Cybersecurity and Infrastructure Security Agency (CISA) ของสหรัฐ ออกมาเตือนถึงช่องโหว่ zero-day Zoho ManageEngine ADSelfService Plus ที่กำลังถูกนำมาใช้โจมตีอย่างแพร่หลาย

Cybersecurity and Infrastructure Security Agency (CISA) ของสหรัฐ ออกมาเตือนถึงช่องโหว่ zero-day Zoho ManageEngine ADSelfService Plus ที่กำลังถูกนำมาใช้โจมตีอย่างแพร่หลาย

ช่องโหว่ดังกล่าวมีรหัสช่องโหว่ CVE-2021-40539 ซึ่งสามารถเลี่ยงการตรวจสอบยืนยันตัวตนในส่วน REST API และสามารถเรียกใช้งานโค้ดที่เป็นอันตรายได้จากระยะไกล (remote code execution) ส่งผลกระทบต่อผลิตภัณฑ์ของ Zoho ที่ใช้งาน ADSelfService Plus 6113 รายการ

ManageEngine ADSelfService Plus คือ ส่วนที่ใช้ในการจัดการรหัสผ่าน และทำ single sign-on สำหรับ Active Directory และ app บนระบบคลาวด์ ผู้ดูแลระบบสามารถบังคับใช้ 2FA ในการเข้าสู่ระบบแอปพลิเคชัน และรีเซ็ตรหัสผ่านของผู้ใช้งาน

CISA ได้ออกมาแจ้งเตือนให้บริษัทหรือองค์กร ดำเนินการตรวจสอบและ update patch ความปลอดภัยล่าสุดกับเซิร์ฟเวอร์ ManageEngine และ ตรวจสอบที่ ADSelfService Plus ไม่ให้สามารถเข้าถึงได้โดยตรงจากอินเทอร์เน็ต

ซึ่งช่องโหว่าที่เกิดขึ้น ADSelfService Plus ยังพบมีอีก 4 ช่องโหว่ด้วยกันคือ CVE-2021-37421 (CVSS score: 9.8), CVE-2021-37417 (CVSS score: 9.8), and CVE-2021-33055 (CVSS score: 9.8) ซึ่งได้รับการแก้ไขเป็นที่เรียบร้อยแล้ว

ช่องโหว่อีก 1 รายการ CVE-2021-28958 (CVSS score: 9.8) ได้รับการแก้ไขแล้วเช่นเดียวกัน

เหตุการณ์นี้เป็นครั้งที่สองที่พบการโจมตีช่องโหว่ในผลิตภัณฑ์ของ Zoho ซึ่งก่อนหน้านี้ในเดือนมีนาคม 2020 พบว่า APT41 ใช้ประโยชน์จากช่องโหว่ RCE ใน ManageEngine Desktop Central (CVE-2020-10189, คะแนน CVSS: 9.8) เพื่อดาวน์โหลดและติดตั้ง payload ที่เป็นอันตรายภายในเครือข่ายองค์กรที่มีการใช้งาน

ที่มา: thehackernews

Hacking Any Facebook Accounts using REST API

นักวิจัยด้านความปลอดภัย Stephen Sclafani ได้ค้นพบช่องโหว่ด้านความปลอดภัยที่สำคัญบน Facebook ที่อนุญาตให้แฮกเกอร์สามารถเข้าถึงบัญชีใดๆ ก็ได้ เพียงแค่ใช้ User ID ของเหยื่อ จากนั้นเขาสามารถอ่านข้อความส่วนตัว, ดูที่อยู่อีเมล์, สร้างหรือลบบันทึก รวมถึงเขาสามารถอัพเดตสถานะ, อัปโหลดภาพถ่ายและแท็กชื่อเพื่อนของเหยื่อได้
โดยเขาอธิบายในบล็อกของเขาว่า "misconfigured endpoint" อนุญาตให้ REST API เดิม เรียกใช้ facebook ในนามของผู้ใช้ใดๆ ก็ได้ โดยใช้เพียง User ID ของเหยื่อ

Stephen พบปัญหานี้ในวันที่ 23 เมษายนที่ผ่านมา และรายงานไปที่ Facebook และทาง Facebook ได้ทำการแก้ไขข้อผิดพลาดในวันที่ 30 เมษายน สำหรับการค้นหาและการรายงานข้อผิดพลาดดังกล่าว ทาง Facebook ได้มอบเงินรางวัลให้กับ Stephen จำนวน 20,000 ดอลล่าร์

ที่มา : ehackingnews