GitHub ได้เปิดตัวฟีเจอร์ด้านความปลอดภัยใหม่ที่ชื่อว่า Code Scanning สำหรับผู้ใช้ทุกคนทั้งในบัญชีแบบชำระเงินและบัญชีฟรี

ฟีเจอร์ด้านความปลอดภัยใหม่นี้จะช่วยสแกนหาโค้ดที่ช่องโหว่ให้ผู้ใช้งานเพื่อช่วยทำการวิเคราะห์เมื่อเกิดการส่งคำขอ Pull Requests, Commit และ Merge ซึ่งเมื่อตรวจพบช่องโหว่ Code Scanning จะทำงานโดยแจ้งเตือนให้นักพัฒนาแก้ไขโค้ดของตน

ฟีเจอร์ Code Scanning จะทำงานความสามารถของ CodeQL (Code query language) ซึ่งเป็นเทคโนโลยีของ GitHub ที่ได้นำมาใช้ในแพลตฟอร์มหลังจากทำการซื้อกิจการมาจาก Semmle ซึ่งด้วยความสามารถของ CodeQL นี้จะช่วยให้นักพัฒนาสามารถเขียน Rule เพื่อตรวจหาช่องโหว่ในโค้ดได้ในปริมาณมากๆ

หลังจากทีมงาน GitHub เปิดให้ผู้ทดสอบเบต้าทดสอบมาตั้งเเต่เดือนพฤษภาคมที่ผ่านมา โดยฟีเจอร์นี้ได้ทำการทดสอบการสแกนหาช่องโหว่ไปแล้วกว่า 1,400,000 ครั้งกับ repository จำนวน 12,000 แห่ง ซึ่งช่องโหว่ที่ถูกพบและสามารถระบุได้หลักๆ จำนวนกว่า 20,000 รายการคือ ช่องโหว่การเรียกใช้โค้ดจากระยะไกล (Remote Code Execution - RCE), SQL Injection และ Cross-Site Scripting (XSS)

ทั้งนี้ผู้ใช้งานจะถูกแจ้งเตือนให้เปิดใช้งานฟีเจอร์ดังกล่าวหรือผู้ใช้งานสามารถเปิดการใช้งานฟีเจอร์ได้ด้วยตนเอง โดยการเข้าไปที่แท็บ ‘Security’ และในช่อง Code Scanning ให้เลือก Set up code scanning เพื่อเปิดใช้งาน

ที่มา : zdnet

 

Willem de Groot นักวิจัยที่เชี่ยวชาญในการติดตามการโจมตีในลักษณะ Magecart จาก Sanguine Security (SanSec) พบการโจมตี Magento ที่ใหญ่ที่สุดเท่าที่เคยตรวจจับได้ โดยมีร้านกระทบกว่า 2000 ร้าน

Magecart เป็นเรียกสำหรับการโจมตีที่แฮกร้านค้าที่ใช้ Magento แล้วแทรกโค้ดอันตรายเข้าไปเพื่อขโมยบัตรเครดิตของผู้ใช้งานร้านค้า

SanSec ระบุว่าร้านค้าที่ถูกโจมตีส่วนใหญ่ใช้ Magento รุ่น 1.x ซึ่งหมดระยะซัพพอร์ตตั้งแต่ 30 มิถุนายน 2020 ซึ่งผู้โจมตีรอให้หมดระยะซัพพอร์ตดังกล่าวถึงโจมตีช่องโหว่ โดยพบหลักฐานว่ามีการค้าขายช่องโหว่ remote code execution (RCE) ของ Magento รุ่น 1.x ในช่วงเวลาไล่เลี่ยกัน

ทั้งนี้ Adobe พยายามให้ผู้ใช้งาน Magento รุ่น 1.x อัปเดตเป็นรุ่นใหม่ 2.x แต่ยังพบว่าเว็บไซต์หลายแห่งยังคงไม่ยอมอัปเดต และใช้ web application firewalls (WAFs) ป้องกันช่องโหว่แทน

ผู้ใช้ Magento รุ่น 1.x ควรพิจารณาอัปเดตเพื่อความปลอดภัยในระยะยาว

ที่มา : ZDnet | Sansec

Reegun Jayapaul นักวิจัยจาก Trustwave SpiderLabs ได้เปิดเผยถึงผลการวิเคราะห์ช่องโหว่ใน Microsoft Teams ที่จะทำให้ผู้โจมตีสามารถเรียกใช้โค้ดจากระยะไกลได้ผ่าน Microsoft Teams update

นักวิจัยกล่าวว่าช่องโหว่ดังกล่าวอาศัยอยู่ในการอัปเดตของ Microsoft Teams โดยการตั้งค่าโฟลเดอร์การอัปเดตในผลิตภัณฑ์ Microsoft Teams จะเปิดโอกาสให้ผู้โจมตีสามารถเรียกใช้โค้ดจากระยะไกลโดยการส่งเพย์โหลดที่เป็นอันตรายไปกับการเปลื่ยนเส้นทางการอัปเดตของ Microsoft Teams และด้วยเทคนิคนี้ยังช่วยให้ผู้โจมตีสามารถเชื่อมต่อเครือข่ายภายในผ่านแชร์โฟลเดอร์ภายใต้โปรโตคอล Server Message Block (SMB) ได้

เพื่อหลีกเลี่ยงหรือบรรเทาการโจมตี นักวิจัยได้ทำการเนะนำให้ผู้ใช้ทำการอัปเดต Microsoft Teams ให้เป็นเวอร์ชั่นล่าสุดแและทำการตรวจสอบโดยการค้นหาการเชื่อมต่อที่น่าสงสัยภายในเครือข่ายทั้ง inbound และ outbound ทั้งนี้ผู้นักวิจัยได้เเนะนำให้ผู้ใช้ทำการติดตั้ง Microsoft Teams ภายใต้โฟลเดอร์“ Program Files” เพื่อจะช่วยให้ผู้โจมตีไม่สามารถวางและเรียกใช้งานเพย์โหลดระยะไกลได้

ที่มา: threatpost.

 

พบการปล่อยโค้ดสำหรับโจมตีช่องโหว่ Zero-day แบบรันคำสั่งจากระยะไกล หรือ remote code execution (RCE) ช่องโหว่นี้เป็นช่องโหว่ในซอฟต์แวร์ vBulletin ซึ่งเป็นซอฟต์แวร์สำหรับทำเว็บบอร์ดที่ใช้กันอย่างแพร่หลาย กระทบ vBulletin รุ่น 5.0.0 ถึงรุ่นล่าสุด 5.5.4 แต่ไม่กระทบรุ่นที่เก่ากว่า ได้รับ CVE-2019-16759

นักวิจัยด้านความปลอดภัยหลายคนได้ทำการพิสูจน์โค้ดการโจมตีดังกล่าวแล้วพบว่าสามารถโจมตีได้จริง และยังไม่พบวิธีป้องกันความเสี่ยงอย่างเป็นทางการ ผู้ดูแลเว็บไซต์ที่ใช้ vBulletin ควรเฝ้าระวังความเสี่ยงจากการโจมตีดังกล่าว

ที่มา : thehackernews และ nist

ไมโครซอฟต์แจ้งเตือนช่องโหว่ระดับวิกฤติ รันโค้ดอันตรายจากระยะไกลผ่าน Windows DNS Server

ไมโครซอฟต์ออกประกาศแจ้งเตือนช่องโหว่ระดับวิกฤติสองรายการเมื่อช่วงสัปดาห์ที่ผานมา โดยช่องโหว่หนึ่งที่มีการประกาศออกมานั้นมีผลลัพธ์ร้ายแรงที่สุดทำให้ผู้โจมตีสามารถรันโค้ดที่เป็นอันตราย (Remote Code Execution - RCE) เพื่อโจมตีระบบจากระยะไกลได้ผ่านช่องโหว่ของฟีเจอร์ DNS

ช่องโหว่แรกรหัส CVE-2018-8611 นั้นเป็นช่องโหว่ยกระดับสิทธิ์ในวินโดวส์เคอร์เนลซึ่งทำให้ผู้โจมตีสามารถยกระดับสิทธิ์เป็นสิทธิ์ของระบบได้ ส่วนช่องโหว่ที่สองรหัส CVE-2018-8626 นั้นเป็นช่องโหว่ heap overflow ในฟีเจอร์ Windows DNS ซึ่งทำให้ผู้โจมตีรันโค้ดที่เป็นอันตรายได้จากระยะไกลด้วยสิทธิ์ของระบบเช่นเดียวกัน

Recommendation
ทั้งสองช่องโหว่ได้มีการประกาศแพตช์ด้านความปลอดภัยเฉพาะกิจออกมาแล้ว ขอให้ผู้ใช้งานทำการอัปเดตระบบปฏิบัติการเพื่อรับแพตช์ด้านความปลอดภัยใหม่โดยด่วน

Affected Platform
Windows 10, Windows Server 2012, Windows Server 2012 R2, Windows Server 2016, Windows Server 2019

ที่มา : darkreading

ทีม Tomcat Apache ได้แจ้งเตือนช่องโหว่ Remote Code Execution (RCE) รหัส CVE-2017-12617 ซึ่งถูกจัดอันดับความรุนแรงเป็น Important ทำให้แฮกเกอร์สามารถสั่งรันโค้ดจากระยะไกลได้
ช่องโหว่นี้จะมีผลกระทบกับเวอร์ชันก่อน 9.0.1 (Beta), 8.5.23, 8.0.47 และ 7.0.82 ที่มีการตั้งค่าตัวแปร(Parameter) ของ readonly บน Default Servlet หรือ WebDAV Servlet เป็น False และได้เปิดให้มีการใช้งาน HTTP PUT เอาไว้ ส่งผลให้สามารถทำการอัพโหลดไฟล์ JSP ไปยัง Apache Tomcat Server และสั่งให้ทำงานได้ จากรายงานยังได้ระบุว่า ช่องโหว่นี้ถูกค้นพบหลังจากที่มีการแก้ไขช่องโหวที่คล้ายคลึงกันใน Apache Tomcat 7 สำหรับ Windows เมื่อวันที่ 20 กันยายนที่ผ่านมา

จึงแนะนำให้ผู้ดูแลระบบ Apache ควรรีบอัพเดทแพทช์ให้เป็นเวอร์ชั่นล่าสุดโดยเร็ว ตามรายละเอียดด้านล่าง
อัปเกรดเป็น Apache Tomcat 9.0.1 หรือใหม่กว่า
อัปเกรดเป็น Apache Tomcat 8.5.23 หรือใหม่กว่า
อัปเกรดเป็น Apache Tomcat 8.0.47 หรือใหม่กว่า
อัปเกรดเป็น Apache Tomcat 7.0.82 หรือใหม่กว่า

ที่มา: alphabot

VMware ได้ออก Patch ซ้ำสำหรับ vCenter เพื่อแก้ปัญหาที่เคยแก้ไปแล้วในเดือนตุลาคม 2015 ที่ผ่านมาอีกครั้ง หลังพบว่าการแก้ไขปัญหาครั้งนั้นยังคงมีช่องโหว่อยู่

ช่องโหว่เดิมนั้นมีรหัส CVE-2015-2342 ซึ่งเกิดจากบริการ JMX RMI ที่ตั้งค่าเอาไว้ไม่ปลอดภัยจนทำให้เกิด Remote Code Execution (RCE) ได้บนรุ่น 5.5, 5.1 และ 5.0 ซึ่งล่าสุดนี้ VMware ก็ได้ออก Patch เสริมมาอีกในช่วงสุดสัปดาห์ที่ผ่านมาอุดช่องโหว่เดิมเพิ่มเติมอีกดังนี้ https://kb.