Microsoft ออก Patch Tuesday ประจำเดือนกุมภาพันธ์ 2025 โดยแก้ไขช่องโหว่ 55 รายการ ซึ่งรวมถึงช่องโหว่ Zero-days 4 รายการ โดยมีช่องโหว่ Zero-days 2 รายการ ที่พบหลักฐานว่ากำลังถูกนำมาใช้ในการโจมตี
Patch Tuesday ประจำเดือนกุมภาพันธ์ 2025 มีการแก้ไขช่องโหว่ระดับ Critical จำนวน 3 รายการ ซึ่งเป็นช่องโหว่ Remote Code Execution ทั้งหมด (more…)

พบ KerioControl firewall instance ของ GFI กว่า 12,000 รายการ มีความเสี่ยงต่อการถูกโจมตีด้วยช่องโหว่การเรียกใช้คำสั่งที่เป็นอันตรายจากระยะไกล (RCE) ที่มีหมายเลข CVE-2024-52875 (more…)

Cacti เป็นแพลตฟอร์มโอเพ่นซอร์สที่ให้การตรวจสอบการทำงานของระบบ และการจัดการข้อผิดพลาดที่มีประสิทธิภาพ และรองรับการปรับแต่งตามความต้องการของผู้ใช้งาน (more…)

Microsoft ออกอัปเดต Patch Tuesday ประจำเดือนตุลาคม 2024 โดยได้แก้ไขช่องโหว่ 118 รายการ รวมถึงช่องโหว่ที่กำลังถูกใช้ในการโจมตี 2 รายการ และช่องโหว่ Zero-day ที่ถูกเปิดเผยต่อสาธารณะ 5 รายการ

(more…)

Microsoft ออกแพตซ์อัปเดต Patch Tuesday ประจำเดือนธันวาคม ซึ่งได้อัปเดตช่องโหว่ด้านความปลอดภัยทั้งหมด 34 รายการ และช่องโหว่ Zero-Day ของ CPU AMD 1 รายการ

โดยช่องโหว่การเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกล Remote Code Execution (RCE) 8 รายการที่ได้รับการแก้ไขนั้น มีเพียง 3 รายการที่ Microsoft จัดว่าอยู่ในระดับ Critical แต่รวมแล้วในเดือนนี้มีช่องโหว่ที่มีระดับความรุนแรง Critical ทั้งหมด 4 รายการ ได้แก่ ช่องโหว่ใน Power Platform (Spoofing) 1 รายการ, ช่องโหว่ ใน Internet Connection Sharing (RCE) 2 รายการ และช่องโหว่ใน Windows MSHTML Platform (RCE) 1 รายการ
(more…)

PoC ของการโจมตีช่องโหว่การยกระดับสิทธิ์ของ Microsoft SharePoint Server ถูกปล่อยออกมาแล้ว

ชุดสาธิตการโจมตีหรือ Proof-of-concept exploit code (PoC) ของช่องโหว่การหลีกเลี่ยงการตรวจสอบสิทธิ์ของ Microsoft SharePoint Server ที่ทำให้สามารถยกระดับสิทธิ์ได้ (privilege escalation) ถูกปล่อยออกมาบน GitHub แล้ว
**

CVE-2023-29357 (คะแนน CVSS 9.8/10 ความรุนแรงระดับ Critical) เป็นช่องโหว่ที่ทำให้ Hacker สามารถหลีกเลี่ยงการตรวจสอบสิทธิ์ของ Microsoft SharePoint Server และสามารถยกระดับสิทธิ์เป็นผู้ดูแลระบบได้โดยไม่ต้องมีการโต้ตอบจากผู้ใช้งาน

โดย Hacker สามารถเข้าถึง JWT authentication token ที่ถูกปลอมแปลงขึ้น และใช้ token เหล่านี้เพื่อดำเนินการโจมตีเครือข่าย ซึ่งจะข้ามการตรวจสอบสิทธิ์ และอนุญาตให้เข้าถึงสิทธิ์ของผู้ใช้ที่ได้รับการตรวจสอบสิทธิ์ รวมถึงสิทธิ์ของผู้ดูแลระบบ ปัจจุบันช่องโหว่ดังกล่าว ทาง Microsoft ได้ออกแพตซ์อัปเดตด้านความปลอดภัยเพื่อแก้ไขไปแล้ว (more…)

นักวิจัยได้เผยแพร่เครื่องมือที่ใช้สำหรับการโจมตีช่องโหว่ Remote Code Execution (RCE) ที่ส่งผลกระทบต่อ ReportLab Toolkit ซึ่งเป็น Python library ยอดนิยมที่หลาย project ใช้เพื่อสร้างไฟล์ PDF จากอินพุต HTML

Proof-of-Concept (PoC) สำหรับ CVE-2023-33733 ถูกเผยแพร่เมื่อวานนี้ (30 พฤษภาคม 2023) บน GitHub พร้อมกับรายละเอียดทางเทคนิคเกี่ยวกับช่องโหว่ ซึ่งเป็นการเพิ่มโอกาสให้ผู้ไม่หวังดีสามารถใช้ประโยชน์จากช่องโหว่ดังกล่าว

ReportLab Toolkit ถูกใช้โดยหลาย project สำหรับเป็น PDF library และมีการดาวน์โหลดไปแล้วประมาณ 3.5 ล้านครั้งต่อเดือนบน PyPI (Python Package Index)

Bypass การแก้ไขช่องโหว่ครั้งก่อน

โดยช่องโหว่เกิดจากการสามารถ bypass ข้อจำกัดของ sandbox ใน 'rl_safe_eval' ซึ่งมีหน้าที่ป้องกันการเรียกใช้โค้ดที่เป็นอันตราย ทำให้ผู้โจมตีเข้าถึงฟังก์ชันของ Python ที่อาจเป็นอันตรายได้

ฟังก์ชัน 'rl_safe_eval' ถูกนำมาใช้เป็นมาตรการเพื่อป้องกันช่องโหว่การเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกลในลักษณะคล้ายกัน ซึ่งถูกค้นพบในปี 2019 ดังนั้นนักวิจัยจึงมุ่งเน้นไปที่การ bypass ฟังก์ชันดังกล่าว

PoC ที่ถูกเผยแพร่จะดึงฟังก์ชัน 'type' ที่สร้างขึ้นมาเพื่อช่วยสร้างคลาสใหม่ที่ชื่อว่า 'Word' ซึ่งสืบทอดมาจากคลาส 'str' ซึ่งสามารถหลีกเลี่ยงการตรวจสอบด้านความปลอดภัย และให้สิทธิ์เข้าถึงแอตทริบิวต์ที่มีความสำคัญ เช่น 'code' ได้

จากนั้น 'type' จะถูกเรียกใช้ในตัวมันเองเพื่อเลี่ยงการตรวจสอบ eval ที่เกี่ยวกับข้อจำกัดจำนวนอาร์กิวเมนต์ ทำให้ผู้โจมตีสามารถใช้ฟังก์ชัน 'type' เดิมที่ติดตั้งไว้สำหรับการสร้างคลาส และอ็อบเจ็กต์ใหม่ได้

จึงนำไปสู่การสร้างฟังก์ชันที่เป็นอันตรายจาก bytecode ของฟังก์ชันที่คอมไพล์ ซึ่งอาจทำให้สามารถรันโค้ดได้ตามที่ต้องการ โดยจาก PoC ของนักวิจัย จะทำการเรียกคำสั่งบน OS เพื่อสร้างไฟล์ชื่อ 'exploited' ในไดเร็กทอรี "/tmp/"

Elyas Damej นักวิจัยของ Cure53 แจ้งเตือนในรายงานว่า การใช้ประโยชน์จากช่องโหว่ CVE-2023-33733 ทำได้ง่ายมาก เพียงแค่ใส่โค้ดที่เป็นอันตรายไว้ในไฟล์ HTML ซึ่งจะถูกแปลงเป็น PDF บนซอฟต์แวร์ที่ใช้ไลบรารี ReportLab

คำแนะนำ

ช่องโหว่ส่งผลกระทบต่อไลบรารีเวอร์ชันก่อนหน้านี้ทั้งหมด
ทำการอัปเดตเป็นเวอร์ชัน 3.6.13

 

ที่มา : bleepingcomputer

นักวิจัยจาก Unit 42 ของ Palo Alto Networks ได้ออกมาแจ้งเตือนถึงการค้นพบการโจมตีช่องโหว่ของ Realtek Jungle SDK ที่ทำให้สามารถสั่งรันโค้ดที่เป็นอันตรายจากระยะไกลได้

โดยช่องโหว่มีหมายเลข CVE-2021-35394 (คะแนน CVSS: 9.8 ระดับความรุนแรงสูงมาก) เป็นช่องโหว่ buffer overflows และ arbitrary command injection ที่สามารถถูกนำมาใช้เพื่อสั่งรันโค้ดที่เป็นอันตรายจากระยะไกล (Remote Code Execution) ด้วยสิทธิ์ระดับสูงสุด และเข้าควบคุมอุปกรณ์ IOT ที่มีช่องโหว่ได้ (more…)

CERT Coordination Center (CERT/CC) ศูนย์ประสานงานด้านความปลอดภัยไซเบอร์ ได้เผยแพร่ช่องโหว่หมายเลข CVE-2022-4873, CVE-2022-4874 ซึ่งส่งผลกระทบต่ออุปกรณ์เราเตอร์ Netcomm และ CVE-2022-4498, CVE-2022-4499 ซึ่งส่งผลกระทบต่ออุปกรณ์เราเตอร์ TP-Link ที่ทำให้ผู้โจมตีสามารถสั่งรันโค้ดที่เป็นอันตรายจากระยะไกลได้ (Remote Code Execution)

CVE-2022-4873 และ CVE-2022-4874 เป็นช่องโหว่ของ stack-based buffer overflow ที่ทำให้ผู้โจมตีสามารถหลีกเลี่ยงการตรวจสอบสิทธิ รวมถึงสั่งรันโค้ดที่เป็นอันตรายจากระยะไกล ซึ่งส่งผลกระทบต่อเราเตอร์ Netcomm รุ่น NF20MESH, NF20 และ NL1902 ที่ใช้เฟิร์มแวร์เวอร์ชันก่อนหน้า R6B035

CVE-2022-4498 และ CVE-2022-4499 เป็นช่องโหว่ของ stack-based buffer overflow ที่ทำให้ผู้โจมตีสามารถหลีกเลี่ยงการตรวจสอบสิทธิ รวมถึงสั่งรันโค้ดที่เป็นอันตรายจากระยะไกล ซึ่งส่งผลกระทบต่อเราเตอร์ TP-Link รุ่น WR710N-V1-151022 และ Archer-C5-V2-160201

โดย CERT/CC กล่าวว่าช่องโหว่ที่ส่งผลกระทบต่อ เราเตอร์ Netcomm and TP-Link ส่งผลกระทบโดยตรงต่อค่า response time ของกระบวนการทำงาน และข้อมูล username/password บนเราเตอร์ ทำให้มีความเสี่ยงที่จะถูกโจมตีจากช่องโหว่ดังกล่าวได้

ที่มา : thehackernews

นักวิจัยของ Unit 42 หน่วยงานวิจัยด้านความปลอดภัยของ Palo Alto Networks ได้ออกเผยแพร่รายงานการพบช่องโหว่บน jsonwebtoken (JWT) ที่มีหมายเลข CVE-2022-23529 ซึ่งส่งผลให้ Hackers ที่สามารถโจมตีได้สำเร็จสามารถสั่งรันโค้ดที่เป็นอันตรายจากระยะไกลได้

CVE-2022-23529 (คะแนน CVSS: 7.6 ระดับความรุนแรงสูง) เป็นช่องโหว่ของ JSON web token (JWT) ที่สามารถสั่งรันโค้ดที่เป็นอันตรายจากระยะไกล (Remote Code Execution RCE) บนเซิร์ฟเวอร์เป้าหมายได้

jsonwebtoken ถูกพัฒนาและดูแลโดย Auth0 ของ Okta โดยเป็นโมดูล JavaScript ที่ช่วยให้ผู้ใช้สามารถถอดรหัส ตรวจสอบ และสร้างโทเค็นเว็ป JSON เพื่อเป็นวิธีการส่งข้อมูลอย่างปลอดภัยระหว่างสองฝ่าย เพื่อการตรวจสอบสิทธิ์การใช้งาน และการตรวจสอบความถูกต้อง โดยมีการดาวน์โหลดไปแล้วมากกว่า 10 ล้านครั้งต่อสัปดาห์ใน npm software และมีการใช้งานมากกว่า 22,000 โครงการ

การโจมตี

Hackers จะทำการโจมตีบนเซิร์ฟเวอร์เป้าหมายผ่านทาง jsonwebtoken ที่มีช่องโหว่ เพื่อสั่งรันโค้ดที่เป็นอันตรายจากระยะไกล รวมไปถึงการเขียนข้อมูลทับ หรือเข้ารหัสไฟล์บนเครื่องที่ถูกโจมตีผ่านทาง secret management process โดยใช้ secretOrPublicKey value ที่มีช่องโหว่

jsonwebtoken เวอร์ชันที่ได้รับผลกระทบ

jsonwebtoken ตั้งแต่เวอร์ชัน 8.5.1 ลงไป

วิธีการป้องกัน

ดำเนินการอัปเดตเป็น jsonwebtoken เวอร์ชัน 9.0.0 เพื่อป้องกันความเสี่ยงจากการถูกโจมตี

ที่มา : thehackernews