Spring ออกแพตช์แก้ไขช่องโหว่ RCE Zero-day ของ Spring4Shell

Spring ได้ออกแพตซ์อัปเดตเร่งด่วนเพื่อแก้ไขช่องโหว่ Zero-day remote code execution ของ 'Spring4Shell' ซึ่งก่อนหน้านี้มีข้อมูลรายละเอียดของช่องโหว่ และโค้ดที่ใช้การโจมตีถูกปล่อยออกมา ก่อนที่จะมีแพตช์อัปเดตเพื่อแก้ไขช่องโหว่ดังกล่าว

เมื่อวานนี้ (30 มีนาคม 2022) มีการพบ exploit code ที่ใช้สำหรับโจมตีช่องโหว่ remote code execution ใน Spring Framework ที่มีชื่อว่า 'Spring4Shell' มีการเผยแพร่อยู่บน GitHub และได้ถูกลบออกไปแล้ว อย่างไรก็ตามข้อมูลได้ถูกแชร์ออกไปอย่างรวดเร็ว และได้มีการทดสอบโดยนักวิจัยด้านความปลอดภัย ซึ่งยืนยันว่าสามารถใช้ในการโจมตีได้จริง

Spring ได้ออกคำแนะนำด้านความปลอดภัยโดยแจ้งว่าช่องโหว่นี้ (CVE-2022-22965) จะส่งผลกระทบต่อแอปพลิเคชัน Spring MVC และ Spring WebFlux ใน JDK 9

การโจมตีช่องโหว่ดังกล่าวต้องใช้ Apache Tomcat, แอปพลิเคชันแพ็คเกจ WAR และ "spring-webmvc หรือ spring-webflux" dependencies

ช่องโหว่ดังกล่าวส่งผลกระทบกับแอปพลิเคชัน Spring MVC และ Spring WebFlux ที่ทำงานบน JDK 9+ ซึ่งการโจมตีจะสำเร็จได้ก็ต่อเมื่อ แอปพลิเคชันที่ทำงานบน Tomcat ที่ถูกติดตั้งในรูปแบบ WAR

หากแอปพลิเคชันถูกติดตั้งเป็น Jar เป็นค่าเริ่มต้น จะไม่มีความเสี่ยงต่อการถูกโจมตี อย่างไรก็ตามช่องโหว่ดังกล่าวมีรายละเอียดที่ค่อนข้างกว้าง และอาจมีวิธีอื่นในการใช้ประโยชน์จากช่องโหว่ดังกล่าว (more…)

ช่องโหว่ Zero-Day ตัวใหม่ใน Java Spring Framework ทำให้เกิดการโจมตีด้วย Remote code execution ได้

มีการเปิดเผยข้อมูลของช่องโหว่ Zero-day ตัวใหม่ใน Spring Core Java framework ที่มีชื่อว่า 'Spring4Shell' ซึ่งทำให้ผู้โจมตีสั่งรันโค้ดที่เป็นอันตรายได้จากระยะไกล (Remote code execution) ได้โดยไม่ต้องมีการตรวจสอบสิทธิ์บนแอปพลิเคชัน

Spring เป็น Application framework ยอดนิยมที่ช่วยให้นักพัฒนาซอฟต์แวร์พัฒนาแอปพลิเคชัน Java ได้อย่างรวดเร็ว แอปพลิเคชันเหล่านี้สามารถนำไปใช้งานบนเซิร์ฟเวอร์ เช่น Apache Tomcat ในลักษณะ Stand-alone packages ได้

โดยเมื่อวานนี้ (29 มีนาคม 2022) ได้มีการเปิดเผยช่องโหว่ของ Spring Cloud Function ซึ่งมีหมายเลขช่องโหว่คือ CVE-2022-22963 โดยคาดว่าน่าจะมี POC Exploit ถูกปล่อยตามออกมาในเร็วๆนี้

อย่างไรก็ตาม มีการพบข้อมูลเกี่ยวกับช่องโหว่ Remote code execution ของ Spring Core ที่ร้ายแรงกว่านั้นถูกเผยแพร่ใน QQ chat service และเว็บไซต์ด้าน Cybersecurity ของจีนในเวลาต่อมา

ในวันนี้ (30 มีนาคม 2022) Exploit code ของช่องโหว่ Zero-Day ดังกล่าวได้ถูกปล่อยออกมาในช่วงระยะเวลาหนึ่งก่อนที่จะถูกลบออกไป แต่นักวิจัยด้านความปลอดภัยทางไซเบอร์บางคนสามารถดาวน์โหลดโค้ดไว้ได้ทัน และในเวลาต่อมานักวิจัยด้านความปลอดภัยทางไซเบอร์และบริษัทรักษาความปลอดภัยจำนวนมากได้ยืนยันว่าข้อมูลช่องโหว่นั้นถูกต้อง และเป็นเรื่องที่น่ากังวลอย่างมาก

(more…)

Microsoft แนะนำวิธีการแก้ไขเบื้องต้นสำหรับช่องโหว่ zero-day ของ Office 365 ที่กำลังถูกโจมตีในช่วงนี้

Microsoft ได้ออกมาแนะนำวิธีการรับมือเบื้องต้นสำหรับช่องโหว่ การรันคำสั่งที่เป็นอันตรายจากระยะไกล (Remote Code Execution) ที่ถูกใช้งานในการโจมตี Office 365 และ Office 2019 บน Windows 10

ช่องโหว่นี้เกิดขึ้นที่ MSHTML ซึ่งเป็น Browser Rendering Engine ที่ถูกใช้โดยเอกสาร Microsoft Office

โดยการโจมตี Office 365 นี้ ถูกจัดให้เป็นช่องโหว่หมายเลข CVE-2021-40444 ซึ่งมีผลกระทบกับ Windows Server เวอร์ชัน 2008 จนถึง 2019 และ Windows 8.1 จนถึง Windows 10 โดยมีระดับความรุนแรงที่ 8.8 จากระดับสูงสุด 10

Microsoft พบว่าผู้ที่ใช้ช่องโหว่นี้จะทำการส่งไฟล์เอกสาร Microsoft Office ที่ถูกสร้างขึ้นเป็นพิเศษไปให้เหยื่อ

“ผู้โจมตีจะสร้าง ActiveX ที่มีโค้ดอันตราย ซึ่งจะถูกเรียกใช้ผ่านเอกสาร Microsoft Office ที่ใช้งาน Browser Rendering Engine อีกที โดยผู้โจมตีจะพยายามโน้มน้าวเหยื่อให้เปิดไฟล์เอกสารเพื่อให้โค้ดอันตรายที่ถูกฝังไว้ทำงาน” - Microsoft กล่าว

อย่างไรก็ตาม การโจมตีจะไม่สำเร็จหาก Microsoft Office ตั้งค่าที่เป็นค่าเริ่มต้น ซึ่งจะทำให้เอกสารที่เปิดจากเว็บนั้นถูกเปิดในโหมด Protected View หรือในผู้ใช้งานมีการใช้ Application Guard for Office 365 การโจมตีจะไม่สำเร็จเช่นกัน

Protected View เป็นโหมดอ่านอย่างเดียว (Read-Only) ที่จะทำให้ฟังก์ชันสำหรับการแก้ไขเอกสารถูกปิดไว้ ในขณะที่ Application Guard นั้นจะแยกไฟล์เอกสารที่ไม่น่าเชื่อถือไว้ ไม่ให้สามารถเข้าถึงระบบภายในขององค์กรได้

ระบบที่มีการเปิดใช้งาน Microsoft Defender Antivirus และ Defender for Endpoint (build 1.349.22.0 เป็นต้นไป) จะได้รับการป้องกันจากช่องโหว่ CVE-2021-40444 โดยแพลตฟอร์ม Microsoft's enterprise security จะแจ้งเตือนการโจมตีด้วยช่องโหว่นี้ด้วยชื่อ "Suspicious Cpl File Execution.

ช่องโหว่ใน Less.js อาจทำให้ AWS Secret Keys รั่วไหล

นักวิจัยด้านความปลอดภัยทางไซเบอร์ที่ Software Secured บริษัทสัญชาติแคนาดาระบุช่องโหว่ร้ายแรงใน Less.

พบช่องโหว่ที่สำคัญ 6 รายการในอุปกรณ์ Schneider PowerLogic

เมื่อต้นเดือนมิถุนายนที่ผ่านมา ชไนเดอร์ อิเล็คทริค ซัพพลายเออร์ระดับโลกด้านการจัดหาโซลูชันดิจิทัลด้านพลังงาน และระบบอัตโนมัติ ได้เผยแพร่คำแนะนำด้านความปลอดภัยสำหรับลูกค้าที่ระบุถึงการค้นพบช่องโหว่ 6 รายการใน PowerLogic EGX100 และ EGX300 communication gateways ทำให้แฮกเกอร์สามารถใช้ประโยชน์จากช่องโหว่เหล่านี้เพื่อเข้าถึงอุปกรณ์ ทำการโจมตี Denial-of-Service (DoS) และ Remote Code Execution ได้

นักวิจัยด้านความปลอดภัยได้ระดับความรุนเเรงของช่องโหว่ 5 รายการอยู่ในระดับที่มีความรุนแรงสูง ซึ่งแฮกเกอร์สามารถใช้ประโยชน์จากการโจมตี DoS หรือการเรียกใช้โค้ดอันตรายจากระยะไกลโดยใช้ HTTP requests ที่ถูกสร้างขึ้นมาโดยเฉพาะ
ช่องโหว่รายการที่ 6 เกี่ยวข้องกับกลไกการกู้คืนรหัสผ่านและสามารถนำไปใช้เพื่อเข้าถึงอุปกรณ์ด้วยสิทธิ์ของผู้ดูแลระบบได้

Jake Baines นักวิเคราะห์ช่องโหว่ของอุปกรณ์ควบคุมทางด้านอุตสาหกรรม ของบริษัทรักษาความปลอดภัยทางไซเบอร์ผู้เชี่ยวชาญทางด้านอุตสาหกรรม Dragos ได้พูดถึงช่องโหว่ดังกล่าวข้างต้นซึ่งถูก Assigned ด้วยรหัสช่องโหว่เลขที่ CVE-2021-22763 ถึง CVE-2021-22768
ซึ่งเป็นช่องโหว่ที่ถูกพบในอุปกรณ์ EGX แต่ทางบริษัทชไนเดอร์ได้พบว่าในช่องโหว่จำนวนนี้ มี 2 ช่องโหว่ที่ยังส่งผลกระทบต่ออุปกรณ์วัดค่าพลังงาน PowerLogic PM55xx ด้วย เนื่องจากมีการใช้ Code ของ Program ร่วมกัน โดยอุปกรณ์ที่ได้รับผลกระทบเป็นส่วนหนึ่งของระบบตรวจสอบและควบคุมกำลังไฟฟ้าของบริษัท แต่หมดอายุการใช้งานแล้ว(End Of Life)

ตัวอย่างเช่นช่องโหว่ CVE-2021-22763 ซึ่งทำให้เกิด backdoor account ด้วยสิทธิ์ผู้ดูแลระบบ สามารถเข้าถึง และควบคุมเว็บเซิร์ฟเวอร์ของอุปกรณ์ ซึ่งก็จะทำให้ผู้โจมตีสามารถเข้าถึงเซิร์ฟเวอร์ ทราบ MAC Address ของอุปกรณ์นั้นๆ และเป็นที่มาของการเข้าควบคุมอุปกรณ์นั้นๆได้อย่างเต็มรูปแบบ และสามารถ Block การเชื่อมต่อจากอุปกรณ์อื่นๆที่มีการเชื่อมต่อโดยตรงกับอุปกรณ์นั้นๆได้อีกด้วย ส่วนในทำนองเดียวกัน CVE-2021-22764 ทำให้ผู้โจมตีจากระยะไกลที่ไม่ได้รับการตรวจสอบสิทธิ์สามารถส่ง HTTP requests ซึ่งจะทำให้อุปกรณ์สามารถ Block การเชื่อมต่อจากอุปกรณ์อื่นๆที่มีการเชื่อมต่อโดยตรงกับอุปกรณ์นั้นๆได้เช่นเดียวกัน

ส่วนช่องโหว่ที่ได้ระดับความรุนแรงถึง 9.8 คือช่องโหว่ stack-based buffer overflows ทำให้ผู้โจมตีจากระยะไกลที่ไม่ได้รับการตรวจสอบสิทธิ์สามารถรันโค้ดคำสั่งที่เป็นอันตรายบนอุปกรณ์ได้ ความสามารถในการรันโค้ดบนอุปกรณ์นั้นน่าสนใจเพราะจะทำให้สามารถเปลี่ยนการเชื่อมต่อระหว่าง serial device และระบบ monitoring/control

อุปกรณ์ PowerLogic EGX100 และ EGX300 ได้สิ้นสุดการซับพอต (End Of Life) ไปแล้ว ผู้ใช้สามารถเปลี่ยนผลิตภัณฑ์หรือ mitigations ตามคำแนะนำของบริษัทเพื่อลดความเสี่ยงในการถูกโจมตี

ที่มา : ehackingnews

Google Patches Critical Remote Code Execution Vulnerability in Android

แพตช์ Android ประจำเดือนมีนาคม 2021 มาแล้ว มีช่องโหว่ระดับวิกฤติ Remote Code Execution ด้วย

Google ประกาศแพตช์สำหรับ Android ประจำเดือนมีนาคม 2021 แล้วโดยในรอบนี้นั้นมีช่องทางโหว่ทั้งสิ้น 37 ช่องโหว่ที่ถูกแพตช์ และมี 6 ช่องโหว่ที่ถูกระบุความรุนแรงอยู่ในระดับวิกฤติหรือในระดับ Critical

หนึ่งจากหกช่องโหว่ที่มีความรุนแรงอยู่ในระดับวิกฤตินั้นคือ CVE-2021-0397 ซึ่งกระทบแอนดรอยด์เวอร์ชัน 8.1, 9, 10 และ 11 ใน Fluoride Bluetooth stack ของระบบ Android เอง เมื่อโจมตีช่องโหว่นี้แล้ว ผู้โจมตีจะสามารถรันโค้ดอันตรายใส่อุปกรณ์ที่มีช่องโหว่ได้จากระยะไกล ในส่วนของอีกหกช่องโหว่ระดับวิกฤติที่เหลือนั้น ทั้งหมดเป็นช่องโหว่ที่เกิดขึ้นในส่วนของโค้ดปิดที่พัฒนาโดย Qualcomm

ขอให้ผู้ใช้งานทำการติดตามแพตช์จากผู้ผลิตอุปกรณ์โดยด่วน สำหรับผู้ที่สามารถรับแพตช์ได้โดยตรงจาก Google เราขอแนะนำให้ทำการอัปเดตอุปกรณ์โดยทันที

ที่มา: securityweek

Cisco แจ้งเตือนช่องโหว่ Remote Code Execution ระดับวิกฤติกับโซลูชัน VPN หลายรายการ

Cisco ออกประกาศแจ้งเตือนช่องโหว่ Remote code execution (RCE) ซึ่งส่งผลกระทบต่อโซลูชันเราท์เตอร์ VPN หลายรายการ ช่องโหว่นี้อยู่ในระดับวิกฤติเนื่องจากผู้โจมตีสามารถรันคำสั่งอันตรายผ่านช่องโหว่ได้ด้วยสิทธิ์สูงสุดของระบบ

อ้างอิงจาก Security advisory ของ Cisco ช่องโหว่โดยส่วนใหญ่ซึ่งถูกแพตช์ในรอบนี้นั้นเกิดจากการตรวจสอบ HTTP request ที่ไม่เหมาะสม ส่งผลให้ผู้โจมตีสามารถส่งข้อมูลแบบพิเศษมาเพื่อโจมตีอุปกรณ์ได้ รายการอุปกรณ์ส่วนใหญ่อยู่ในกลุ่ม Small business router ที่มีรุ่นของเฟิร์มแวร์ก่อนหน้า 1.0.01.02 อาทิ

RV160 VPN Router
RV160W Wireless-AC VPN Router
RV260 VPN Router
RV260P VPN Router POE
RV260W Wireless-AC VPN Router

แพตช์ของช่องโหว่ได้ถูกกระจายแล้ว โดยผู้ใช้งานสามารถทำการอัปเดตแพตช์ได้ทันทีด้วยฟีเจอร์ของอุปกรณ์ เราขอแนะนำให้ทำการอัปเดตแพตช์โดยด่วนก่อนจะมีการใช้ช่องโหว่ในการโจมตีจริง

ที่มา:

bleepingcomputer.

CVE-2020-2555: RCE Through a Deserialization Bug in Oracle’s WebLogic Server

CVE-2020-2555: RCE ข้อผิดพลาดกระบวนการ Deserialization ใน Oracle WebLogic Server (09/03/2020)

นักวิจัยด้านความปลอดภัย Jang จาก VNPT ISC ได้ประกาศการค้นพบช่องโหว่ใหม่ผ่านโครงการ Zero Day Initiative (ZDI) กับไลบรารี Oracle Coherence ซึ่งใช้ใน Oracle WebLogic Server

ช่องโหว่ใหม่ล่าสุดรหัสผ่าน CVE-2020-2555 นี้เป็นช่องโหว่ Deserialization ซึ่งส่งผลให้ผู้โจมตีสามารถรันโค้ดที่เป็นอันตรายได้จากระยะไกล (Remote code execution - RCE) และมีความง่ายในการโจมตี ด้วยคุณลักษณะของช่องโหว่นี้ การประเมินความรุนแรงของช่องโหว่ด้วยเกณฑ์ CVSS จึงทำให้ช่องโหว่นี้ได้รับคะแนนสูงถึง 9.8 หรืออยู่ในระดับวิกฤติสูงสุด

ในขณะนี้ทาง Oracle ได้เผยแพร่ Patch เพื่อแก้ไขช่องโหว่แก่ Oracle Coherence ในรุ่น 3.7.1.17, 12.1.3.0.0, 12.2.1.3.0 และ 12.2.1.40 เราขอแนะนำผู้ใช้ทำการอัพเกรด Oracle Coherence โดยเร็วที่สุด และขอแนะนำให้ผู้ใช้ที่ใช้ Oracle WebLogic Server ปิดการใช้งานโปรโตคอล T3 เพื่อหลีกเลี่ยงการโจมตีที่เป็นอันตรายด้วย

ที่มา : zerodayinitiative

Critical Netgear Bug Impacts Flagship Nighthawk Router

ช่องโหว่ร้ายแรงจาก Netgear ส่งผลต่อ Router รุ่นดัง Nighthawk
Netgear กำลังคำเตือนผู้ใช้เกี่ยวกับข้อผิดพลาด remote code execution ที่สำคัญ ซึ่งอาจทำให้ผู้โจมตีที่ไม่ได้รับอนุญาตทำการควบคุมฮาร์ดแวร์ Wireless AC Router Nighthawk (R7800) ที่รันเฟิร์มแวร์เวอร์ชั่นก่อนหน้า 1.0.2.68 ได้ คำเตือนยังรวมถึงช่องโหว่อื่นๆ ได้แก่ช่องโหว่ความรุนแรงระดับสูงอีกสองตัว 21 ข้อบกพร่องที่มีระดับความรุนเเรงปานกลาง เเละอีกหนึ่งข้อบกพร่องระดับความรุนเเรงต่ำ
ช่องโหว่ remote code execution ที่สำคัญนี้ ถูกติดตามโดย Netgear ในรหัส PSV-2019-0076 ส่งผลกระทบต่อผู้ใช้ Nighthawk X4S Smart Wi-Fi Router (R7800) ที่เปิดตัวครั้งแรกในปี 2016 และยังคงมีอยู่ในปัจจุบัน Netgear ให้รายละเอียดสั้น ๆ เกี่ยวกับความเสี่ยงนี้ เพียงเเค่กระตุ้นให้ลูกค้าเยี่ยมชมหน้า online support เพื่อดาวน์โหลดตัวแก้ไข Bug เท่านั้น

ที่มา : threatpost

Active Scans for Apache Tomcat Ghostcat Vulnerability Detected, Patch Now

แพตช์ด่วน พบการสแกนหาช่องโหว่ Ghostcat สำหรับ Apache Tomcat แล้ว

ในตอนนี้พบการสแกนหาช่องโหว่สำหรับเซิร์ฟเวอร์ Apache Tomcat ที่ยังไม่ได้แก้ไขช่องโหว่ Ghostcat ที่ช่วยให้ผู้โจมตียึดเซิร์ฟเวอร์ได้จำนวนมาก

Ghostcat เป็นช่องโหว่ความเสี่ยงสูงในการเข้าถึงการอ่านไฟล์ ซึ่งถูกติดตามในชื่อ CVE-2020-1938 และมีอยู่ใน Apache JServ Protocol (AJP) ของ Apache Tomcat ตั้งแต่เวอร์ชัน 6.x จนถึง 9.x
นักพัฒนา Apache Tomcat ออกเวอร์ชัน 7.0.100, 8.5.51 และ 9.0.31 เพื่อแก้ไขช่องโหว่แล้ว อย่างไรก็ตามผู้ใช้เวอร์ชัน 6.x จะต้องอัปเกรดเป็นเวอร์ชันที่ใหม่กว่า เนื่องจากเวอร์ชั่นนี้ถึงจุดสิ้นสุดการ support แล้ว และไม่ได้รับการอัพเดทอีกต่อไป
Apache Tomcat 6, 7, 8 และ 9 ทั้งหมดที่มีช่องโหว่ AJP Connector จะถูกเปิดใช้งานตามค่าเริ่มต้น และ listening บนพอร์ต 8009
มีการเผยแพร่โค้ดสำหรับพิสูจน์เเนวความคิดการมีอยู่ของช่องโหว่ (POC) แล้ว Tenable กล่าวว่า POC สำหรับโจมตีช่องโหว่นี้ถูกเผยแพร่ทั้วไปตาม GitHub ทำให้ผู้โจมตีสามารถนำมาใช้ได้
หากคุณไม่สามารถอัปเดทหรืออัพเกรดเซิร์ฟเวอร์ของคุณเป็นรุ่น Tomcat ที่ได้รับการแก้ไขได้ทันที ทีมวิจัยของ Chaitin Tech แนะนำให้ปิดใช้งาน AJP Connector ทั้งหมด เว้นแต่ตั้งค่า requiredSecret สำหรับ AJP Connector ไว้ ซึ่งทำให้ต้องอาศัย credential ในการเชื่อมต่อ
ช่องโหว่ Ghostcat สามารถนำไปสู่การครอบครองเซิร์ฟเวอร์ได้ เนื่องจากTomcat ถือว่าการเชื่อมต่อ AJP มีความน่าเชื่อถือสูงกว่าการเชื่อมต่อ HTTP หรือการเชื่อมต่อที่คล้ายกัน หากใช้ช่องโหว่ดังกล่าวผู้โจมตีสามารถอ่านเนื้อหาของไฟล์การกำหนดค่าและไฟล์ source code ของ webapp ทั้งหมดที่ติดตั้งบน Tomcat ได้
นอกจากนี้หาก webapp อนุญาตให้ผู้ใช้อัปโหลดไฟล์ ผู้โจมตีสามารถอัปโหลดไฟล์ที่มีรหัสสคริปต์ JSP ที่เป็นอันตรายไปยังเซิร์ฟเวอร์ก่อน ตามด้วยการโจมตีช่องโหว่ Ghostcat ซึ่งในที่สุดก็สามารถส่งผลให้สามารถทำ remote code execution ได้

ที่มา : bleepingcomputer