Cisco Releases Security Updates for Multiple Products

 

Cisco ออกเเพตซ์เเก้ไขช่องโหว่ 34 รายการในซอฟต์แวร์ Cisco IOS และ Cisco IOS XE

Cisco ได้เปิดตัวแพตช์ความปลอดภัยสำหรับช่องโหว่ที่มีความรุนแรงสูง 34 รายการ ซึ่งช่องโหว่จะส่งผลกระทบต่อซอฟต์แวร์ Cisco IOS และ Cisco IOS XE ที่อยู่ในผลิตภัณฑ์ Firewall, Wireless Access Point, Switch ของ Cisco โดยช่องโหว่ที่มีสำคัญมีรายละเอียดดังนี้

CVE-2020-3141 และ CVE-2020-3425 (CVSS: 8.8/10) เป็นช่องโหว่ประเภท Privilege Escalation ช่องโหว่อาจทำให้ผู้โจมตีจากระยะไกลที่ได้รับการรับรองความถูกต้องและมีสิทธิ์แบบ read-only สามารถยกระดับสิทธิ์ขึ้นเป็นระดับผู้ใช้ผู้ดูแลระบบบนอุปกรณ์ที่ได้รับผลกระทบ
CVE-2020-3400 (CVSS: 8.8/10) ช่องโหว่อาจทำให้ผู้โจมตีจากระยะไกลที่ได้รับการพิสูจน์ตัวคนใช้ประโยชน์จากส่วนต่างๆ ของ Web UI โดยไม่ได้รับอนุญาต โดยผู้โจมตีสามารถใช้ประโยชน์จากการส่ง HTTP request ที่ถูกสร้างมาเป็นพิเศษไปยัง Web UI เมื่อการใช้ช่องโหว่ประสบความสำเร็จผู้โจมตีสามารถดำเนินการบน Web UI ได้เช่นเดียวกับผู้ดูแลระบบ
CVE-2020-3421 และ CVE-2020-3480 (CVSS: 8.6/10) ช่องโหว่อาจทำให้ผู้โจมตีจากระยะไกลที่ไม่ได้รับการตรวจสอบสิทธิ์ทำให้อุปกรณ์รีโหลดข้อมูลหรือหยุดส่งการรับส่งข้อมูลผ่านไฟร์วอลล์ ซึ่งอาจจะทำให้เกิดการปฏิเสธการให้บริการ (DoS) บนอุปกรณ์
Cisco ได้ออกคำเเนะนำให้ผู้ดูแลระบบทำการอัปเดตเเพตซ์ความปลอดภัยให้เป็นเวอร์ชันล่าสุดเพื่อเป็นการป้องกันผู้ประสงค์ร้ายใช้ประโยชน์จากช่องโหว่ทำการโจมตีระบบ ทั้งนี้ผู้ที่สนใจรายละเอียดการอัปเดตเเพตซ์เพิ่มเติมสามารถดูได้จากเเหล่งที่มา

ที่มา: tools.

Fortinet VPN with Default Settings Leave 200,000 Businesses Open to Hackers

Default Setting ใน Fortinet VPN อาจทำให้องค์กรมากว่า 200,000 องค์กรมีความเสี่ยงจากการถูกโจมตี

ผู้เชี่ยวชาญจาก SAM Seamless Network ได้เปิดเผยถึงความเสี่ยงจากการใช้ Certificate ด้วยค่าเริ่มต้นที่อาจส่งผลให้บริษัทและองค์กรกว่า 200,000 แห่งถูกโจมตีและอาจได้รับผลกระทบจากการใช้ Fortigate VPN ซึ่งอาจทำให้ผู้โจมตีสามารถใช้ SSL Certificate ที่ถูกต้องทำการโจมตีแบบ Man-in-the-Middle attack (MitM) ในการเชื่อมต่อและยังสามารถเข้าควบคุมการเชื่อมต่อได้

ผู้เชี่ยวชาญกล่าวว่าไคลเอนต์ Fortigate SSL-VPN จะตรวจสอบเฉพาะ CA ที่ออกโดย Fortigate หรือ CA ที่เชื่อถือได้อื่น ซึ่งเมื่อผู้โจมตีนำ Certificate จากเราเตอร์ Fortigate ใดๆก็ได้ ที่มี signed เริ่มต้นที่แถมมาให้ใช้กับหมายเลขซีเรียลของเราเตอร์ โดยผู้โจมตีสามารถนำ SSL Certificate ที่ได้มาใช้โจมตีในรูปแบบ MITM ได้เนื่องจากไคลเอนต์ของ Fortinet ไม่ได้ตรวจสอบชื่อเซิร์ฟเวอร์ ซึ่งหมายความว่า Certificate ที่ผู้โจมตีนำมาใช้นั้นจะสามารถใช้ trusted CA ได้และผู้โจมตียังสามารถกำหนดทราฟฟิกการรับส่งข้อมูลไปยังเซิร์ฟเวอร์ของผู้โจมตีได้

ปัจจุบัน Fortinet แถลงว่าเหตุการณ์นี้ไม่ใช่ช่องโหว่ โดยในคู่มือการติดตั้งของ Fortinet ได้ระบุให้มีเปลี่ยน Certificate ที่เป็นค่าเริ่มต้น และ Fortinet มีคำเตือนเมื่อผู้ใช้ใช้ Certificate ที่เป็นค่าเริ่มต้นอยู่แล้ว ซึ่งผู้ใช้งานควรทำการเปลี่ยน Certificate เพื่อป้องกันการถูกโจมตี

ที่มา: thehackernews.

Twitter is warning devs that API keys and tokens may have leaked

ทวิตเตอร์แจ้งเตือนบั๊กซึ่งอาจส่งให้ผลให้ข้อมูล API key และ token หลุด

Twitter มีการส่งอีเมลแจ้งเตือนไปยังกลุ่มนักพัฒนาซึ่งมีการสร้างและใช้งาน API key ของแพลตฟอร์มเมื่อสัปดาห์ที่ผ่านมาหลังจากตรวจพบว่าที่หน้าเพจ developer.

Airbnb Accounts Exposed to Hijacking Due to Phone Number Recycling

บัญชี Airbnb อาจถูก Hijacking ได้โดยการใช้เบอร์โทรที่ถูกรีไซเคิลแล้วนำมาสมัครสมาชิก

SecurityWeek ได้รับการติดต่อจากผู้ใช้ที่มีชื่อว่า Maya ถึงเรื่องช่องโหว่ใน Airbnb ที่อาจทำให้ถูก Hijacking บัญชีได้จากการใช้เบอร์โทรศัพท์ที่ถูกรีไซเคิลแล้วนำมาสมัคสมาชิกบัญชี Airbnb ใหม่

ช่องโหว่ถูกค้นพบโดยบังเอิญจากสามีของเธอซึ่งได้ทำการที่จะสร้างบัญชี Airbnb โดยหลังจากป้อนหมายเลขโทรศัพท์ระหว่างขั้นตอนการลงทะเบียนบัญชี ซึ่งหลังจากการป้อนหมายเลขที่ได้รับซึ่งเป็นรหัส 4 หลักทาง SMS แล้วเข้าสู่บัญชี แต่สิ่งที่เขาได้รับคือการเข้าสู่บัญชีของเจ้าของหมายเลขโทรศัพท์คนก่อน โดยบัญชีที่พวกเขาเข้าถึงโดยบังเอิญเป็นของผู้หญิงคนหนึ่งจากนอร์ทแคโรไลนาซึ่งภายในบัญชีมีข้อมูลเช่น รูปถ่าย, ที่อยู่, อีเมล, หมายเลขโทรศัพท์และข้อมูลส่วนบุคคลอื่นๆ นอกจากนี้บัญชีนี้ยังคงมีบัตรเครดิตที่สามารถชำระเงินได้อยู่ทำให้สามารถจองห้องได้ในนามของผู้ใช้คนก่อนได้โดยใช้บัตรที่อยู่ภายในบัญชี

หลังจากพบช่องโหว่ Maya ได้ทำการติดต่อ Airbnb และอธิบายสิ่งที่พบเพื่อให้ Airbnb เเก้ไขช่องโหว่นี้ โดย Airbnb ได้ทำการเเก้ไขปัญหานี้แล้วและยังได้ระบุว่ามีผู้ใช้จำนวนน้อยมากเท่านั้นที่ได้รับผลกระทบจากช่องโหว่นี้

ที่มา: securityweek.

Microsoft: Hackers using Zerologon exploits in attacks, patch now!

Patch Now: Microsoft แจ้งเตือนถึงการพบกลุ่มแฮกเกอร์เริ่มใช้ช่องโหว่ Zerologon ทำการโจมตีแล้ว

Microsoft ออกคำเเจ้งเตือนถึงการพบผู้โจมตีกำลังใช้ประโยชน์จากช่องโหว่ CVE-2020-1472 (Zerologon) และได้ออกคำแนะนำให้ผู้ดูแลระบบทำการติดตั้งแพตซ์อัปเดตด้านความปลอดภัยโดยด่วน

ช่องโหว่ CVE 2020-1472 (Zerologon) เป็นช่องโหว่การเข้ารหัสใน Microsoft Windows Netlogon Remote Protocol (MS-NRPC หรือ NRPC) ซึ่งทำให้เมื่อผู้โจมตีเข้าถึง Network ภายในองค์กรได้ ผู้โจมตีจะสามารถปลอมเป็นเครื่องใดๆ ใน Domain รวมถึง Domain Controller และสามารถส่งคำขอเพื่อเปลี่ยนรหัสผ่านของ Domain Controller เป็นค่าว่างได้ ซึ่งการทำงานในลักษณะนี้จึงทำให้ช่องโหว่สามารถนำไปสู่การยึดครองเครื่อง Domain Controller หรือทำ DCSync เพื่อ Dump Password Hash ออกมาได้

Microsoft ได้ทำการติดตามกิจกรรมของผู้คุกคามที่ใช้ช่องโหว่ CVE 2020-1472 (Zerologon) ซึ่งพบว่ามีเริ่มมีกลุ่มแฮกเกอร์ใช้ประโยชน์จากช่องโหว่นี้ทำการโจมตีผู้ใช้ โดย Microsoft ได้ออกได้ออกคำเเนะนำให้ผู้ใช้ทำการอัปเดตเเพตซ์เพื่อเเก้ไขช่องโหว่อย่างเร่งด่วนเพื่อป้องกันการใช้ประโยชน์จากช่องโหว่ทำการโจมตีระบบ

ที่มา: bleepingcomputer.

Instagram bug allowed crashing the app via image sent to device

ช่องโหว่บน Instagram ที่จะทำให้แฮกเกอร์สามารถเข้าถึงโทรศัพท์ของผู้ใช้ได้จากระยะไกล

Gal Elbaz นักวิจัยของ Check Point ได้เปิดเผยรายละเอียดเกี่ยวกับช่องโหว่ที่สำคัญในแอปพลิเคชัน Instagram สำหรับ Android และ iOS โดยช่องโหว่จะทำให้ผู้ประสงค์ร้ายสามารถเข้าถึงอุปกรณ์และเข้าความคุมบัญชี Instagram และโทรศัพท์ของผู้ใช้ได้จากระยะไกล

ช่องโหว่ถูกติดตามด้วยรหัส CVE-2020-189 เป็นช่องโหว่ heap buffer overflow ที่อยู่ในการประมวลผลรูปภาพ ช่องโหว่เกิดจากเมื่อ Instagram ใช้ third-party โค้ดที่ชื่อ Mozjpeg ซึ่งเป็นไลบรารีตัวเข้ารหัส JPEG แบบโอเพนซอร์สซึ่งมีจุดมุ่งหมายเพื่อลดแบนด์วิดท์และให้การบีบอัดที่ดีขึ้นสำหรับรูปภาพที่อัปโหลด ซึ่ง Check Point พบว่าฟังก์ชันการจัดการขนาดรูปภาพเมื่อแยกวิเคราะห์ภาพ JPEG มีข้อผิดพลาดที่ทำให้เกิดปัญหา integer overflow ระหว่างกระบวนการคลายการบีบอัด โดยสิ่งนี้จะทำให้ผู้โจมตีสามารถส่งรูปที่ถูกสร้างมาเป็นพิเศษไปยังเหยื่อ เช่นทางอีเมล, WhatsApp, SMS หรือบริการส่งข้อความอื่นๆ ซึ่งเมื่อผู้ใช้ทำการบันทึกรูปภาพและเปิดแอป Instagram การใช้ประโยชน์จากช่องโหว่จะเริ่มขึ้นทำให้ผู้โจมตีสามารถเข้าถึงบัญชี Instagram ของผู้ใช้, โทรศัพท์ของผู้ใช้ได้จากระยะไกลและยังสามารถทำให้แอป Instagram ของผู้ที่ตกเป็นเหยื่อ Crash ได้เว้นเเต่ผู้ใช้จะทำการลบทิ้งแล้วติดตั้งใหม่

นอกเหนือจากนี้ผู้โจมตียังสามารถใช้ประโยชน์จากช่องโหว่นี้ทำการสอดเเนมผู้ใช้เนื่องจาก Instagram มีสิทธิ์การเข้าถึงมากมายในอุปกรณ์ซึ่งรวมถึงการเข้าถึงรายชื่อ, ที่เก็บข้อมูล, ตำแหน่งอุปกรณ์, กล้องและไมโครโฟน

หลังจากพบช่องโหว่ Check Point ได้ทำการแจ้ง Facebook เพื่อเเก้ไขช่องโหว่แล้ว ทั้งนี้ผู้ใช้ควรทำการอัปเดตแอปพลิเคชันให้เป็นเวอร์ชันล่าสุดเพื่อทำการเเก้ไขช่องโหว่และเพื่อเป็นการป้องกันผู้ประสงค์ร้ายใช้ประโยชน์จากช่องโหว่ทำการโจมตี

ที่มา: bleepingcomputer.

Maze ransomware now encrypts via virtual machines to evade detection

Maze Ransomware ใช้เทคนิคการซ่อนตัวใหม่โดยใช้ VM

Peter Mackenzie นักวิจัยจาก SophosLabs ได้เปิดเผยถึงผู้ปฏิบัติการ Maze ransomware ใช้ในการหลบหลีกการตรวจจับโดยการเข้ารหัสไฟล์จาก VM ที่แชร์ไฟล์กับโฮสต์ โดยเทคนิคนี้เคยถูกใช้โดย Ragnar Locker ransomware มาก่อน
เมื่อเดือนพฤษภาคม 2020 ที่ผ่านมาพบ Ragnar Locker ransomware ทำการติดตั้ง VM ของ Windows XP จากนั้นใช้ประโยชน์จากคุณสมบัติของ VirtualBox ที่ทำให้ VM สามารถ mount เพื่อแชร์โฟลเดอร์และไดรฟ์ในเครือข่ายกับโฮสต์ได้ ซึ่งเมื่อรัน ransomware ใน VM ก็จะ
สามารถเเพร่กระจายเข้าไปยังโฮสต์ได้

ในปัจจุบัน นักวิจัยจาก SophosLabs ออกมาเปิดเผยว่าพบการใช้เทคนิคแบบเดียวกันโดยผู้ปฏิบัติการ Maze ransomware ซึ่งได้ทำการติดตั้งซอฟต์แวร์ VirtualBox ที่มาพร้อมกับ VM Windows 7 บนเซิร์ฟเวอร์ของเหยื่อ และเมื่อเครื่อง VM ทำงานจะทำการเรียกไฟล์ batch ที่ชื่อ startup_vrun.

First death reported following a ransomware attack on a German hospital

แรนซัมแวร์โจมตีโรงพยาบาลในเยอรมันทำให้ผู้ป่วยเสียชีวิต

เมื่อวันที่ 10 กันยายนที่ผ่านมาระบบเครือข่ายของโรงพยาบาลมหาวิทยาลัย Düsseldorf (University Hospital Düsseldorf - UKD) ในประเทศเยอรมนีได้รับการโจมตีจากแรนซัมแวร์จนไม่สามารถทำการได้ จึงทำให้ผู้ป่วยที่อยู่ในสภาวะฉุกเฉินถูกส่งไปยังโรงพยาบาลอีกเเห่งหนึ่งจึงเป็นเหตุทำให้ผู้ป่วยเสียชีวิตลงเนื่องจากได้รับการช่วยเหลือทางการเเพทย์ช้าไป

จากรายงานของหน่วยงาน Bundesamt für Sicherheit in der Informationstechnik (BSI) ของเยอรมันได้เปิดเผยว่าการโจมตีที่เกิดขึ้นนั้นเกิดจากผู้บุกรุกใช้ประโยชน์จากช่องโหว่ CVE-2019-19781 (Citrix ADC) ซึ่งช่องโหว่นี้ถูกค้นพบและถูกเผยเเพร่แล้วตั้งเเต่เดือนมกราคม 2020 และได้ทำการออกเเพตช์เเก้ไขช่องโหว่แล้วตั้งเเต่เดือนมกราคม 2020 หลังจากการโจมตีระบบไอทีของโรงพยาบาลได้หยุดชะงักจึงทำให้ผู้ป่วยที่ต้องการการดูแลฉุกเฉินถูกนำทางไปยังโรงพยาบาลที่ห่างไกลกว่าเพื่อรับการรักษาแทน

ซึ่งหลังจากการโจมตีหน่วยงานตำรวจเมือง Düsseldorf ของเยอรมนีได้ทำการติดต่อไปยังผู้ปฏิบัติการที่ทำการโจมตีเรียกค่าไถ่และได้อธิบายว่าเป้าหมายของพวกเขาคือโรงพยาบาลและได้รับผลกระทบอย่างมากจนมีผู้เสียชีวิต ซึ่งหลังผู้ปฏิบัติการการโจมตีได้รับรู้แล้วจึงส่งมอบคีย์ที่ใช้ในการถอดรหัสจึงทำให้โรงพยาบาลสามารถทำการกู้คืนระบบได้

ทั้งนี้เนื่องจากผู้โจมตีใช้ประโยชน์จากช่องโหว่ที่ถูกเปิดเผยซึ่งผู้ดูแลระบบไม่ได้
ทำการอัปเดตเเพตช์จึงทำให้เกิดการบุกรุกเครือข่ายได้ ผู้ดูแลระบบควรทำการตรวจสอบระบบและควรทำการเเพตช์อย่างเร่งด่วนเพื่อป้องกันการโจมตีระบบ

ที่มา: bleepingcomputer.

Alert (AA20-259A) Iran-Based Threat Actor Exploits VPN Vulnerabilities

CISA ออกแจ้งเตือนการโจมตีจากกลุ่มแฮกเกอร์อิหร่านที่ใช้ประโยชน์จากช่องโหว่ของ VPN ทำการโจมตีเครือข่าย

หน่วยงาน Cybersecurity and Infrastructure Security Agency (CISA) ได้ออกประกาศเเจ้งเตือนภัยรหัส AA20-259A ถึงกลุ่มแฮกเกอร์อิหร่านหรือที่รู้จักกันในชื่อ Pioneer Kitten และ UNC757 กำลังใช้ประโยชน์จากช่องโหว่ของ VPN ทำการโจมตีเครือข่าย โดยเเฮกเกอร์กลุ่มนี้ได้กำหนดเป้าหมายการโจมตีไปยังกลุ่มอุตสาหกรรมต่างๆ ที่เกี่ยวข้องกับเทคโนโลยีสารสนเทศ, หน่วยงานของรัฐบาล, หน่วยงานการดูแลสุขภาพ, การเงิน, การประกันภัยและภาคสื่อทั่วสหรัฐอเมริกา

สำหรับการบุกรุกเครือข่ายนั้นกลุ่มเเฮกเกอร์จะทำการสแกนจำนวนมากและใช้เครื่องมือเช่น Nmap เพื่อทำการสำรวจและระบุพอร์ตที่เปิดอยู่จากนั้นจะใช้ช่องโหว่ที่เกี่ยงข้องกับ VPN ที่ถูกเปิดเผยแล้วเช่น CVE-2019-11510 (Pulse Secure VPN), CVE-2019-11539 (Pulse Secure VPN), CVE-2019-19781 (Citrix VPN Appliance) และ CVE-2020-5902 (F5 Big-IP) ทำการโจมตี ซึ่งหลังจากทำการบุกรุกได้แล้วกลุ่มเเฮกเกอร์จะทำการยกระดับสิทธิเป็นผู้ดูแลระบบและจะทำการติดตั้ง web shell ในเครื่องเป้าหมายเพื่อหาประโยชน์ต่างๆ จากเซิฟเวอร์ที่ทำการบุกรุก

นอกจากนี้ CISA และ FBI ได้สังเกตเห็นว่ากลุ่มเเฮกเกอร์ใช้ประโยชน์จากเครื่องมือโอเพ่นซอร์สเช่น ngrok, Fast Reverse Proxy (FRP), Lightweight Directory Access Protocol (LDAP) directory browser และ web shells เช่น ChunkyTuna, Tiny และ China Chopper ในการโจมตี

ผู้ดูแลระบบควรทำการตรวจสอบระบบ VPN ว่าได้ทำการอัปเดตเเพตซ์ในอุปกรณ์แล้วหรือไม่ ซึ่งหากยังไม่ได้ทำการอัปเดตเเพตซ์ควรทำการอัพเดตอย่างเร่งด่วนเพื่อป้องกันผู้ประสงค์ร้ายทำการโจมตีระบบ ทั้งนี้ผู้ดูแลระบบและผู้ที่สนใจสามารถดูรายละเอียดการของเครื่องมือการโจมตีและ IOC การโจมตีได้ที่เเหล่งที่มา

ที่มา: us-cert.

VMSA-2020-0020 VMware Workstation, Fusion and Horizon Client updates address multiple security vulnerabilities

VMware ออกเเพตช์เเก้ไขช่องโหว่หลายรายการใน VMware Workstation, Fusion และ Horizon

วันที่ 14 กันยายน 2020 ที่ผ่านมา VMware ได้ออกเเพตช์เเก้ไขช่องโหว่หลายรายการใน VMware Workstation, Fusion และ Horizon โดยช่องโหว่ที่ทำการเเก้ไขนั้นมีระดับความรุนเเรง CVSS อยู่ที่ 3.8-6.7 ซึ่งรายละเอียดช่องโหว่ที่น่าสนใจมีดังนี้

ช่องโหว่ CVE-2020-3980 ใน VMware Fusion เป็นช่องโหว่การเพิ่มระดับสิทธ์ ช่องโหว่จะทำให้ผู้โจมตีที่มีสิทธิ์ของผู้ใช้ปกติใช้ประโยชน์จากช่องโหว่นี้เพื่อหลอกให้ผู้ดูแลระบบเรียกใช้โค้ดที่เป็นอันตรายในระบบที่ติดตั้ง Fusion ช่องโหว่จะมีผลกระทบกับ VMware Fusion เวอร์ชัน 11.X สำหรับ OS X
ช่องโหว่ CVE-2020-3986, CVE-2020-3987 และ CVE-2020-3988 ใน VMware Horizon Client สำหรับ Windows และ CVE-2020-3986, CVE-2020-3987, CVE-2020-3988 ใน VMware Workstation ช่องโหว่จะทำให้ผู้ประสงค์ร้ายที่สามารถเข้าถึงเครื่อง Workstation ได้สามารถทำให้เกิดสภาวะ Denial-of-Service (DoS) หรือทำ leak memory จากกระบวนการ TPView ที่ทำงานบนระบบที่ติดตั้ง Workstation หรือ Horizon Client สำหรับ Windows โดยช่องโหว่จะกระทบกับ Horizon Client สำหรับ Windows เวอร์ชัน 5.x และก่อนหน้านี้ และ VMware Workstation เวอร์ชัน 15.x

ทั้งนี้ผู้ใช้งานควรทำการอัปเดตเเพตช์เพื่อเเก้ไขปัญหาจากช่องโหว่และเพื่อเป็นการป้องกันผู้ประสงค์ร้ายใช้ประโยชน์จากช่องโหว่ทำการโจมตีระบบ สำหรับผู้ที่สนใจรายละเอียดเพิ่มเติมของช่องโหว่สามารถอ่านรายละเอียดเพิ่มเติมได้จากเเหล่งที่มา

ที่มา: vmware.