Microsoft ออกแพตซ์อัปเดต Patch Tuesday ประจำเดือนธันวาคม ซึ่งได้อัปเดตช่องโหว่ด้านความปลอดภัยทั้งหมด 34 รายการ และช่องโหว่ Zero-Day ของ CPU AMD 1 รายการ

โดยช่องโหว่การเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกล Remote Code Execution (RCE) 8 รายการที่ได้รับการแก้ไขนั้น มีเพียง 3 รายการที่ Microsoft จัดว่าอยู่ในระดับ Critical แต่รวมแล้วในเดือนนี้มีช่องโหว่ที่มีระดับความรุนแรง Critical ทั้งหมด 4 รายการ ได้แก่ ช่องโหว่ใน Power Platform (Spoofing) 1 รายการ, ช่องโหว่ ใน Internet Connection Sharing (RCE) 2 รายการ และช่องโหว่ใน Windows MSHTML Platform (RCE) 1 รายการ
(more…)

PoC ของการโจมตีช่องโหว่การยกระดับสิทธิ์ของ Microsoft SharePoint Server ถูกปล่อยออกมาแล้ว

ชุดสาธิตการโจมตีหรือ Proof-of-concept exploit code (PoC) ของช่องโหว่การหลีกเลี่ยงการตรวจสอบสิทธิ์ของ Microsoft SharePoint Server ที่ทำให้สามารถยกระดับสิทธิ์ได้ (privilege escalation) ถูกปล่อยออกมาบน GitHub แล้ว
**

CVE-2023-29357 (คะแนน CVSS 9.8/10 ความรุนแรงระดับ Critical) เป็นช่องโหว่ที่ทำให้ Hacker สามารถหลีกเลี่ยงการตรวจสอบสิทธิ์ของ Microsoft SharePoint Server และสามารถยกระดับสิทธิ์เป็นผู้ดูแลระบบได้โดยไม่ต้องมีการโต้ตอบจากผู้ใช้งาน

โดย Hacker สามารถเข้าถึง JWT authentication token ที่ถูกปลอมแปลงขึ้น และใช้ token เหล่านี้เพื่อดำเนินการโจมตีเครือข่าย ซึ่งจะข้ามการตรวจสอบสิทธิ์ และอนุญาตให้เข้าถึงสิทธิ์ของผู้ใช้ที่ได้รับการตรวจสอบสิทธิ์ รวมถึงสิทธิ์ของผู้ดูแลระบบ ปัจจุบันช่องโหว่ดังกล่าว ทาง Microsoft ได้ออกแพตซ์อัปเดตด้านความปลอดภัยเพื่อแก้ไขไปแล้ว (more…)

นักวิจัยได้เผยแพร่เครื่องมือที่ใช้สำหรับการโจมตีช่องโหว่ Remote Code Execution (RCE) ที่ส่งผลกระทบต่อ ReportLab Toolkit ซึ่งเป็น Python library ยอดนิยมที่หลาย project ใช้เพื่อสร้างไฟล์ PDF จากอินพุต HTML

Proof-of-Concept (PoC) สำหรับ CVE-2023-33733 ถูกเผยแพร่เมื่อวานนี้ (30 พฤษภาคม 2023) บน GitHub พร้อมกับรายละเอียดทางเทคนิคเกี่ยวกับช่องโหว่ ซึ่งเป็นการเพิ่มโอกาสให้ผู้ไม่หวังดีสามารถใช้ประโยชน์จากช่องโหว่ดังกล่าว

ReportLab Toolkit ถูกใช้โดยหลาย project สำหรับเป็น PDF library และมีการดาวน์โหลดไปแล้วประมาณ 3.5 ล้านครั้งต่อเดือนบน PyPI (Python Package Index)

Bypass การแก้ไขช่องโหว่ครั้งก่อน

โดยช่องโหว่เกิดจากการสามารถ bypass ข้อจำกัดของ sandbox ใน 'rl_safe_eval' ซึ่งมีหน้าที่ป้องกันการเรียกใช้โค้ดที่เป็นอันตราย ทำให้ผู้โจมตีเข้าถึงฟังก์ชันของ Python ที่อาจเป็นอันตรายได้

ฟังก์ชัน 'rl_safe_eval' ถูกนำมาใช้เป็นมาตรการเพื่อป้องกันช่องโหว่การเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกลในลักษณะคล้ายกัน ซึ่งถูกค้นพบในปี 2019 ดังนั้นนักวิจัยจึงมุ่งเน้นไปที่การ bypass ฟังก์ชันดังกล่าว

PoC ที่ถูกเผยแพร่จะดึงฟังก์ชัน 'type' ที่สร้างขึ้นมาเพื่อช่วยสร้างคลาสใหม่ที่ชื่อว่า 'Word' ซึ่งสืบทอดมาจากคลาส 'str' ซึ่งสามารถหลีกเลี่ยงการตรวจสอบด้านความปลอดภัย และให้สิทธิ์เข้าถึงแอตทริบิวต์ที่มีความสำคัญ เช่น 'code' ได้

จากนั้น 'type' จะถูกเรียกใช้ในตัวมันเองเพื่อเลี่ยงการตรวจสอบ eval ที่เกี่ยวกับข้อจำกัดจำนวนอาร์กิวเมนต์ ทำให้ผู้โจมตีสามารถใช้ฟังก์ชัน 'type' เดิมที่ติดตั้งไว้สำหรับการสร้างคลาส และอ็อบเจ็กต์ใหม่ได้

จึงนำไปสู่การสร้างฟังก์ชันที่เป็นอันตรายจาก bytecode ของฟังก์ชันที่คอมไพล์ ซึ่งอาจทำให้สามารถรันโค้ดได้ตามที่ต้องการ โดยจาก PoC ของนักวิจัย จะทำการเรียกคำสั่งบน OS เพื่อสร้างไฟล์ชื่อ 'exploited' ในไดเร็กทอรี "/tmp/"

Elyas Damej นักวิจัยของ Cure53 แจ้งเตือนในรายงานว่า การใช้ประโยชน์จากช่องโหว่ CVE-2023-33733 ทำได้ง่ายมาก เพียงแค่ใส่โค้ดที่เป็นอันตรายไว้ในไฟล์ HTML ซึ่งจะถูกแปลงเป็น PDF บนซอฟต์แวร์ที่ใช้ไลบรารี ReportLab

คำแนะนำ

ช่องโหว่ส่งผลกระทบต่อไลบรารีเวอร์ชันก่อนหน้านี้ทั้งหมด
ทำการอัปเดตเป็นเวอร์ชัน 3.6.13

 

ที่มา : bleepingcomputer

นักวิจัยจาก Unit 42 ของ Palo Alto Networks ได้ออกมาแจ้งเตือนถึงการค้นพบการโจมตีช่องโหว่ของ Realtek Jungle SDK ที่ทำให้สามารถสั่งรันโค้ดที่เป็นอันตรายจากระยะไกลได้

โดยช่องโหว่มีหมายเลข CVE-2021-35394 (คะแนน CVSS: 9.8 ระดับความรุนแรงสูงมาก) เป็นช่องโหว่ buffer overflows และ arbitrary command injection ที่สามารถถูกนำมาใช้เพื่อสั่งรันโค้ดที่เป็นอันตรายจากระยะไกล (Remote Code Execution) ด้วยสิทธิ์ระดับสูงสุด และเข้าควบคุมอุปกรณ์ IOT ที่มีช่องโหว่ได้ (more…)

CERT Coordination Center (CERT/CC) ศูนย์ประสานงานด้านความปลอดภัยไซเบอร์ ได้เผยแพร่ช่องโหว่หมายเลข CVE-2022-4873, CVE-2022-4874 ซึ่งส่งผลกระทบต่ออุปกรณ์เราเตอร์ Netcomm และ CVE-2022-4498, CVE-2022-4499 ซึ่งส่งผลกระทบต่ออุปกรณ์เราเตอร์ TP-Link ที่ทำให้ผู้โจมตีสามารถสั่งรันโค้ดที่เป็นอันตรายจากระยะไกลได้ (Remote Code Execution)

CVE-2022-4873 และ CVE-2022-4874 เป็นช่องโหว่ของ stack-based buffer overflow ที่ทำให้ผู้โจมตีสามารถหลีกเลี่ยงการตรวจสอบสิทธิ รวมถึงสั่งรันโค้ดที่เป็นอันตรายจากระยะไกล ซึ่งส่งผลกระทบต่อเราเตอร์ Netcomm รุ่น NF20MESH, NF20 และ NL1902 ที่ใช้เฟิร์มแวร์เวอร์ชันก่อนหน้า R6B035

CVE-2022-4498 และ CVE-2022-4499 เป็นช่องโหว่ของ stack-based buffer overflow ที่ทำให้ผู้โจมตีสามารถหลีกเลี่ยงการตรวจสอบสิทธิ รวมถึงสั่งรันโค้ดที่เป็นอันตรายจากระยะไกล ซึ่งส่งผลกระทบต่อเราเตอร์ TP-Link รุ่น WR710N-V1-151022 และ Archer-C5-V2-160201

โดย CERT/CC กล่าวว่าช่องโหว่ที่ส่งผลกระทบต่อ เราเตอร์ Netcomm and TP-Link ส่งผลกระทบโดยตรงต่อค่า response time ของกระบวนการทำงาน และข้อมูล username/password บนเราเตอร์ ทำให้มีความเสี่ยงที่จะถูกโจมตีจากช่องโหว่ดังกล่าวได้

ที่มา : thehackernews

นักวิจัยของ Unit 42 หน่วยงานวิจัยด้านความปลอดภัยของ Palo Alto Networks ได้ออกเผยแพร่รายงานการพบช่องโหว่บน jsonwebtoken (JWT) ที่มีหมายเลข CVE-2022-23529 ซึ่งส่งผลให้ Hackers ที่สามารถโจมตีได้สำเร็จสามารถสั่งรันโค้ดที่เป็นอันตรายจากระยะไกลได้

CVE-2022-23529 (คะแนน CVSS: 7.6 ระดับความรุนแรงสูง) เป็นช่องโหว่ของ JSON web token (JWT) ที่สามารถสั่งรันโค้ดที่เป็นอันตรายจากระยะไกล (Remote Code Execution RCE) บนเซิร์ฟเวอร์เป้าหมายได้

jsonwebtoken ถูกพัฒนาและดูแลโดย Auth0 ของ Okta โดยเป็นโมดูล JavaScript ที่ช่วยให้ผู้ใช้สามารถถอดรหัส ตรวจสอบ และสร้างโทเค็นเว็ป JSON เพื่อเป็นวิธีการส่งข้อมูลอย่างปลอดภัยระหว่างสองฝ่าย เพื่อการตรวจสอบสิทธิ์การใช้งาน และการตรวจสอบความถูกต้อง โดยมีการดาวน์โหลดไปแล้วมากกว่า 10 ล้านครั้งต่อสัปดาห์ใน npm software และมีการใช้งานมากกว่า 22,000 โครงการ

การโจมตี

Hackers จะทำการโจมตีบนเซิร์ฟเวอร์เป้าหมายผ่านทาง jsonwebtoken ที่มีช่องโหว่ เพื่อสั่งรันโค้ดที่เป็นอันตรายจากระยะไกล รวมไปถึงการเขียนข้อมูลทับ หรือเข้ารหัสไฟล์บนเครื่องที่ถูกโจมตีผ่านทาง secret management process โดยใช้ secretOrPublicKey value ที่มีช่องโหว่

jsonwebtoken เวอร์ชันที่ได้รับผลกระทบ

jsonwebtoken ตั้งแต่เวอร์ชัน 8.5.1 ลงไป

วิธีการป้องกัน

ดำเนินการอัปเดตเป็น jsonwebtoken เวอร์ชัน 9.0.0 เพื่อป้องกันความเสี่ยงจากการถูกโจมตี

ที่มา : thehackernews

SOPHOS แจ้งเตือนช่องโหว่ RCE บน Firewall ที่กำลังถูกนำมาใช้โจมตีอยู่ในปัจจุบัน

Sophos ออกมาแจ้งเตือนช่องโหว่ RCE (remote code execution) ระดับ critical ใน Firewall ของตน โดยช่องโหว่ดังกล่าวกำลังถูกใช้ในการโจมตีกลุ่มเป้าหมายองค์กรในภูมิภาคเอเชียใต้ โดยทาง Sophos ได้แจ้งเตือนไปยังองค์กรเหล่านี้โดยตรงเรียบร้อยแล้ว

โดยช่องโหว่นี้มีหมายเลข CVE-2022-3236 เป็นช่องโหว่บน User Portal และ Webadmin ของ Sophos Firewall ซึ่งสามารถทำให้ผู้โจมตีสั่งรันโค้ดที่เป็นอันตรายจากระยะไกลได้ (remote code execution)

โดย Sophos ระบุว่าได้ปล่อย hotfixes สำหรับแก้ไขปัญหาเบื้องต้นให้กับ Sophos Firewall เวอร์ชันที่ได้รับผลกระทบแล้ว (v19.0 MR1 (19.0.1) และเก่ากว่า) ซึ่งจะได้รับการอัปเดตโดยอัตโนมัติหากมีการเปิดการตั้งค่าอัปเดตอัตโนมัติไว้ แต่ผู้ใช้งาน Sophos Firewall เวอร์ชันเก่าจะต้องอัปเกรดเป็นเวอร์ชันที่รองรับเพื่อที่จะสามารถอัปเดตแพตช์ของ CVE-2022-3236 ได้

Sophos ยังแนะนำวิธีแก้ปัญหาสำหรับผู้ใช้งานที่ยังไม่สามารถอัปเดตอุปกรณ์ที่มีช่องโหว่ได้ในทันที โดยแนะนำให้ไม่ควรเปิดให้เข้าถึง User Portal และ Webadmin ของ Sophos Firewall ได้โดยตรงจากภายนอก

ก่อนหน้านี้ Sophos Firewall เคยพบช่องโหว่ระดับ Critical มาแล้วในเดือนมีนาคม โดยช่องโหว่ดังกล่าวมีหมายเลข CVE-2022-1040 ซึ่งเป็นช่องโหว่บน User Portal และ Webadmin เช่นเดียวกัน ซึ่งสามารถทำให้ผู้โจมตี bypass การตรวจสอบสิทธิ์ และสั่งรันโค้ดที่เป็นอันตรายได้ตามที่ต้องการ

เช่นเดียวกับ CVE-2022-3236 ข้อมูลจาก Volexity ระบุว่า ช่องโหว่ดังกล่าวถูกใช้โจมตีโดยมุ่งเป้าไปที่องค์กรจากเอเชียใต้เป็นหลัก ซึ่งมีข้อมูลว่ากลุ่ม DriftingCloud กลุ่มผู้โจมตีสัญญาติจีนใช้ประโยชน์จากช่องโหว่ CVE-2022-1040 มาตั้งแต่ต้นเดือนมีนาคม ประมาณสามสัปดาห์ก่อนที่ Sophos จะออกอัปเดตแพตช์

ผู้โจมตียังใช้การโจมตีในรูปแบบ SQL injection กับ XG Firewall มาตั้งแต่ต้นปี 2020 โดยมีเป้าหมายในการขโมยข้อมูลที่สำคัญ เช่น ชื่อผู้ใช้ และรหัสผ่าน ซึ่งเป็นส่วนหนึ่งของการโจมตีเพื่อติดตั้งมัลแวร์ Asnarök เพื่อพยายามขโมยข้อมูลสำคัญบนไฟร์วอลล์จากอินสแตนซ์ของ XG Firewall ที่มีช่องโหว่

Zero-day ในลักษณะเดียวกันนี้ก็เคยถูกใช้เพื่อแพร่กระจาย Ragnarok ransomware payloads ไปยังองค์กรที่ใช้ระบบปฏิบัติการ Windows อีกด้วย

ที่มา : www.

Spring ได้ออกแพตซ์อัปเดตเร่งด่วนเพื่อแก้ไขช่องโหว่ Zero-day remote code execution ของ 'Spring4Shell' ซึ่งก่อนหน้านี้มีข้อมูลรายละเอียดของช่องโหว่ และโค้ดที่ใช้การโจมตีถูกปล่อยออกมา ก่อนที่จะมีแพตช์อัปเดตเพื่อแก้ไขช่องโหว่ดังกล่าว

เมื่อวานนี้ (30 มีนาคม 2022) มีการพบ exploit code ที่ใช้สำหรับโจมตีช่องโหว่ remote code execution ใน Spring Framework ที่มีชื่อว่า 'Spring4Shell' มีการเผยแพร่อยู่บน GitHub และได้ถูกลบออกไปแล้ว อย่างไรก็ตามข้อมูลได้ถูกแชร์ออกไปอย่างรวดเร็ว และได้มีการทดสอบโดยนักวิจัยด้านความปลอดภัย ซึ่งยืนยันว่าสามารถใช้ในการโจมตีได้จริง

Spring ได้ออกคำแนะนำด้านความปลอดภัยโดยแจ้งว่าช่องโหว่นี้ (CVE-2022-22965) จะส่งผลกระทบต่อแอปพลิเคชัน Spring MVC และ Spring WebFlux ใน JDK 9

การโจมตีช่องโหว่ดังกล่าวต้องใช้ Apache Tomcat, แอปพลิเคชันแพ็คเกจ WAR และ "spring-webmvc หรือ spring-webflux" dependencies

ช่องโหว่ดังกล่าวส่งผลกระทบกับแอปพลิเคชัน Spring MVC และ Spring WebFlux ที่ทำงานบน JDK 9+ ซึ่งการโจมตีจะสำเร็จได้ก็ต่อเมื่อ แอปพลิเคชันที่ทำงานบน Tomcat ที่ถูกติดตั้งในรูปแบบ WAR

หากแอปพลิเคชันถูกติดตั้งเป็น Jar เป็นค่าเริ่มต้น จะไม่มีความเสี่ยงต่อการถูกโจมตี อย่างไรก็ตามช่องโหว่ดังกล่าวมีรายละเอียดที่ค่อนข้างกว้าง และอาจมีวิธีอื่นในการใช้ประโยชน์จากช่องโหว่ดังกล่าว (more…)

มีการเปิดเผยข้อมูลของช่องโหว่ Zero-day ตัวใหม่ใน Spring Core Java framework ที่มีชื่อว่า 'Spring4Shell' ซึ่งทำให้ผู้โจมตีสั่งรันโค้ดที่เป็นอันตรายได้จากระยะไกล (Remote code execution) ได้โดยไม่ต้องมีการตรวจสอบสิทธิ์บนแอปพลิเคชัน

Spring เป็น Application framework ยอดนิยมที่ช่วยให้นักพัฒนาซอฟต์แวร์พัฒนาแอปพลิเคชัน Java ได้อย่างรวดเร็ว แอปพลิเคชันเหล่านี้สามารถนำไปใช้งานบนเซิร์ฟเวอร์ เช่น Apache Tomcat ในลักษณะ Stand-alone packages ได้

โดยเมื่อวานนี้ (29 มีนาคม 2022) ได้มีการเปิดเผยช่องโหว่ของ Spring Cloud Function ซึ่งมีหมายเลขช่องโหว่คือ CVE-2022-22963 โดยคาดว่าน่าจะมี POC Exploit ถูกปล่อยตามออกมาในเร็วๆนี้

อย่างไรก็ตาม มีการพบข้อมูลเกี่ยวกับช่องโหว่ Remote code execution ของ Spring Core ที่ร้ายแรงกว่านั้นถูกเผยแพร่ใน QQ chat service และเว็บไซต์ด้าน Cybersecurity ของจีนในเวลาต่อมา

ในวันนี้ (30 มีนาคม 2022) Exploit code ของช่องโหว่ Zero-Day ดังกล่าวได้ถูกปล่อยออกมาในช่วงระยะเวลาหนึ่งก่อนที่จะถูกลบออกไป แต่นักวิจัยด้านความปลอดภัยทางไซเบอร์บางคนสามารถดาวน์โหลดโค้ดไว้ได้ทัน และในเวลาต่อมานักวิจัยด้านความปลอดภัยทางไซเบอร์และบริษัทรักษาความปลอดภัยจำนวนมากได้ยืนยันว่าข้อมูลช่องโหว่นั้นถูกต้อง และเป็นเรื่องที่น่ากังวลอย่างมาก

(more…)

Microsoft ได้ออกมาแนะนำวิธีการรับมือเบื้องต้นสำหรับช่องโหว่ การรันคำสั่งที่เป็นอันตรายจากระยะไกล (Remote Code Execution) ที่ถูกใช้งานในการโจมตี Office 365 และ Office 2019 บน Windows 10

ช่องโหว่นี้เกิดขึ้นที่ MSHTML ซึ่งเป็น Browser Rendering Engine ที่ถูกใช้โดยเอกสาร Microsoft Office

โดยการโจมตี Office 365 นี้ ถูกจัดให้เป็นช่องโหว่หมายเลข CVE-2021-40444 ซึ่งมีผลกระทบกับ Windows Server เวอร์ชัน 2008 จนถึง 2019 และ Windows 8.1 จนถึง Windows 10 โดยมีระดับความรุนแรงที่ 8.8 จากระดับสูงสุด 10

Microsoft พบว่าผู้ที่ใช้ช่องโหว่นี้จะทำการส่งไฟล์เอกสาร Microsoft Office ที่ถูกสร้างขึ้นเป็นพิเศษไปให้เหยื่อ

“ผู้โจมตีจะสร้าง ActiveX ที่มีโค้ดอันตราย ซึ่งจะถูกเรียกใช้ผ่านเอกสาร Microsoft Office ที่ใช้งาน Browser Rendering Engine อีกที โดยผู้โจมตีจะพยายามโน้มน้าวเหยื่อให้เปิดไฟล์เอกสารเพื่อให้โค้ดอันตรายที่ถูกฝังไว้ทำงาน” - Microsoft กล่าว

อย่างไรก็ตาม การโจมตีจะไม่สำเร็จหาก Microsoft Office ตั้งค่าที่เป็นค่าเริ่มต้น ซึ่งจะทำให้เอกสารที่เปิดจากเว็บนั้นถูกเปิดในโหมด Protected View หรือในผู้ใช้งานมีการใช้ Application Guard for Office 365 การโจมตีจะไม่สำเร็จเช่นกัน

Protected View เป็นโหมดอ่านอย่างเดียว (Read-Only) ที่จะทำให้ฟังก์ชันสำหรับการแก้ไขเอกสารถูกปิดไว้ ในขณะที่ Application Guard นั้นจะแยกไฟล์เอกสารที่ไม่น่าเชื่อถือไว้ ไม่ให้สามารถเข้าถึงระบบภายในขององค์กรได้

ระบบที่มีการเปิดใช้งาน Microsoft Defender Antivirus และ Defender for Endpoint (build 1.349.22.0 เป็นต้นไป) จะได้รับการป้องกันจากช่องโหว่ CVE-2021-40444 โดยแพลตฟอร์ม Microsoft's enterprise security จะแจ้งเตือนการโจมตีด้วยช่องโหว่นี้ด้วยชื่อ "Suspicious Cpl File Execution.