Apache แก้ไขช่องโหว่ Remote Code Execution (RCE) ระดับ Critical ใน OFBiz

Apache ได้แก้ไขช่องโหว่ระดับ critical ในซอฟต์แวร์โอเพ่นซอร์ส OFBiz (Open For Business) ซึ่งเป็นช่องโหว่ที่อาจทำให้ผู้โจมตีสามารถรันโค้ดได้ตามที่ต้องการบนเซิร์ฟเวอร์ Linux และ Windows ที่มีช่องโหว่ (more…)

PHP แก้ไขช่องโหว่ RCE ระดับ Critical ที่ส่งผลกระทบต่อ Windows ทุกเวอร์ชัน

PHP ออกอัปเดตเพื่อแก้ไขช่องโหว่การเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกล (Remote Code Execution (RCE)) บน Windows ซึ่งส่งผลกระทบตั้งแต่เวอร์ชัน 5.x และอาจส่งผลกระทบต่อเซิร์ฟเวอร์จำนวนมากทั่วโลก

PHP เป็น open-source scripting language ที่ใช้กันอย่างแพร่หลาย โดยถูกออกแบบมาเพื่อการพัฒนาเว็บ และใช้กันทั่วไปบนเซิร์ฟเวอร์ทั้งบน Windows และ Linux

CVE-2024-4577 (คะแนน CVSS 9.8/10 ความรุนแรงระดับ Critical) เป็นช่องโหว่การเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกล (RCE) ที่เกิดจากการจัดการ character encoding โดยเฉพาะฟีเจอร์ 'Best-Fit' บน Windows เมื่อใช้ PHP ในโหมด CGI

ทำให้ Hacker ที่ไม่ต้องผ่านการยืนยันตัวตนสามารถ bypass การป้องกันของช่องโหว่ CVE-2012-1823 ก่อนหน้านี้ ด้วย character ที่เฉพาะเจาะจง ทำให้สามารถดำเนินการได้บน PHP servers ผ่านการโจมตีแบบ argument injection attack ซึ่งช่องโหว่ถูกค้นพบโดย Orange Tsai นักวิจัยด้านความปลอดภัยของ Devcore Principal เมื่อวันที่ 7 พฤษภาคม 2024 และได้รายงานช่องโหว่ให้แก่นักพัฒนา PHP ในเวลาต่อมา

ช่องโหว่ CVE-2024-4577 ส่งผลกระทบต่อ PHP ทุกเวอร์ชันบน Windows หากผู้ใช้งานใช้ PHP 8.0 (End of Life), PHP 7.x (End of Life) หรือ PHP 5.x (End of Life) ควรอัปเดตให้เป็นเวอร์ชันที่ใหม่กว่า หรือใช้วิธีการลดผลกระทบของช่องโหว่

นักวิจัยระบุว่า แม้ว่า PHP จะไม่ได้ใช้งาน CGI mode แต่ช่องโหว่ CVE-2024-4577 ก็อาจยังคงสามารถถูกโจมตีได้ ตราบใดที่ไฟล์ปฏิบัติการ PHP (เช่น php.

พบอุปกรณ์ Fortinet ที่มีช่องโหว่ระดับ Critical จำนวนกว่า 150,000 รายการ เสี่ยงต่อการถูกโจมตี

จากบริการการสแกนบนเว็บสาธารณะที่แสดงข้อมูล Fortinet FortiOS และ FortiProxy secure web gateway กว่า 150,000 รายการ มีความเสี่ยงต่อการถูกโจมตีจากช่องโหว่ CVE-2024-21762 ที่ทำให้ผู้โจมตีสามารถเรียกใช้คำสั่งที่เป็นอันตรายได้โดยไม่จำเป็นต้องมีการ authentication

โดยหน่วยงานป้องกันทางไซเบอร์ของอเมริกา หรือ CISA ออกมายืนยันว่าพบกลุ่ม Hacker ได้มุ่งเป้าโจมตีช่องโหว่ดังกล่าว รวมถึงทาง CISA ได้เพิ่มช่องโหว่ดังกล่าวไปใน Known Exploited Vulnerabilities (KEV) catalog หรือรายการช่องโหว่ที่กำลังถูกใช้ในการโจมตีแล้ว (more…)

Beware: Experts Reveal New Details on Zero-Click Outlook RCE Exploits

ผู้เชี่ยวชาญเผยรายละเอียดใหม่ของช่องโหว่ Zero-Click Outlook RCE

ข้อมูลทางเทคนิคเกี่ยวกับช่องโหว่ด้านความปลอดภัยสองรายการที่ได้รับการแก้ไขแล้วใน Microsoft Windows ซึ่งอาจถูกใช้ร่วมกันจากผู้โจมตีเพื่อเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกลบนอีเมล Outlook โดยไม่ต้องมีการโต้ตอบจากผู้ใช้

Ben Barnea นักวิจัยด้านความปลอดภัยจาก Akamai ผู้ค้นพบช่องโหว่ ยืนยันในรายงานที่แชร์กับ The Hacker News ว่า "ผู้โจมตีจากอินเทอร์เน็ตสามารถเชื่อมโยงช่องโหว่ทั้งสองเข้าด้วยกันเพื่อสร้างช่องโหว่ Remote Code Execution (RCE) แบบ zero-click ที่สมบูรณ์บนไคลเอ็นต์ Outlook ได้"

รายการช่องโหว่ด้านความปลอดภัย ซึ่ง Microsoft ได้แก้ไขไปเมื่อเดือนสิงหาคม และตุลาคม 2023 ตามลำดับ

CVE-2023-35384 (CVSS score: 5.4) - ช่องโหว่ Windows HTML Platforms Security Feature Bypass
CVE-2023-36710 (CVSS score: 7.8) - ช่องโหว่ Windows Media Foundation Core Remote Code Execution

นักวิจัยจาก Akamai ระบุว่า CVE-2023-35384 เป็นการ bypass ช่องโหว่ด้านความปลอดระดับ Critical ที่ Microsoft แก้ไขไปในเดือนมีนาคม 2023 ช่องโหว่นั้นคือ CVE-2023-23397 (CVSS score: 9.8) ซึ่งเกี่ยวข้องกับการยกระดับสิทธิ์ ซึ่งอาจนำไปสู่การขโมยข้อมูล NTLM credentials และช่วยให้ผู้โจมตีสามารถใช้เพื่อโจมตีต่อได้

ช่วงต้นเดือนนี้ Microsoft, Proofpoint และ Palo Alto Networks Unit 42 ได้เปิดเผยว่า กลุ่มแฮ็กเกอร์ชาวรัสเซียที่รู้จักกันในชื่อ APT28 (หรือ Forest Blizzard) กำลังโจมตีโดยใช้ช่องโหว่ดังกล่าวหลายครั้ง เพื่อเข้าถึงบัญชีผู้ใช้บนเซิร์ฟเวอร์ Exchange โดยไม่ได้รับอนุญาต

น่าสังเกตว่า CVE-2023-35384 เป็นการ bypass แพตช์ครั้งที่สองต่อจาก CVE-2023-29324 ซึ่งถูกค้นพบโดย Barnea และถูกแก้ไขโดย Microsoft ในอัปเดตความปลอดภัยเดือนพฤษภาคม 2023

Barnea ระบุว่า "เราพบวิธีการ bypass การแก้ไขช่องโหว่เดิมของ Outlook ซึ่งทำให้เราสามารถบังคับให้ไคลเอ็นต์เชื่อมต่อกับเซิร์ฟเวอร์ที่ผู้โจมตีควบคุม และดาวน์โหลดไฟล์ที่เป็นอันตราย"

CVE-2023-35384 เช่นเดียวกับ CVE-2023-29324 มีต้นตอมาจากปัญหาการวิเคราะห์เส้นทางโดยฟังก์ชัน MapUrlToZone ซึ่งสามารถถูกโจมตีได้โดยการส่งอีเมลที่มีไฟล์อันตรายหรือ URL ไปยังไคลเอ็นต์ Outlook

Microsoft ระบุในประกาศเตือนว่า "มีช่องโหว่ที่ทำการ bypass ความปลอดภัยเกิดขึ้นเมื่อแพลตฟอร์ม MSHTML ไม่สามารถตรวจสอบ Security Zone ที่ถูกต้องของ request สำหรับ URL ที่เจาะจงได้ ซึ่งอาจทำให้ผู้โจมตีสามารถหลอกให้ผู้ใช้เข้าถึง URL ใน Internet Security Zone ที่มีข้อจำกัดน้อยกว่าที่ตั้งใจไว้"

ด้วยวิธีนี้ ช่องโหว่ดังกล่าวไม่เพียงแต่ใช้เพื่อขโมยข้อมูล NTLM credentials เท่านั้น แต่ยังสามารถเชื่อมโยงกับช่องโหว่ CVE-2023-36710 เพื่อดาวน์โหลดไฟล์เสียงที่ปรับแต่งพิเศษ ซึ่งเมื่อเล่นอัตโนมัติผ่านฟีเจอร์เสียงเตือนของ Outlook จะสามารถทำให้เกิดการเรียกใช้โค้ด zero-click บนเครื่องของเหยื่อได้

โดย CVE-2023-36710 ส่งผลกระทบต่อ Audio Compression Manager (ACM) component ซึ่งเป็นเฟรมเวิร์กมัลติมีเดียของ Windows รุ่นเก่าที่ใช้สำหรับจัดการตัวแปลงสัญญาณเสียง (audio codecs) ช่องโหว่นี้เกิดจาก integer overflow ที่เกิดขึ้นเมื่อเล่นไฟล์ WAV

เพื่อลดความเสี่ยง แนะนำให้องค์กรควรดำเนินการดังนี้

ควรใช้วิธีการ Microsegmentation เพื่อบล็อกการเชื่อมต่อ SMB ออกไปยัง public IP
ปิดการใช้งาน NTLM
เพิ่มผู้ใช้เข้าไปในกลุ่มความปลอดภัย Protected Users ซึ่งจะป้องกันการใช้ NTLM เป็นกลไกลการยืนยันตัวตน

ที่อยู่ : thehackernews

WordPress แก้ไขช่องโหว่ใน POP chain ที่ทำให้เว็บไซต์ถูกโจมตี

WordPress ออกแพตซ์อัปเดตเวอร์ชัน 6.4.2 ที่ระบุถึงช่องโหว่การเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกล (RCE) ซึ่งอาจใช้ร่วมกับช่องโหว่อื่นที่ทำให้ผู้โจมตีสามารถเรียกใช้ PHP code ที่เป็นอันตรายบนเว็บไซต์ได้

WordPress เป็นระบบการจัดการเนื้อหา Content Management System (CMS) ซึ่งเป็นซอฟต์แวร์แบบโอเพนซอร์สที่ได้รับความนิยมอย่างมากในการสร้าง และจัดการเว็บไซต์ ซึ่งปัจจุบันมีการใช้งานมากกว่า 800 ล้านเว็บไซต์ หรือประมาณ 45% ของเว็บไซต์ทั้งหมดบนอินเทอร์เน็ต

โดยทีมรักษาความปลอดภัยพบช่องโหว่ของ Property Oriented Programming (POP) ที่ถูกนำมาใช้ใน WordPress 6.4 ซึ่งอาจทำให้มีการเรียกใช้ PHP code ที่เป็นอันตรายได้

การโจมตีช่องโหว่ POP ผู้โจมตีต้องควบคุมคุณสมบัติทั้งหมดของ deserialize object ซึ่งสามารถทำได้ผ่านฟังก์ชัน unserialize () ของ PHP โดยการควบคุมค่าที่ส่งไปยัง magic method เช่น '_wakeup()'

โดยเว็บไซต์เป้าหมายต้องมีช่องโหว่ PHP object injection ซึ่งอาจอยู่บนปลั๊กอิน หรือส่วนต่าง ๆ ของธีม จึงจะส่งผลกระทบทำให้ช่องโหว่มีระดับความรุนแรงสูงขึ้นเป็นระดับ Critical

WordPress ระบุว่าช่องโหว่การเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกลไม่สามารถโจมตีได้โดยตรง แต่ทีมรักษาความปลอดภัยเชื่อว่าเมื่อใช้ร่วมกับปลั๊กอินบางตัว โดยเฉพาะที่มีการติดตั้งในหลายเว็บไซต์ยิ่งอาจทำให้มีระดับความรุนแรงสูงขึ้น

ผู้เชี่ยวชาญด้านความปลอดภัยของ Wordfence ให้รายละเอียดเพิ่มเติมเกี่ยวกับช่องโหว่นี้โดยอธิบายว่า ช่องโหว่อยู่ในประเภท 'WP_HTML_Token' ซึ่งอยู่ใน WordPress 6.4 เพื่อปรับปรุงการการวิเคราะห์แบบ HTML ใน block editor โดยประกอบด้วย magic method '__destruct' ซึ่งใช้ 'call_user_func' เพื่อดำเนินการฟังก์ชันที่กำหนดไว้ในคุณสมบัติ 'on_destroy' และ 'bookmark_name'

นักวิจัยระบุว่าผู้โจมตีที่ใช้ประโยชน์จากช่องโหว่ object injection สามารถควบคุมคุณสมบัติเหล่านี้เพื่อสั่งรันโค้ดได้ตามที่ต้องการ

แม้ว่าช่องโหว่นี้จะไม่รุนแรงด้วยตัวมันเอง เนื่องจากความจำเป็นในการใช้ประโยชน์จาก object injection ในปลั๊กอิน หรือธีมที่ติดตั้ง และใช้งานอยู่ แต่การมี POP ที่สามารถใช้ประโยชน์ได้ใน WordPress สามารถเพิ่มความเสี่ยงของเว็บไซต์ WordPress ขึ้นได้

การแจ้งเตือนอื่นจากแพลตฟอร์มความปลอดภัย Patchstack สำหรับ WordPress และปลั๊กอินระบุว่า ช่องโหว่นี้ถูกอัปโหลดเมื่อหลายสัปดาห์ก่อนบน GitHub และต่อมาได้เพิ่มลงในไลบรารี PHPGGC ซึ่งใช้ในการทดสอบความปลอดภัยของแอปพลิเคชัน PHP

ถึงแม้ช่องโหว่อาจมีความรุนแรง และสามารถโจมตีได้แค่ในบางกรณี อย่างไรก็ตามนักวิจัยแนะนำให้ผู้ดูแลระบบอัปเดต WordPress ให้เป็นเวอร์ชันล่าสุด และแม้ว่าการอัปเดตส่วนใหญ่จะติดตั้งเวอร์ชันใหม่ให้โดยอัตโนมัติ แต่ยังคงแนะนำให้ตรวจสอบด้วยตนเองว่าการอัปเดตเสร็จสมบูรณ์หรือไม่

ที่มา: bleepingcomputer

Chrome ออกแพตช์ Update เวอร์ชัน 114 แก้ไขช่องโหว่ระดับ Critical

Chrome ออกแพตช์ Update เวอร์ชัน 114 แก้ไขช่องโหว่ระดับ Critical

เมื่อวันอังคารที่ผ่านมา Google ออกอัปเดตด้านความปลอดภัยของ Chrome browser เวอร์ชัน 114 เพื่อแก้ไขช่องโหว่ 5 รายการ รวมถึงช่องโหว่ที่มีระดับความรุนแรงสูง 4 รายการ ซึ่งถูกรายงานโดยนักวิจัยจากภายนอก

ช่องโหว่ที่สำคัญที่สุดคือ CVE-2023-3214 ซึ่งมีระดับความรุนแรงสูง เป็นช่องโหว่ use-after-free ในการชำระเงินอัตโนมัติ (Autofill payments) ซึ่งได้รับการรายงานโดย Rong Jian จาก VRI

ช่องโหว่ Use-after-free เป็นช่องโหว่ประเภทหนึ่งของ Memory corruption bugs ที่เกิดขึ้น เมื่อ pointer ไม่ถูกเคลียร์ภายหลังจากการจัดสรรหน่วยความจำ ซึ่งช่องโหว่ดังกล่าวอาจถูกนำไปใช้เพื่อทำการ Remote code execution (RCE), Denial-of-Service (DoS) หรือทำให้ข้อมูลเสียหาย และอาจนำไปสู่การถูกเข้าควบคุมระบบอย่างสมบูรณ์ หากมีการโจมตีร่วมกับช่องโหว่อื่น ๆ โดยใน Chrome การใช้ประโยชน์จากช่องโหว่ use-after-free ได้สำเร็จอาจทำให้สามารถเจาะผ่าน browser sandbox ได้ หากผู้โจมตีสามารถกำหนดเป้าหมาย Chrome process ที่มีสิทธิพิเศษ หรือช่องโหว่ในระบบปฏิบัติการพื้นฐาน

นอกจาก CVE-2023-3214 แล้ว Chrome ยังแก้ไขช่องโหว่ use-after-free อีก 2 รายการ ซึ่งเป็นช่องโหว่ที่จัดอยู่ในระดับความรุนแรงสูง ได้แก่ CVE-2023-3215 ที่ส่งผลกระทบต่อ WebRTC และ CVE-2023-3217 ที่ส่งผลกระทบต่อ WebXR และช่องโหว่ที่สี่ที่มีการรายงานจากนักวิจัยภายนอกได้มีการแก้ไขแล้วในเบราเซอร์เวอร์ชันใหม่นี้ ด้วยการแก้ไข confusion bug ใน V8 JavaScript engine

Chrome iteration เวอร์ชันล่าสุดคือ 14.0.5735.133 สำหรับ macOS และ Linux และเวอร์ชัน 114.0.5735.133/134 สำหรับ Windows

เวอร์ชันใหม่นี้ออกมาหนึ่งสัปดาห์ หลังจากที่ Google ได้ปล่อยแพตซ์อัปเดต Chrome ฉุกเฉินเพื่อแก้ไขช่องโหว่ Zero-day ที่กำลังถูกใช้ในการโจมตี ซึ่งเป็น Zero-day ใน Chrome browser ครั้งที่ 3 ตั้งแต่ต้นปี

ที่มา : www.

CISA ประกาศแจ้งเตือนช่องโหว่ระดับ critical บน VMware ที่ทำให้สามารถโจมตีแบบ RCE ได้

CISA หน่วยงานด้านความมั่นคงทางไซเบอร์ของสหรัฐ ได้เพิ่มช่องโหว่ระดับ critical ใน Cloud Foundation ของ VMware ลงในแคตตาล็อกของช่องโหว่ที่กำลังถูกใช้ในการโจมตี Known Exploited Vulnerabilities (KEV)

VMware Cloud Foundation เป็น hybrid cloud platform ของ VMware สำหรับการใช้งานแอปพลิเคชันขององค์กรในรูปแบบ Private หรือ Public (more…)

CISA ประกาศเตือนช่องโหว่บน Plex Media Server ภายหลัง LastPass ถูกโจมตีด้วยช่องโหว่ดังกล่าว

CISA หน่วยงานความมั่นคงทางด้านไซเบอร์ของสหรัฐ ได้เพิ่มช่องโหว่การเรียกใช้คำสั่งที่เป็นอันตรายจากระยะไกล Remote Code Execution (RCE) ใน Plex Media Server ที่มีอายุเก่าเกือบ 3 ปี ไปในแคตตาล็อกช่องโหว่ที่กำลังถูกนำมาใช้ในการโจมตี สืบเนื่องจากเหตุการณ์การรั่วไหลข้อมูลของ LastPass (more…)

Fortinet ประกาศแจ้งเตือนช่องโหว่ RCE ระดับ Critical ที่สามารถหลีกเลี่ยงการยืนยันตัวตนได้

Fortinet ออกประกาศแจ้งเตือนช่องโหว่ความรุนแรงระดับ Critical ซึ่งส่งผลกระทบต่อ FortiOS และ FortiProxy ทำให้สามารถหลีกเลี่ยงการยืนยันตัวตน รวมถึงการเรียกใช้คำสั่งที่เป็นอันตรายจากระยะไกล Remote Code Execution(RCE) และ Denial of Service (DoS) บนหน้า GUI ของอุปกรณ์ที่มีช่องโหว่โดยการใช้ request ที่เป็นอันตราย (more…)

พบช่องโหว่ RCE ระดับ Critical บน EmojiDeploy ทำให้สามารถโจมตี Microsoft Azure ได้

นักวิจัยด้าน Ermetic บริษัทรักษาความปลอดภัยโครงสร้างพื้นฐานบนระบบคลาวด์ของอิสราเอล พบช่องโหว่ระดับ Critical บน Microsoft Azure ที่ทำให้ผู้โจมตีสามารถสั่งรันโค้ดที่เป็นอันตรายจากระยะไกล (Remote Code Execution (RCE)) เพื่อเข้าควบคุมแอปพลิเคชันเป้าหมายได้

โดย Ermetic อธิบายช่องโหว่นี้ว่าเกิดจาก CSRF (cross-site request forgery) บน Kudu ซึ่งเป็นบริการ SCM ที่ใช้อย่างแพร่หลาย แล้วทำการส่งไฟล์ ZIP ที่ฝังเพย์โหลดอันตรายไปยังแอปพลิเคชัน Azure ของเป้าหมาย โดยได้เรียกวิธีการโจมตีนี้ว่า EmojiDeploy

Kudu คือเครื่องมือที่อยู่เบื้องหลังการทำงานของ Azure App Service ที่เกี่ยวข้องกับ source control based deployment เช่นเดียวกับ Dropbox และ OneDrive sync

การโจมตี

นักวิจัยได้อธิบายขั้นตอนการโจมตี ดังนี้

Hacker โจมตีผ่านช่องโหว่ CSRF ใน Kudu SCM panel ทำให้สามารถหลีกเลี่ยงการป้องกันและส่ง request ที่สร้างขึ้นเป็นพิเศษไปที่ "/api/zipdeploy" เพื่อส่งไฟล์ ZIP ที่เป็นอันตราย เช่น web shell และทำให้สามารถเข้าควบคุมระบบจากระยะไกลได้
ไฟล์ ZIP ที่เป็นอันตรายจะถูก encoded ในส่วนของ body ของ HTTP request เมื่อถูกเปิดขึ้นมา มันจะเรียกไปยังโดเมนที่ถูกควบคุมโดย Hacker ผ่าน web shell เพื่อหลบเลี่ยงการตรวจสอบ

การค้นพบนี้เกิดขึ้นหลังจาก Orca Security ได้เปิดเผยการโจมตี 4 ครั้งของการโจมตี server-side request forgery (SSRF) ที่ส่งผลกระทบต่อ Azure API Management, Azure Functions, Azure Machine Learning และ Azure Digital Twins หลังจากนั้น Microsoft ได้แก้ไขช่องโหว่ในวันที่ 6 ธันวาคม 2022 หลังจากการเปิดเผยช่องโหว่เมื่อวันที่ 26 ตุลาคม 2022 นอกจากนี้ Microsoft ยังได้มอบรางวัลให้แก่การรายงานช่องโหว่นี้เป็นมูลค่า 30,000 ดอลลาร์

การป้องกัน

ตรวจสอบการอนุญาตของแอปพลิเคชั่น และการกำหนดสิทธิในส่วนของการจัดการข้อมูลประจำตัว
จำกัดสิทธิ์การเข้าถึงให้น้อยที่สุดเพื่อความปลอดภัย

ที่มา : thehackernews