นักวิจัยด้านความปลอดภัยของ Horizon3 ได้เผยแพร่ Proof-of-Concept (PoC) สำหรับการโจมตีช่องโหว่ VMware vRealize Log Insight ที่ทำให้สามารถเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกลบนอุปกรณ์ที่ไม่ได้อัปเดตเพื่อปิดช่องโหว่ได้

VMware ได้ออกอัปเดตเพื่อปิดช่องโหว่ด้านความปลอดภัย 4 รายการใน VMware vRealize Log Insight เมื่อสัปดาห์ที่ผ่านมา โดย 2 รายการเป็นช่องโหว่ที่สำคัญ และอนุญาตให้ผู้โจมตีเรียกใช้โค้ดที่เป็นอันตรายบนอุปกรณ์ที่ถูกโจมตีได้ (Remote Code Execution) โดยมีความรุนแรงอยู่ในระดับ Critical (คะแนน CVSS 9.8/10)

CVE-2022-31706 เป็นช่องโหว่ใน directory traversal bug
CVE-2022-31704 เป็นช่องโหว่ broken access control ที่สามารถหลบเลี่ยงการตรวจสอบสิทธิ เพื่อแทรกไฟล์อันตรายในระบบปฏิบัติการของอุปกรณ์ที่มีช่องโหว่
CVE-2022-31710 เป็นช่องโหว่ที่ทำให้เกิด Denial of service (DoS) และ information disclosure บนอุปกรณ์ที่มีช่องโหว่
CVE-2022-31711 เป็นช่องโหว่ที่ทำให้สามารถเข้าถึง Session หรือข้อมูล application ที่มีความสำคัญของอุปกรณ์ที่มีช่องโหว่

จากการตรวจสอบของ Shodan พบว่า มีอินสแตนซ์ 45 รายการที่สามารถเข้าถึงได้บนอินเทอร์เน็ต เนื่องจากอุปกรณ์ VMware vRealize Log Insight ได้รับการออกแบบให้เข้าถึงได้จากภายในเครือข่ายขององค์กรเป็นหลัก รวมถึงยังพบ VMware vRealize Log Insight ที่มีช่องโหว่ จำนวน 5 รายการอยู่ที่ประเทศไทยอีกด้วย

แม้ปัจจุบันไม่มีรายงานการโจมตีที่ใช้ช่องโหว่ VMware vRealize ในการโจมตี แต่ทาง VMware ก็ได้ออกประกาศเตือนให้ผู้ใช้งานเร่งทำการอัปเดตช่องโหว่โดยด่วน เพื่อป้องกันการถูกโจมตี เนื่องจากในปีที่ผ่านมาก็มีการพบช่องโหว่ CVE-2022-22972 ที่ส่งผลกระทบต่อผลิตภัณฑ์ VMware หลายรายการ ซึ่งสามารถหลบเลี่ยงการตรวจสอบสิทธิ์และยกระดับสิทธิเป็นผู้ดูแลระบบในอุปกรณ์ที่มีช่องโหว่เช่นกัน

การป้องกัน :

ดำเนินการอัปเดตเพื่อปิดช่องโหว่โดยด่วน

ที่มา : bleepingcomputer

Python Ransomware ตัวใหม่ กำลังมุ่งเป้าไปที่ระบบที่ใช้ Jupyter Notebook

Jupyter Notebook เป็น open source web environment ที่ใช้สำหรับการวิเคราะห์ข้อมูล และสร้างโมเดลข้อมูล เพื่อจำลองข้อมูลของ data science, computing และ machine learning ซึ่งรองรับภาษาโปรแกรมมากกว่า 40 ภาษา และถูกใช้โดยบริษัทต่างๆ รวมถึง Microsoft, IBM และ Google ควบคู่ไปกับมหาวิทยาลัยหลายแห่ง ล่าสุดทางทีม Nautilus ของ Aqua Security เพิ่งได้ค้นพบมัลแวร์ใหม่บนเครื่องมือที่เป็นที่นิยมนี้

ในขณะที่ Jupyter Notebook อนุญาตให้ผู้ใช้แบ่งปันเนื้อหากับผู้อื่น ให้สามารถเข้าถึงข้อมูลได้อย่างปลอดภัยผ่าน Account credential หรือ tokens แต่บางครั้งผู้ใช้งานก็ไม่ได้มีการตั้งค่าบน AWS buckets ไว้อย่างถูกต้อง และปลอดภัย ซึ่งจะทำให้ใครก็สามารถเปิดดูข้อมูลได้ ซึ่ง Python ransomware นี้ ก็จะมุ่งเป้าไปยังเครื่องที่มีความเสี่ยงในการโดนโจมตีเหล่านี้

นักวิจัยได้สร้าง honeypot ที่มีแอปพลิเคชั่น Jupyter Notebook ที่เปิดเผยข้อมูล เพื่อสังเกตพฤติกรรมของมัลแวร์ โดยพบว่าเมื่อแรนซัมแวร์เข้าถึงเซิร์ฟเวอร์ได้ มันจะทำการเปิด terminal เพื่อดาวน์โหลดเครื่องมือที่ใช้ในการโจมตีอื่นๆ รวมทั้งตัวเข้ารหัส จากนั้นจึงสร้างสคริปต์ Python เพื่อติดตั้งแรนซัมแวร์

เมื่อการโจมตีจบลง ทางทีม Nautilus สามารถเก็บข้อมูลได้มากพอที่จะนำมาจำลองการโจมตีดังกล่าว โดยที่ตัวเข้ารหัสจะคัดลอก และเข้ารหัสไฟล์ ลบเนื้อหาที่ไม่ได้เข้ารหัส และทำการลบตัวเองออกจากระบบ

(more…)

นักวิจัยด้านความปลอดภัยจาก Juniper Threat Labs ได้เปิดเผยถึงเป้าหมายการโจมตีของบอตเน็ต DarkIRC ที่กำลังพยายามสแกนหาและใช้ประโยชน์จากช่องโหว่ CVE-2020-14750 (Remote Code Execution - RCE) ในเซิร์ฟเวอร์ Oracle WebLogic ที่สามารถเข้าถึงได้จากอินเตอร์เน็ตและยังไม่ได้รับการแพตช์เพื่อแก้ไขช่องโหว่

ตามรายงานจากนักวิจัยด้านความปลอดภัยที่ได้ทำการตรวจสอบเซิร์ฟเวอร์ Oracle WebLogic จากเครื่องมือค้นหาของ Shodan พบว่ามีเซิร์ฟเวอร์ Oracle WebLogic ประมาณ 3,000 เครื่องที่สามารถเข้าถึงได้บนอินเทอร์เน็ต

ช่องโหว่ CVE-2020-14750 (RCE) ในเซิร์ฟเวอร์ Oracle WebLogic เป็นช่องโหว่ที่สำคัญและมีความรุนเเรงจากคะแนน CVSSv3 อยู่ที่ 9.8/10 โดยช่องโหว่ช่วยให้ผู้โจมตีสามารถควบคุมระบบได้โดยการส่ง HTTP request ที่สร้างขึ้นมาเป็นพิเศษและไม่มีการตรวจสอบสิทธิ์ไปยังเซิร์ฟเวอร์ Oracle WebLogic เวอร์ชัน 10.3.6.0.0, 12.1.3.0.0, 12.2.1.3.0, 12.2.1.4.0 และ 14.1.1.0

นักวิจัยกล่าวว่าบอตเน็ต DarkIRC ทำกำหนดเป้าหมายไปยังเครือข่ายของเซิร์ฟเวอร์ Oracle WebLogic ที่สามารถเข้าถึงได้จากอินเทอร์เน็ต โดยเมื่อบุกรุกได้แล้วจะทำการดาวน์โหลดไฟล์เพื่อขโมยข้อมูลภายในเครื่อง, Keylogger, ขโมยข้อมูล Credential และจะสั่งรัน Command บนเครื่องที่ถูกบุกรุกและทำการส่งข้อมูลกลับไปยังเซิร์ฟเวอร์ C&C ของผู้ประสงค์ร้าย นอกจากนี้บอตเน็ตยังมีฟีเจอร์ที่จะทำการเปลื่ยนที่อยู่ Bitcoin wallet ที่อยู่ภายในเครื่องไปยังที่อยู่ Bitcoin wallet ของผู้ประสงค์ร้าย ทั้งนี้บอตเน็ต DarkIRC ถูกผู้ใช้ที่ชื่อ "Freak_OG" ทำการวางขายบอตเน็ตในแฮ็กฟอรัม โดยราคาขายอยู่ที่ $75 (ประมาณ 2,259 บาท) ตั้งแต่เดือนสิงหาคมที่ผ่านมา

ผู้ดูแลระบบเซิร์ฟเวอร์ Oracle WebLogic ควรทำการอัปเดตเเพตซ์ความปลอดภัยเป็นการเร่งด่วนและควรทำการปิดการเข้าถึงเซิฟเวอร์จากอินเตอร์เน็ตเพื่อเป็นการป้องกันการใช้ประโยชน์จากช่องโหว่ทำการโจมตีระบบ

ที่มา: thehackernews

 

พบช่องโหว่ในเราเตอร์ Huawei (CVE-2018-7900) ส่งผลให้ผู้ไม่หวังดีสามารถรู้ได้ว่าเราเตอร์ใช้ default password อยู่หรือไม่

ช่องโหว่ดังกล่าวส่งผลให้เว็บไซต์อย่าง ZoomEye หรือ Shodan ที่ใช้สำหรับค้นหารายการอุปกรณ์ที่มีช่องโหว่ทั่วโลก สามารถทราบได้ว่ามีเราเตอร์ตัวไหนบ้างที่มีการใช้ default password อยู่ โดยเป็นปัญหาที่มาจากตัวแปรบางตัวของ html source code ในหน้า Login ที่มีการเก็บค่าเฉพาะบางอย่างที่สามารถบ่งบอกได้ว่าอุปกรณ์มีการใช้ default password อยู่หรือไม่

Huawei ได้แก้ไขปัญหาดังกล่าวแล้ว โดยไม่มีการเปิดเผยรายละเอียดของช่องโหว่หรือจำนวนอุปกรณ์ที่ได้รับผลกระทบ

ที่มา: threatpost