นักวิจัยของ Unit 42 หน่วยงานวิจัยด้านความปลอดภัยของ Palo Alto Networks ได้ออกเผยแพร่รายงานการพบช่องโหว่บน jsonwebtoken (JWT) ที่มีหมายเลข CVE-2022-23529 ซึ่งส่งผลให้ Hackers ที่สามารถโจมตีได้สำเร็จสามารถสั่งรันโค้ดที่เป็นอันตรายจากระยะไกลได้

CVE-2022-23529 (คะแนน CVSS: 7.6 ระดับความรุนแรงสูง) เป็นช่องโหว่ของ JSON web token (JWT) ที่สามารถสั่งรันโค้ดที่เป็นอันตรายจากระยะไกล (Remote Code Execution RCE) บนเซิร์ฟเวอร์เป้าหมายได้

jsonwebtoken ถูกพัฒนาและดูแลโดย Auth0 ของ Okta โดยเป็นโมดูล JavaScript ที่ช่วยให้ผู้ใช้สามารถถอดรหัส ตรวจสอบ และสร้างโทเค็นเว็ป JSON เพื่อเป็นวิธีการส่งข้อมูลอย่างปลอดภัยระหว่างสองฝ่าย เพื่อการตรวจสอบสิทธิ์การใช้งาน และการตรวจสอบความถูกต้อง โดยมีการดาวน์โหลดไปแล้วมากกว่า 10 ล้านครั้งต่อสัปดาห์ใน npm software และมีการใช้งานมากกว่า 22,000 โครงการ

การโจมตี

Hackers จะทำการโจมตีบนเซิร์ฟเวอร์เป้าหมายผ่านทาง jsonwebtoken ที่มีช่องโหว่ เพื่อสั่งรันโค้ดที่เป็นอันตรายจากระยะไกล รวมไปถึงการเขียนข้อมูลทับ หรือเข้ารหัสไฟล์บนเครื่องที่ถูกโจมตีผ่านทาง secret management process โดยใช้ secretOrPublicKey value ที่มีช่องโหว่

jsonwebtoken เวอร์ชันที่ได้รับผลกระทบ

jsonwebtoken ตั้งแต่เวอร์ชัน 8.5.1 ลงไป

วิธีการป้องกัน

ดำเนินการอัปเดตเป็น jsonwebtoken เวอร์ชัน 9.0.0 เพื่อป้องกันความเสี่ยงจากการถูกโจมตี

ที่มา : thehackernews

SOPHOS แจ้งเตือนช่องโหว่ RCE บน Firewall ที่กำลังถูกนำมาใช้โจมตีอยู่ในปัจจุบัน

Sophos ออกมาแจ้งเตือนช่องโหว่ RCE (remote code execution) ระดับ critical ใน Firewall ของตน โดยช่องโหว่ดังกล่าวกำลังถูกใช้ในการโจมตีกลุ่มเป้าหมายองค์กรในภูมิภาคเอเชียใต้ โดยทาง Sophos ได้แจ้งเตือนไปยังองค์กรเหล่านี้โดยตรงเรียบร้อยแล้ว

โดยช่องโหว่นี้มีหมายเลข CVE-2022-3236 เป็นช่องโหว่บน User Portal และ Webadmin ของ Sophos Firewall ซึ่งสามารถทำให้ผู้โจมตีสั่งรันโค้ดที่เป็นอันตรายจากระยะไกลได้ (remote code execution)

โดย Sophos ระบุว่าได้ปล่อย hotfixes สำหรับแก้ไขปัญหาเบื้องต้นให้กับ Sophos Firewall เวอร์ชันที่ได้รับผลกระทบแล้ว (v19.0 MR1 (19.0.1) และเก่ากว่า) ซึ่งจะได้รับการอัปเดตโดยอัตโนมัติหากมีการเปิดการตั้งค่าอัปเดตอัตโนมัติไว้ แต่ผู้ใช้งาน Sophos Firewall เวอร์ชันเก่าจะต้องอัปเกรดเป็นเวอร์ชันที่รองรับเพื่อที่จะสามารถอัปเดตแพตช์ของ CVE-2022-3236 ได้

Sophos ยังแนะนำวิธีแก้ปัญหาสำหรับผู้ใช้งานที่ยังไม่สามารถอัปเดตอุปกรณ์ที่มีช่องโหว่ได้ในทันที โดยแนะนำให้ไม่ควรเปิดให้เข้าถึง User Portal และ Webadmin ของ Sophos Firewall ได้โดยตรงจากภายนอก

ก่อนหน้านี้ Sophos Firewall เคยพบช่องโหว่ระดับ Critical มาแล้วในเดือนมีนาคม โดยช่องโหว่ดังกล่าวมีหมายเลข CVE-2022-1040 ซึ่งเป็นช่องโหว่บน User Portal และ Webadmin เช่นเดียวกัน ซึ่งสามารถทำให้ผู้โจมตี bypass การตรวจสอบสิทธิ์ และสั่งรันโค้ดที่เป็นอันตรายได้ตามที่ต้องการ

เช่นเดียวกับ CVE-2022-3236 ข้อมูลจาก Volexity ระบุว่า ช่องโหว่ดังกล่าวถูกใช้โจมตีโดยมุ่งเป้าไปที่องค์กรจากเอเชียใต้เป็นหลัก ซึ่งมีข้อมูลว่ากลุ่ม DriftingCloud กลุ่มผู้โจมตีสัญญาติจีนใช้ประโยชน์จากช่องโหว่ CVE-2022-1040 มาตั้งแต่ต้นเดือนมีนาคม ประมาณสามสัปดาห์ก่อนที่ Sophos จะออกอัปเดตแพตช์

ผู้โจมตียังใช้การโจมตีในรูปแบบ SQL injection กับ XG Firewall มาตั้งแต่ต้นปี 2020 โดยมีเป้าหมายในการขโมยข้อมูลที่สำคัญ เช่น ชื่อผู้ใช้ และรหัสผ่าน ซึ่งเป็นส่วนหนึ่งของการโจมตีเพื่อติดตั้งมัลแวร์ Asnarök เพื่อพยายามขโมยข้อมูลสำคัญบนไฟร์วอลล์จากอินสแตนซ์ของ XG Firewall ที่มีช่องโหว่

Zero-day ในลักษณะเดียวกันนี้ก็เคยถูกใช้เพื่อแพร่กระจาย Ragnarok ransomware payloads ไปยังองค์กรที่ใช้ระบบปฏิบัติการ Windows อีกด้วย

ที่มา : www.

Spring ได้ออกแพตซ์อัปเดตเร่งด่วนเพื่อแก้ไขช่องโหว่ Zero-day remote code execution ของ 'Spring4Shell' ซึ่งก่อนหน้านี้มีข้อมูลรายละเอียดของช่องโหว่ และโค้ดที่ใช้การโจมตีถูกปล่อยออกมา ก่อนที่จะมีแพตช์อัปเดตเพื่อแก้ไขช่องโหว่ดังกล่าว

เมื่อวานนี้ (30 มีนาคม 2022) มีการพบ exploit code ที่ใช้สำหรับโจมตีช่องโหว่ remote code execution ใน Spring Framework ที่มีชื่อว่า 'Spring4Shell' มีการเผยแพร่อยู่บน GitHub และได้ถูกลบออกไปแล้ว อย่างไรก็ตามข้อมูลได้ถูกแชร์ออกไปอย่างรวดเร็ว และได้มีการทดสอบโดยนักวิจัยด้านความปลอดภัย ซึ่งยืนยันว่าสามารถใช้ในการโจมตีได้จริง

Spring ได้ออกคำแนะนำด้านความปลอดภัยโดยแจ้งว่าช่องโหว่นี้ (CVE-2022-22965) จะส่งผลกระทบต่อแอปพลิเคชัน Spring MVC และ Spring WebFlux ใน JDK 9

การโจมตีช่องโหว่ดังกล่าวต้องใช้ Apache Tomcat, แอปพลิเคชันแพ็คเกจ WAR และ "spring-webmvc หรือ spring-webflux" dependencies

ช่องโหว่ดังกล่าวส่งผลกระทบกับแอปพลิเคชัน Spring MVC และ Spring WebFlux ที่ทำงานบน JDK 9+ ซึ่งการโจมตีจะสำเร็จได้ก็ต่อเมื่อ แอปพลิเคชันที่ทำงานบน Tomcat ที่ถูกติดตั้งในรูปแบบ WAR

หากแอปพลิเคชันถูกติดตั้งเป็น Jar เป็นค่าเริ่มต้น จะไม่มีความเสี่ยงต่อการถูกโจมตี อย่างไรก็ตามช่องโหว่ดังกล่าวมีรายละเอียดที่ค่อนข้างกว้าง และอาจมีวิธีอื่นในการใช้ประโยชน์จากช่องโหว่ดังกล่าว (more…)

มีการเปิดเผยข้อมูลของช่องโหว่ Zero-day ตัวใหม่ใน Spring Core Java framework ที่มีชื่อว่า 'Spring4Shell' ซึ่งทำให้ผู้โจมตีสั่งรันโค้ดที่เป็นอันตรายได้จากระยะไกล (Remote code execution) ได้โดยไม่ต้องมีการตรวจสอบสิทธิ์บนแอปพลิเคชัน

Spring เป็น Application framework ยอดนิยมที่ช่วยให้นักพัฒนาซอฟต์แวร์พัฒนาแอปพลิเคชัน Java ได้อย่างรวดเร็ว แอปพลิเคชันเหล่านี้สามารถนำไปใช้งานบนเซิร์ฟเวอร์ เช่น Apache Tomcat ในลักษณะ Stand-alone packages ได้

โดยเมื่อวานนี้ (29 มีนาคม 2022) ได้มีการเปิดเผยช่องโหว่ของ Spring Cloud Function ซึ่งมีหมายเลขช่องโหว่คือ CVE-2022-22963 โดยคาดว่าน่าจะมี POC Exploit ถูกปล่อยตามออกมาในเร็วๆนี้

อย่างไรก็ตาม มีการพบข้อมูลเกี่ยวกับช่องโหว่ Remote code execution ของ Spring Core ที่ร้ายแรงกว่านั้นถูกเผยแพร่ใน QQ chat service และเว็บไซต์ด้าน Cybersecurity ของจีนในเวลาต่อมา

ในวันนี้ (30 มีนาคม 2022) Exploit code ของช่องโหว่ Zero-Day ดังกล่าวได้ถูกปล่อยออกมาในช่วงระยะเวลาหนึ่งก่อนที่จะถูกลบออกไป แต่นักวิจัยด้านความปลอดภัยทางไซเบอร์บางคนสามารถดาวน์โหลดโค้ดไว้ได้ทัน และในเวลาต่อมานักวิจัยด้านความปลอดภัยทางไซเบอร์และบริษัทรักษาความปลอดภัยจำนวนมากได้ยืนยันว่าข้อมูลช่องโหว่นั้นถูกต้อง และเป็นเรื่องที่น่ากังวลอย่างมาก

(more…)

Microsoft ได้ออกมาแนะนำวิธีการรับมือเบื้องต้นสำหรับช่องโหว่ การรันคำสั่งที่เป็นอันตรายจากระยะไกล (Remote Code Execution) ที่ถูกใช้งานในการโจมตี Office 365 และ Office 2019 บน Windows 10

ช่องโหว่นี้เกิดขึ้นที่ MSHTML ซึ่งเป็น Browser Rendering Engine ที่ถูกใช้โดยเอกสาร Microsoft Office

โดยการโจมตี Office 365 นี้ ถูกจัดให้เป็นช่องโหว่หมายเลข CVE-2021-40444 ซึ่งมีผลกระทบกับ Windows Server เวอร์ชัน 2008 จนถึง 2019 และ Windows 8.1 จนถึง Windows 10 โดยมีระดับความรุนแรงที่ 8.8 จากระดับสูงสุด 10

Microsoft พบว่าผู้ที่ใช้ช่องโหว่นี้จะทำการส่งไฟล์เอกสาร Microsoft Office ที่ถูกสร้างขึ้นเป็นพิเศษไปให้เหยื่อ

“ผู้โจมตีจะสร้าง ActiveX ที่มีโค้ดอันตราย ซึ่งจะถูกเรียกใช้ผ่านเอกสาร Microsoft Office ที่ใช้งาน Browser Rendering Engine อีกที โดยผู้โจมตีจะพยายามโน้มน้าวเหยื่อให้เปิดไฟล์เอกสารเพื่อให้โค้ดอันตรายที่ถูกฝังไว้ทำงาน” - Microsoft กล่าว

อย่างไรก็ตาม การโจมตีจะไม่สำเร็จหาก Microsoft Office ตั้งค่าที่เป็นค่าเริ่มต้น ซึ่งจะทำให้เอกสารที่เปิดจากเว็บนั้นถูกเปิดในโหมด Protected View หรือในผู้ใช้งานมีการใช้ Application Guard for Office 365 การโจมตีจะไม่สำเร็จเช่นกัน

Protected View เป็นโหมดอ่านอย่างเดียว (Read-Only) ที่จะทำให้ฟังก์ชันสำหรับการแก้ไขเอกสารถูกปิดไว้ ในขณะที่ Application Guard นั้นจะแยกไฟล์เอกสารที่ไม่น่าเชื่อถือไว้ ไม่ให้สามารถเข้าถึงระบบภายในขององค์กรได้

ระบบที่มีการเปิดใช้งาน Microsoft Defender Antivirus และ Defender for Endpoint (build 1.349.22.0 เป็นต้นไป) จะได้รับการป้องกันจากช่องโหว่ CVE-2021-40444 โดยแพลตฟอร์ม Microsoft's enterprise security จะแจ้งเตือนการโจมตีด้วยช่องโหว่นี้ด้วยชื่อ "Suspicious Cpl File Execution.

นักวิจัยด้านความปลอดภัยทางไซเบอร์ที่ Software Secured บริษัทสัญชาติแคนาดาระบุช่องโหว่ร้ายแรงใน Less.

เมื่อต้นเดือนมิถุนายนที่ผ่านมา ชไนเดอร์ อิเล็คทริค ซัพพลายเออร์ระดับโลกด้านการจัดหาโซลูชันดิจิทัลด้านพลังงาน และระบบอัตโนมัติ ได้เผยแพร่คำแนะนำด้านความปลอดภัยสำหรับลูกค้าที่ระบุถึงการค้นพบช่องโหว่ 6 รายการใน PowerLogic EGX100 และ EGX300 communication gateways ทำให้แฮกเกอร์สามารถใช้ประโยชน์จากช่องโหว่เหล่านี้เพื่อเข้าถึงอุปกรณ์ ทำการโจมตี Denial-of-Service (DoS) และ Remote Code Execution ได้

นักวิจัยด้านความปลอดภัยได้ระดับความรุนเเรงของช่องโหว่ 5 รายการอยู่ในระดับที่มีความรุนแรงสูง ซึ่งแฮกเกอร์สามารถใช้ประโยชน์จากการโจมตี DoS หรือการเรียกใช้โค้ดอันตรายจากระยะไกลโดยใช้ HTTP requests ที่ถูกสร้างขึ้นมาโดยเฉพาะ
ช่องโหว่รายการที่ 6 เกี่ยวข้องกับกลไกการกู้คืนรหัสผ่านและสามารถนำไปใช้เพื่อเข้าถึงอุปกรณ์ด้วยสิทธิ์ของผู้ดูแลระบบได้

Jake Baines นักวิเคราะห์ช่องโหว่ของอุปกรณ์ควบคุมทางด้านอุตสาหกรรม ของบริษัทรักษาความปลอดภัยทางไซเบอร์ผู้เชี่ยวชาญทางด้านอุตสาหกรรม Dragos ได้พูดถึงช่องโหว่ดังกล่าวข้างต้นซึ่งถูก Assigned ด้วยรหัสช่องโหว่เลขที่ CVE-2021-22763 ถึง CVE-2021-22768
ซึ่งเป็นช่องโหว่ที่ถูกพบในอุปกรณ์ EGX แต่ทางบริษัทชไนเดอร์ได้พบว่าในช่องโหว่จำนวนนี้ มี 2 ช่องโหว่ที่ยังส่งผลกระทบต่ออุปกรณ์วัดค่าพลังงาน PowerLogic PM55xx ด้วย เนื่องจากมีการใช้ Code ของ Program ร่วมกัน โดยอุปกรณ์ที่ได้รับผลกระทบเป็นส่วนหนึ่งของระบบตรวจสอบและควบคุมกำลังไฟฟ้าของบริษัท แต่หมดอายุการใช้งานแล้ว(End Of Life)

ตัวอย่างเช่นช่องโหว่ CVE-2021-22763 ซึ่งทำให้เกิด backdoor account ด้วยสิทธิ์ผู้ดูแลระบบ สามารถเข้าถึง และควบคุมเว็บเซิร์ฟเวอร์ของอุปกรณ์ ซึ่งก็จะทำให้ผู้โจมตีสามารถเข้าถึงเซิร์ฟเวอร์ ทราบ MAC Address ของอุปกรณ์นั้นๆ และเป็นที่มาของการเข้าควบคุมอุปกรณ์นั้นๆได้อย่างเต็มรูปแบบ และสามารถ Block การเชื่อมต่อจากอุปกรณ์อื่นๆที่มีการเชื่อมต่อโดยตรงกับอุปกรณ์นั้นๆได้อีกด้วย ส่วนในทำนองเดียวกัน CVE-2021-22764 ทำให้ผู้โจมตีจากระยะไกลที่ไม่ได้รับการตรวจสอบสิทธิ์สามารถส่ง HTTP requests ซึ่งจะทำให้อุปกรณ์สามารถ Block การเชื่อมต่อจากอุปกรณ์อื่นๆที่มีการเชื่อมต่อโดยตรงกับอุปกรณ์นั้นๆได้เช่นเดียวกัน

ส่วนช่องโหว่ที่ได้ระดับความรุนแรงถึง 9.8 คือช่องโหว่ stack-based buffer overflows ทำให้ผู้โจมตีจากระยะไกลที่ไม่ได้รับการตรวจสอบสิทธิ์สามารถรันโค้ดคำสั่งที่เป็นอันตรายบนอุปกรณ์ได้ ความสามารถในการรันโค้ดบนอุปกรณ์นั้นน่าสนใจเพราะจะทำให้สามารถเปลี่ยนการเชื่อมต่อระหว่าง serial device และระบบ monitoring/control

อุปกรณ์ PowerLogic EGX100 และ EGX300 ได้สิ้นสุดการซับพอต (End Of Life) ไปแล้ว ผู้ใช้สามารถเปลี่ยนผลิตภัณฑ์หรือ mitigations ตามคำแนะนำของบริษัทเพื่อลดความเสี่ยงในการถูกโจมตี

ที่มา : ehackingnews

แพตช์ Android ประจำเดือนมีนาคม 2021 มาแล้ว มีช่องโหว่ระดับวิกฤติ Remote Code Execution ด้วย

Google ประกาศแพตช์สำหรับ Android ประจำเดือนมีนาคม 2021 แล้วโดยในรอบนี้นั้นมีช่องทางโหว่ทั้งสิ้น 37 ช่องโหว่ที่ถูกแพตช์ และมี 6 ช่องโหว่ที่ถูกระบุความรุนแรงอยู่ในระดับวิกฤติหรือในระดับ Critical

หนึ่งจากหกช่องโหว่ที่มีความรุนแรงอยู่ในระดับวิกฤตินั้นคือ CVE-2021-0397 ซึ่งกระทบแอนดรอยด์เวอร์ชัน 8.1, 9, 10 และ 11 ใน Fluoride Bluetooth stack ของระบบ Android เอง เมื่อโจมตีช่องโหว่นี้แล้ว ผู้โจมตีจะสามารถรันโค้ดอันตรายใส่อุปกรณ์ที่มีช่องโหว่ได้จากระยะไกล ในส่วนของอีกหกช่องโหว่ระดับวิกฤติที่เหลือนั้น ทั้งหมดเป็นช่องโหว่ที่เกิดขึ้นในส่วนของโค้ดปิดที่พัฒนาโดย Qualcomm

ขอให้ผู้ใช้งานทำการติดตามแพตช์จากผู้ผลิตอุปกรณ์โดยด่วน สำหรับผู้ที่สามารถรับแพตช์ได้โดยตรงจาก Google เราขอแนะนำให้ทำการอัปเดตอุปกรณ์โดยทันที

ที่มา: securityweek

Cisco ออกประกาศแจ้งเตือนช่องโหว่ Remote code execution (RCE) ซึ่งส่งผลกระทบต่อโซลูชันเราท์เตอร์ VPN หลายรายการ ช่องโหว่นี้อยู่ในระดับวิกฤติเนื่องจากผู้โจมตีสามารถรันคำสั่งอันตรายผ่านช่องโหว่ได้ด้วยสิทธิ์สูงสุดของระบบ

อ้างอิงจาก Security advisory ของ Cisco ช่องโหว่โดยส่วนใหญ่ซึ่งถูกแพตช์ในรอบนี้นั้นเกิดจากการตรวจสอบ HTTP request ที่ไม่เหมาะสม ส่งผลให้ผู้โจมตีสามารถส่งข้อมูลแบบพิเศษมาเพื่อโจมตีอุปกรณ์ได้ รายการอุปกรณ์ส่วนใหญ่อยู่ในกลุ่ม Small business router ที่มีรุ่นของเฟิร์มแวร์ก่อนหน้า 1.0.01.02 อาทิ

RV160 VPN Router
RV160W Wireless-AC VPN Router
RV260 VPN Router
RV260P VPN Router POE
RV260W Wireless-AC VPN Router

แพตช์ของช่องโหว่ได้ถูกกระจายแล้ว โดยผู้ใช้งานสามารถทำการอัปเดตแพตช์ได้ทันทีด้วยฟีเจอร์ของอุปกรณ์ เราขอแนะนำให้ทำการอัปเดตแพตช์โดยด่วนก่อนจะมีการใช้ช่องโหว่ในการโจมตีจริง

ที่มา:

bleepingcomputer.

CVE-2020-2555: RCE ข้อผิดพลาดกระบวนการ Deserialization ใน Oracle WebLogic Server (09/03/2020)

นักวิจัยด้านความปลอดภัย Jang จาก VNPT ISC ได้ประกาศการค้นพบช่องโหว่ใหม่ผ่านโครงการ Zero Day Initiative (ZDI) กับไลบรารี Oracle Coherence ซึ่งใช้ใน Oracle WebLogic Server

ช่องโหว่ใหม่ล่าสุดรหัสผ่าน CVE-2020-2555 นี้เป็นช่องโหว่ Deserialization ซึ่งส่งผลให้ผู้โจมตีสามารถรันโค้ดที่เป็นอันตรายได้จากระยะไกล (Remote code execution - RCE) และมีความง่ายในการโจมตี ด้วยคุณลักษณะของช่องโหว่นี้ การประเมินความรุนแรงของช่องโหว่ด้วยเกณฑ์ CVSS จึงทำให้ช่องโหว่นี้ได้รับคะแนนสูงถึง 9.8 หรืออยู่ในระดับวิกฤติสูงสุด

ในขณะนี้ทาง Oracle ได้เผยแพร่ Patch เพื่อแก้ไขช่องโหว่แก่ Oracle Coherence ในรุ่น 3.7.1.17, 12.1.3.0.0, 12.2.1.3.0 และ 12.2.1.40 เราขอแนะนำผู้ใช้ทำการอัพเกรด Oracle Coherence โดยเร็วที่สุด และขอแนะนำให้ผู้ใช้ที่ใช้ Oracle WebLogic Server ปิดการใช้งานโปรโตคอล T3 เพื่อหลีกเลี่ยงการโจมตีที่เป็นอันตรายด้วย

ที่มา : zerodayinitiative