการเปิดไฟล์หรือเปิดหน้าเว็บเพจเพื่อรันโค้ดสำหรับโจมตี ซึ่งถึงแม้จะโจมตีสำเร็จ โค้ดอันตรายที่ถูกรันก็ยังคงถูกรันอยู่สภาพแวดล้อมควบคุม (sandbox) ทำให้ความเสียหายที่จะเกิดขึ้นนั้นค่อนข้างน้อย

ไมโครซอฟต์รับทราบถึงการมีอยู่ของช่องโหว่แล้ว และจะดำเนินการแก้ไขพร้อมกับปล่อยแพตช์ออกมาในเร็วๆ นี้

ที่มา : bleepingcomputer

พบช่องโหว่ Remote Code Execution ใน Systemd

ทาง Ubuntu ประกาศว่ามีการพบช่องโหว่ Remote Code Execcution ใน Systemd ซึ่งทำให้ client นั้นอาจถูกแฮ็คได้ทันที เมื่อได้รับ DNS Response ที่ถูกสร้างขึ้นมาโดยเฉพาะ

Ubuntu ประกาศเมื่อวันที่ 27/06/2017 ที่ผ่านมาว่าพบช่องโหว่ Denial of Service และ Remote Code Execution จากการรับ DNS Response ที่ถูกสร้างขึ้นมาเฉพาะใน systemd-resolved ซึ่งได้รับ CVE เป็น CVE-2017-9445 หากใครใช้งาน Ubuntu version 16.10 หรือ 17.04 แนะนำให้ทำการ update systemd ด่วนครับ

ผลกระทบ: Remote Code Execution or DoS
ระบบที่ได้รับผลกระทบ: Ubuntu 16.10 , 17.04
วิธีแก้ไขหรือป้องกัน: ทำการ upgrade Systemd เป็น 231-9ubuntu5 (16.10) หรือ 232-21ubuntu5 (17.04)

ที่มา : Ubuntu