Cybersecurity and Infrastructure Security Agency (CISA) ของสหรัฐ ออกมาเตือนถึงช่องโหว่ zero-day Zoho ManageEngine ADSelfService Plus ที่กำลังถูกนำมาใช้โจมตีอย่างแพร่หลาย

ช่องโหว่ดังกล่าวมีรหัสช่องโหว่ CVE-2021-40539 ซึ่งสามารถเลี่ยงการตรวจสอบยืนยันตัวตนในส่วน REST API และสามารถเรียกใช้งานโค้ดที่เป็นอันตรายได้จากระยะไกล (remote code execution) ส่งผลกระทบต่อผลิตภัณฑ์ของ Zoho ที่ใช้งาน ADSelfService Plus 6113 รายการ

ManageEngine ADSelfService Plus คือ ส่วนที่ใช้ในการจัดการรหัสผ่าน และทำ single sign-on สำหรับ Active Directory และ app บนระบบคลาวด์ ผู้ดูแลระบบสามารถบังคับใช้ 2FA ในการเข้าสู่ระบบแอปพลิเคชัน และรีเซ็ตรหัสผ่านของผู้ใช้งาน

CISA ได้ออกมาแจ้งเตือนให้บริษัทหรือองค์กร ดำเนินการตรวจสอบและ update patch ความปลอดภัยล่าสุดกับเซิร์ฟเวอร์ ManageEngine และ ตรวจสอบที่ ADSelfService Plus ไม่ให้สามารถเข้าถึงได้โดยตรงจากอินเทอร์เน็ต

ซึ่งช่องโหว่าที่เกิดขึ้น ADSelfService Plus ยังพบมีอีก 4 ช่องโหว่ด้วยกันคือ CVE-2021-37421 (CVSS score: 9.8), CVE-2021-37417 (CVSS score: 9.8), and CVE-2021-33055 (CVSS score: 9.8) ซึ่งได้รับการแก้ไขเป็นที่เรียบร้อยแล้ว

ช่องโหว่อีก 1 รายการ CVE-2021-28958 (CVSS score: 9.8) ได้รับการแก้ไขแล้วเช่นเดียวกัน

เหตุการณ์นี้เป็นครั้งที่สองที่พบการโจมตีช่องโหว่ในผลิตภัณฑ์ของ Zoho ซึ่งก่อนหน้านี้ในเดือนมีนาคม 2020 พบว่า APT41 ใช้ประโยชน์จากช่องโหว่ RCE ใน ManageEngine Desktop Central (CVE-2020-10189, คะแนน CVSS: 9.8) เพื่อดาวน์โหลดและติดตั้ง payload ที่เป็นอันตรายภายในเครือข่ายองค์กรที่มีการใช้งาน

ที่มา: thehackernews

Juniper ออกแพ็ตซ์ด้านความปลอดภัยเพื่อแก้ไขช่องโหว่ stack-based buffer-overflow (CVE-2021-0276) ใน Steel-Belted Radius (SBR) Carrier ที่ใช้โปรโตคอล EAP (Extensible Authentication Protocol) ส่งผลให้ผู้ให้บริการเครือข่ายไร้สาย และผู้ให้บริการแก้ไขปัญหาเครือข่าย (Fixed operator networks) มีความเสี่ยงต่อการถูกทำการเปลี่ยนแปลงข้อมูล

Steel-Belted Radius (SBR) Carrier ถูกใช้โดยผู้ให้บริการโทรคมนาคมเพื่อจัดการ Policy สำหรับผู้ใช้งานในการเข้าถึงเครือข่ายโดยวิธีการ centralizing user authentication, จัดการการเข้าถึงที่เหมาะสม, จัดการตรวจสอบให้สอดคล้องกับมาตรฐานความปลอดภัย ซึ่งจะช่วยให้ผู้ให้บริการสามารถจัดการระดับการบริการ กระจายรูปแบบรายได้ และจัดการทรัพยากรเครือข่ายได้เหมาะสม

ช่องโหว่ stack-based buffer-overflow (CVE-2021-0276) ส่งผลให้ผู้โจมตีสามารถใช้ประโยชน์จากการส่งแพ็กเก็ตที่ออกแบบมาเป็นพิเศษไปยังแพลตฟอร์มจนทำให้ RADIUS daemon ขัดข้อง และอาจส่งผลให้ผู้โจมตีสามารถรันคำสั่งที่เป็นอันตรายจากระยะไกล (Remote Code Execution (RCE)) รวมถึงการปฏิเสธการให้บริการ (Denial-of-service (DoS)) เพื่อป้องกันไม่ให้ผู้ใช้งานทำการการเชื่อมต่อเครือข่าย โดยช่องโหว่นี้มีระดับความรุนแรงสูง CVSS อยู่ที่ 9.8/10

อุปกรณ์ที่ได้รับผลกระทบกับ

SBR Carrier เวอร์ชัน 4.1 ก่อน 8.4.1R19;
SBR Carrier เวอร์ชัน 5.0 ก่อน 8.5.0R10;
SBR Carrier เวอร์ชัน 6.0 ก่อน 8.6.0R4.

นอกจากนี้ทาง Juniper ได้ทำการออกแพ็ตซ์ด้านความปลอดภัยสำหรับแก้ไขช่องโหว่ที่มีความรุนแรงสูง ซึ่งอาจส่งผลให้ผู้โจมตีสามารถโจมตี Denial-of-Service (DoS) สำหรับผลิตภัณฑ์ของ Juniper หลายรายการ รวมทั้งแพ็ตซ์ด้านความปลอดภัยเพื่อแก้ไขช่องโหว่ Remote Code Execution (RCE) (CVE-2021-0277) ซึ่งเป็นช่องโหว่ out-of-bounds read ส่งผลกระทบต่อ Junos OS (เวอร์ชัน 12.3, 15.1, 17.3, 17.4, 18.1, 18.2, 18.3, 18.4, 19.1, 19.2, 19.3, 19.4, 20.1, 20.2, 20.3 และ 20.4) เช่นเดียวกับ Junos OS Evolved (ทุกเวอร์ชัน) ปัญหาดังกล่าวเกิดขึ้นเมื่อ Layer 2 Control Protocol Daemon (l2cpd) ประมวลผล LLDP frame ที่ถูกออกแบบมาโดยเฉพาะ

ที่มา: ehackingnews.

F5 Networks ผู้ให้บริการอุปกรณ์เครือข่ายระดับองค์กรชั้นนำได้ประกาศถึงการพบช่องโหว่ร้ายแรง ที่ทำให้ผู้โจมตีสามารถเรียกใช้โค้ดได้จากระยะไกล (Remote Code Execution - RCE) จำนวน 4 รายการที่ส่งผลกระทบต่อซอฟต์แวร์ BIG-IP และ BIG-IQ โดยรายละเอียดช่องโหว่ทั้ง 4 รายการมีดังนี้

ช่องโหว่ CVE-2021-22986 (CVSS 9.8/10) เป็นช่องโหว่การเรียกใช้โค้ดจากระยะไกลที่ช่วยให้ผู้โจมตีที่ไม่ได้รับการพิสูจน์ตัวตนสามารถรันคำสั่งได้ในส่วน iControl REST interface
ช่องโหว่ CVE-2021-22987 (CVSS 9.9/10) เป็นช่องโหว่การเรียกใช้โค้ดจากระยะไกล ผู้โจมตีที่ไม่ได้รับการพิสูจน์ตัวตนสามารถรันคำสั่งในโหมด Appliance Traffic Management User Interface (TMUI) หรือที่เรียกว่ายูทิลิตี้ Configuration ได้
ช่องโหว่ CVE-2021-22991 (CVSS 9.0 / 10) เป็นช่องโหว่ Buffer-overflow ที่เกิดจากการจัดการของ Traffic Management Microkernel (TMM) URI normalization ซึ่งอาจทำให้เกิด Buffer Overflow จนนำไปสู่การโจมตี Denial-of-service (DoS)
ช่องโหว่ CVE-2021-22992 (CVSS 9.0 / 10) เป็นช่องโหว่ Buffer overflow ที่เกิดขึ้นใน Advanced WAF/BIG-IP ASM โดยผู้โจมตีสามารถทำการส่ง HTTP Response ไปยัง Login Page ซึ่งอาจทำให้เกิด Buffer overflow จนนำไปสู่การโจมตี Denial-of-service (DoS) หรือในบางกรณีอาจทำให้ผู้โจมตีสามารถรันโค้ดได้จากระยะไกล

นอกจากนี้ F5 ยังได้ประกาศแพตช์เพื่อเเก้ไขช่องโหว่อีก 3 รายการโดย 2 รายการมีความรุนแรง High และ Medium ตามลำดับและมีระดับความรุนเเรง CVSS ที่อยู่ 6.6 - 8.8/10 ซึ่งช่องโหว่จะส่งผลให้ผู้โจมตีที่ผ่านการพิสูจน์ตัวตนแล้วสามารถรันโค้ดได้จากระยะไกล

เพื่อเป็นแนวทางการป้องกันการใช้ประโยชน์จากช่องโหว่ใน BIG-IP ผู้ดูแลระบบควรทำการอัปเดตเวอร์ชันเป็น 6.0.1.1, 15.1.2.1, 14.1.4, 13.1.3.6, 12.1.5.3 และ 11.6.5.3 สำหรับในส่วน BIG-IQ ซึ่งจะได้รับผลกระทบจากช่องโหว่ CVE-2021-22986 ผู้ดูแลระบบสามารถทำการอัปเดตเวอร์ชันเป็น 8.0.0, 7.1.0.3 และ 7.0.0.2

ที่มา: bleepingcomputer

VMware ออกเเพตช์แก้ไขช่องโหว่การเรียกใช้โค้ดจากระยะไกล (Remote Code Execution - RCE) บนผลิตภัณฑ์ View Planner 4.6

ช่องโหว่ถูกติดตามด้วยรหัส CVE-2021-21978 มีระดับความรุนเเรง CVSS อยู่ที่ 8.6/10 ถูกรายงานโดย Mikhail Klyuchnikov นักวิจัยจาก Positive Technologies โดยช่องโหว่เกิดจากการตรวจสอบอินพุตที่ไม่เหมาะสม ผู้โจมตีสามารถนำช่องโหว่นี้ไปใช้ประโยชน์ได้โดยการอัปโหลดไฟล์ที่สร้างขึ้นมาเป็นพิเศษในเว็บแอปพลิเคชัน logupload เพื่อทำการเรียกใช้โค้ดโดยไม่ได้รับอนุญาต ซึ่งผู้โจมตีที่ต้องการใช้ประโยชน์จากช่องโหว่นี้จำเป็นต้องเข้าถึงเครือข่ายก่อนจึงจะเข้าถึงในส่วน View Planner Harness เพื่อทำการอัปโหลดและเรียกใช้ไฟล์ที่สร้างขึ้นมาเป็นพิเศษได้

ทั้งนี้ช่องโหว่จะส่งผลกระทบกับ VMware View Planner เวอร์ชัน 4.6 ผู้ใช้ควรทำการอัปเดตเเพตช์ให้เป็นเวอร์ชันล่าสุดเพื่อป้องกันการตกเป็นเป้าหมายของผู้ประสงค์ร้าย

ที่มา: securityweek, vmware

Fortinet ได้ทำการแก้ไขช่องโหว่ที่รุนแรงหลายรายการ ซึ่งรวมไปถึง Remote Code Execution (RCE) ไปจนถึง SQL Injection, Denial of Service (DoS) ที่ส่งผลกระทบต่ออุปกรณ์ FortiProxy SSL VPN และ FortiWeb Web Application โดยช่องโหว่บางส่วนนั้นได้เคยถูกเปิดเผยไปแล้วแต่ยังไม่ครอบคลุมในทุกอุปกรณ์ ทำให้ต้องมีการแพตช์เพิ่มเติม ตัวอย่างดังนี้

ช่องโหว่ CVE-2018-13381 ใน FortiProxy SSL VPN เป็นช่องโหว่แบบ Remote ที่เกิดจากการที่อุปกรณ์ไม่มีการรับรองความถูกต้องผ่านการร้องขอแบบ POST ซึ่งสามารถทำให้อุปกรณ์หยุดทำงานและนำไปสู่การเกิด DoS
ช่องโหว่ CVE-2018-13383 สามารถทำให้เกิด Overflow ใน VPN ผ่าน property HREF ของ JavaScript

ลูกค้า Fortinet ควรอัปเกรดเป็นเวอร์ชันที่มีการอัปเดตเพิ่มเติม โดยสามารถตรวจสอบเวอร์ชั่นอัปเดตล่าสุดอื่นๆ ได้ที่แหล่งที่มา

ที่มา : bleepingcomputer

มีการตรวจพบเซิร์ฟเวอร์ซึ่งพุ่งเป้าโจมตีช่องโหว่ร้ายแรงในซอฟต์แวร์ SAP Solution Manager (SolMan) หลังจากมีนักวิจัยด้านความปลอดภัย Dmitry Chastuhin ทำการเผยแพร่ PoC ของช่องโหว่สู่สาธารณะ

ช่องโหว่ดังกล่าวคือช่องโหว่รหัส CVE-2020-6207 ซึ่งเป็นช่องโหว่ที่เกิดจากข้อบกพร่องในการตรวจสอบการพิสูจน์ตัวตนของฟังก์ชัน End user Experience Monitoring (EEM) ใน SAP Solution Manager (SolMan) เวอร์ชัน 7.2 ซึ่งช่องโหว่ดังกล่าวมีระดับความรุนแรง CVSS อยู่ที่ 10/10

SolMan เป็นแอปพลิเคชันที่ใช้ในการจัดการระบบไอทีในองค์กรแบบไฮบริดและระบบคลาวด์ ซึ่งช่องโหว่จากฟังก์ชัน EEM จะทำให้ผู้โจมตีสามารถทำการเรียกใช้โค้ดได้จากระยะไกล (Remote Code Execution - RCE) กับทุกระบบที่ทำการเชื่อมต่อกับ Solman ซึ่งจะทำให้ซิร์ฟเวอร์ที่ใช้ Solman เวอร์ชัน 7.2 และไม่ได้รับการแพตช์ความปลอดภัยตกอยู่ในความเสี่ยง

ทั้งนี้ผู้ดูแลระบบควรรีบทำการอัพเดตและติดตั้งแพตช์ความปลอดภัยให้เป็นเวอร์ชันล่าสุดเพื่อป้องกันการตกเป็นเป้าหมายการโจมตีจากผู้ประสงค์ร้าย

ที่มา: zdnet

นักวิจัยด้านความปลอดภัย Ling Yizhou ได้เปิดเผยช่องโหว่ใน Zend Framework 3.0.0 โดยช่องโหว่ดังกล่าวจะทำให้ผู้ประสงค์ร้ายสามารถทำการโจมตีแบบ Remote Code Execution (RCE) ได้จากปัญหาของการ Deserialization ช่องโหว่นี้ถูกติดตามด้วยรหัส CVE-2021-3007

ช่องโหว่ CVE-2021-3007 มีที่มาจากกระบวนการ Deserialization ที่อาจนำไปสู่การเรียกใช้โค้ดจากระยะไกลหากผู้โจมตีสามารถเข้าถึงและควบคุม Content ที่เกี่ยวข้องกับเมธอด__destruct ของคลาส Zend\Http\Response\StreamในStream.

Microsoft ได้เปิดตัวแพตช์ความปลอดภัยประจำเดือนธันวาคม หรือ Microsoft Patch Tuesday December 2020 โดยในเดือนธันวาคมนี้ Microsoft ได้ทำการแก้ไขช่องโหว่เป็นจำนวน 58 รายการในผลิตภัณฑ์ และบริการมากกว่า 10 รายกายของ Microsoft

แพตช์ที่ได้รับการแก้ไขจำนวน 22 รายการถูกจัดประเภทเป็นช่องโหว่การเรียกใช้โค้ดจากระยะไกล (Remote Code Execution - RCE) และส่งผลกระทบต่อผลิตภัณฑ์ของ Microsoft เช่น Exchange Server (CVE-2020-17143, CVE-2020-17144, CVE-2020-17141, CVE-2020-17117, CVE-2020-17132 และ CVE-2020-17142 ) และ SharePoint (CVE-2020-17118 และ CVE-2020-17121)

ช่องโหว่ที่สำคัญอีกประการหนึ่งที่ได้รับการแก้ไขของเดือนธันวาคมนี้คือ CVE-2020-17095 ซึ่งเป็นช่องโหว่ของ Hyper-V ที่อนุญาตให้ผู้โจมตีสามารถเพิ่มสิทธิ์จากการเรียกใช้โค้ดใน Guest ของ Hyper-V และจะนำสู่การเรียกใช้โค้ดบนโฮสต์ Hyper-V โดยการส่งผ่านแพ็กเก็ต vSMB ที่ไม่ถูกต้อง

ทั้งนี้ผู้ใช้งานควรทำการอัปเดตแพตช์ให้เป็นเวอร์ชันล่าสุดเพื่อป้องกันการตกเป็นเหยื่อของผู้ประสงค์ร้ายใช้ประโยชน์จากช่องโหว่ทำการโจมตี

ที่มา: zdnet

นักวิจัยด้านความปลอดภัย Oskars Vegeris จาก Evolution Gaming ได้ออกมาประกาศถึงรายละเอียดของช่องโหว่ด้านความปลอดภัยใน Microsoft Teams ซึ่้งได้มีการแจ้งเข้าไปยังไมโครซอฟต์ตั้งแต่เดือนสิงหาคมที่ผ่านมา ก่อนจะถูกไมโครซอฟต์ปฏิเสธไม่กำหนด CVE ให้เนื่องจาก Policy ของไมโครซอฟต์นั้นกำหนดไว้ว่าทางไมโครซอฟต์จะไม่กำหนด CVE ให้กับกลุ่มผลิตภัณฑ์ที่มีกลไกการอัปเดตโดยอัตโนมัติ

จากรายละเอียดของช่องโหว่ที่เปิดเผยโดย Oskars เอง ช่องโหว่ดังกล่าวเป็นช่องโหว่ในลักษณะ Remote code execution (RCE) ซึ่งจะทำงานทันทีที่ผู้ใช้งานเห็นข้อความที่ถูกส่งมาจาก Microsoft Teams โดยมีที่มาจากปัญหา Cross-site scripting (XSS) ในฟังก์ชันเกี่ยวกับ mention ชื่อผู้ใช้งานอื่นซึ่งนำไปสู่การทำ RCE ช่องโหว่สามารถถูกพัฒนาให้แพร่กระจายมัลแวร์ได้ด้วยตัวเอง ทำให้ช่องโหว่ดังกล่าวถูกระบุว่าเป็นช่องโหว่ Wormable ด้วย

ช่องโหว่นี้ส่งผลกระทบกับ Microsoft Team ทุกแพลตฟอร์ม ได้แก่ Microsoft Teams for Windows (v1.3.00.21759), Linux (v1.3.00.16851), macOS (v1.3.00.23764) และแพลตฟอร์ม web (teams.

Cisco ได้เปิดตัวแพตช์การอัปเดตด้านความปลอดภัยเพื่อแก้ไขช่องโหว่การเรียกใช้โค้ดจากระยะไกล (Remote Code Execution - RCE) ใน Cisco Security Manager (CSM) เวอร์ชัน 4.22 และรุ่นก่อนหน้า ที่ถูกใช้ใน Cisco ASA appliances, Cisco Catalyst 6000 Series Switches, Integrated Services Routers (ISRs), และ Firewall Services modules หลังจาก Florian Hauser นักวิจัยด้านความปลอดภัยจาก Code White ได้เปิดเผย PoC ของช่องโหว่ต่อสาธารณะในเดือนพฤศจิกายนที่ผ่านมา

ช่องโหว่ทั้ง 12 รายการถูกติดตามด้วยรหัส CVE-2020-27131 โดยช่องโหว่จะทำให้ผู้โจมตีที่ไม่ได้รับการพิสูจน์ตัวตนสามารถรันโค้ดได้จากระยะไกลได้ ซึ่งช่องโหว่ยังสามารถทำให้ผู้โจมตีสามารถสร้างคำขอที่เป็นอันตรายตลอดจนอัปโหลดและดาวน์โหลดไฟล์ได้โดยไม่ได้รับอนุญาตในนามของบัญชีผู้ใช้ที่มีสิทธิ์สูงสุด "NT AUTHORITY\SYSTEM"

ทีม Cisco Product Security Incident Response Team (PSIRT) กล่าวว่าในขณะที่ทำการแก้ไขช่องโหว่นี้ เป็นความโชคดีที่ยังไม่พบการใช้ประโยชน์จากช่องโหว่ทำการโจมตีระบบ

ทั้งนี้ Cisco ได้ทำการแก้ไขช่องโหว่เหล่านี้แล้วใน Cisco Security Manager เวอร์ชัน 4.22 Service Pack 1 ผู้ดูแลระบบควรรีบทำการอัปเดตและติดตั้งเเพตช์ เพื่อเเก้ไขช่องโหว่และเพื่อเป็นการป้องกันผู้ประสงค์ร้ายใช้ประโยชน์จากช่องโหว่ทำการโจมตีระบบ

ที่มา: bleepingcomputer | securityaffairs