ระวัง! มีคนปล่อยโค้ดโจมตีช่องโหว่ RCE ใน vBulletin ยังไม่มีแพตช์

 

พบการปล่อยโค้ดสำหรับโจมตีช่องโหว่ Zero-day แบบรันคำสั่งจากระยะไกล หรือ remote code execution (RCE) ช่องโหว่นี้เป็นช่องโหว่ในซอฟต์แวร์ vBulletin ซึ่งเป็นซอฟต์แวร์สำหรับทำเว็บบอร์ดที่ใช้กันอย่างแพร่หลาย กระทบ vBulletin รุ่น 5.0.0 ถึงรุ่นล่าสุด 5.5.4 แต่ไม่กระทบรุ่นที่เก่ากว่า ได้รับ CVE-2019-16759

นักวิจัยด้านความปลอดภัยหลายคนได้ทำการพิสูจน์โค้ดการโจมตีดังกล่าวแล้วพบว่าสามารถโจมตีได้จริง และยังไม่พบวิธีป้องกันความเสี่ยงอย่างเป็นทางการ ผู้ดูแลเว็บไซต์ที่ใช้ vBulletin ควรเฝ้าระวังความเสี่ยงจากการโจมตีดังกล่าว

ที่มา : thehackernews และ nist

CERT/CC Details Critical Flaws in Microsoft Windows, Server

ไมโครซอฟต์แจ้งเตือนช่องโหว่ระดับวิกฤติ รันโค้ดอันตรายจากระยะไกลผ่าน Windows DNS Server

ไมโครซอฟต์ออกประกาศแจ้งเตือนช่องโหว่ระดับวิกฤติสองรายการเมื่อช่วงสัปดาห์ที่ผานมา โดยช่องโหว่หนึ่งที่มีการประกาศออกมานั้นมีผลลัพธ์ร้ายแรงที่สุดทำให้ผู้โจมตีสามารถรันโค้ดที่เป็นอันตราย (Remote Code Execution - RCE) เพื่อโจมตีระบบจากระยะไกลได้ผ่านช่องโหว่ของฟีเจอร์ DNS

ช่องโหว่แรกรหัส CVE-2018-8611 นั้นเป็นช่องโหว่ยกระดับสิทธิ์ในวินโดวส์เคอร์เนลซึ่งทำให้ผู้โจมตีสามารถยกระดับสิทธิ์เป็นสิทธิ์ของระบบได้ ส่วนช่องโหว่ที่สองรหัส CVE-2018-8626 นั้นเป็นช่องโหว่ heap overflow ในฟีเจอร์ Windows DNS ซึ่งทำให้ผู้โจมตีรันโค้ดที่เป็นอันตรายได้จากระยะไกลด้วยสิทธิ์ของระบบเช่นเดียวกัน

Recommendation
ทั้งสองช่องโหว่ได้มีการประกาศแพตช์ด้านความปลอดภัยเฉพาะกิจออกมาแล้ว ขอให้ผู้ใช้งานทำการอัปเดตระบบปฏิบัติการเพื่อรับแพตช์ด้านความปลอดภัยใหม่โดยด่วน

Affected Platform
Windows 10, Windows Server 2012, Windows Server 2012 R2, Windows Server 2016, Windows Server 2019

ที่มา : darkreading

Apache Tomcat RCE if readonly set to false (CVE-2017-12617)

ทีม Tomcat Apache ได้แจ้งเตือนช่องโหว่ Remote Code Execution (RCE) รหัส CVE-2017-12617 ซึ่งถูกจัดอันดับความรุนแรงเป็น Important ทำให้แฮกเกอร์สามารถสั่งรันโค้ดจากระยะไกลได้
ช่องโหว่นี้จะมีผลกระทบกับเวอร์ชันก่อน 9.0.1 (Beta), 8.5.23, 8.0.47 และ 7.0.82 ที่มีการตั้งค่าตัวแปร(Parameter) ของ readonly บน Default Servlet หรือ WebDAV Servlet เป็น False และได้เปิดให้มีการใช้งาน HTTP PUT เอาไว้ ส่งผลให้สามารถทำการอัพโหลดไฟล์ JSP ไปยัง Apache Tomcat Server และสั่งให้ทำงานได้ จากรายงานยังได้ระบุว่า ช่องโหว่นี้ถูกค้นพบหลังจากที่มีการแก้ไขช่องโหวที่คล้ายคลึงกันใน Apache Tomcat 7 สำหรับ Windows เมื่อวันที่ 20 กันยายนที่ผ่านมา

จึงแนะนำให้ผู้ดูแลระบบ Apache ควรรีบอัพเดทแพทช์ให้เป็นเวอร์ชั่นล่าสุดโดยเร็ว ตามรายละเอียดด้านล่าง
อัปเกรดเป็น Apache Tomcat 9.0.1 หรือใหม่กว่า
อัปเกรดเป็น Apache Tomcat 8.5.23 หรือใหม่กว่า
อัปเกรดเป็น Apache Tomcat 8.0.47 หรือใหม่กว่า
อัปเกรดเป็น Apache Tomcat 7.0.82 หรือใหม่กว่า

ที่มา: alphabot

VMware Reissues vCenter Server Patch

VMware ได้ออก Patch ซ้ำสำหรับ vCenter เพื่อแก้ปัญหาที่เคยแก้ไปแล้วในเดือนตุลาคม 2015 ที่ผ่านมาอีกครั้ง หลังพบว่าการแก้ไขปัญหาครั้งนั้นยังคงมีช่องโหว่อยู่

ช่องโหว่เดิมนั้นมีรหัส CVE-2015-2342 ซึ่งเกิดจากบริการ JMX RMI ที่ตั้งค่าเอาไว้ไม่ปลอดภัยจนทำให้เกิด Remote Code Execution (RCE) ได้บนรุ่น 5.5, 5.1 และ 5.0 ซึ่งล่าสุดนี้ VMware ก็ได้ออก Patch เสริมมาอีกในช่วงสุดสัปดาห์ที่ผ่านมาอุดช่องโหว่เดิมเพิ่มเติมอีกดังนี้ https://kb.