CISA ได้อัปเดตช่องโหว่ลงในแคตตาล็อกช่องโหว่ที่กำลังถูกใช้ในการโจมตี (KEV) โดยการเพิ่มช่องโหว่ใหม่สามรายการ ช่องโหว่เหล่านี้มีความเสี่ยงด้านความปลอดภัยที่สำคัญ และกำลังถูกใช้ในการโจมตี
ช่องโหว่ที่เพิ่มเข้ามาใหม่ประกอบด้วย
CVE-2016-3714 ช่องโหว่ที่ส่งผลกระทบกับ ImageMagick ที่เกิดจากการตรวจสอบการนำเข้าข้อมูลที่ไม่ถูกต้อง
CVE-2017-1000253 ช่องโหว่ในเคอร์เนลของ Linux ที่เกี่ยวข้องกับ stack buffer corruption ใน position-independent executables (PIE)
CVE-2024-40766 เป็นช่องโหว่การควบคุมการเข้าถึง (access control) ใน SonicWall SonicOS
ช่องโหว่เหล่านี้ตกเป็นเป้าหมายบ่อยครั้งสำหรับการโจมตีทางไซเบอร์ และมีความเสี่ยงมากกับองค์กรภาครัฐ และภาคเอกชน ทาง CISA ได้แจ้งให้ทุกองค์กรให้ความสำคัญกับการแก้ไขช่องโหว่เหล่านี้
รายละเอียดของช่องโหว่
CVE-2016-3714 หรือที่รู้จักกันในชื่อ “ImageTragick” ส่งผลกระทบต่อเวอร์ชันของ ImageMagick เวอร์ชันก่อน 6.9.3-10 และ 7.x ก่อน 7.0.1-1 ช่องโหว่นี้เกิดจากการตรวจสอบข้อมูลอินพุตที่ไม่เหมาะสม ซึ่งส่งผลกระทบต่อตัวเข้ารหัส หรือโปรเซสเซอร์หลาย ๆ ตัวภายใน ImageMagick
การใช้ประโยชน์จากช่องโหว่นี้ทำให้ผู้โจมตีสามารถรันโค้ดที่กำหนดเองได้ผ่านการใช้อักขระพิเศษของเชลล์ในภาพที่ออกแบบมาเป็นพิเศษ ซึ่งอาจนำไปสู่การรันโค้ดที่เป็นอันตรายจากระยะไกล เพื่อลดความเสี่ยงนี้ผู้ใช้ควรตรวจสอบไฟล์ภาพให้มีการตรวจสอบ “magic bytes” อย่างถูกต้อง และกำหนดค่าไฟล์ policy ของ ImageMagick เพื่อปิดการใช้งานตัวเข้ารหัสที่มีช่องโหว่
CVE-2017-1000253 ส่งผลกระทบต่อหลายเวอร์ชันของเคอร์เนล Linux รวมถึงเวอร์ชันที่ใช้ใน RedHat Enterprise Linux และ CentOS ช่องโหว่นี้เกี่ยวข้องกับ stack buffer corruption ในฟังก์ชัน load_elf_binary() ซึ่งสามารถถูกใช้โดยผู้โจมตีที่มีสิทธิ์เข้าถึงระบบในระดับ local เพื่อยกระดับสิทธิ์ผ่านปัญหาเกี่ยวกับ position-independent executables (PIE) ผู้ใช้ควรเร่งอัปเดตแพตช์เพื่อแก้ไขช่องโหว่ buffer corruption นี้
CVE-2024-40766 เป็นช่องโหว่ระดับ critical ซึ่งส่งผลกระทบต่ออุปกรณ์ SonicWall Firewalls รุ่น Gen 5, Gen 6, และ Gen 7 ที่ใช้ SonicOS 7.0.1-5035 หรือเวอร์ชันที่เก่ากว่า ช่องโหว่นี้อยู่ในระบบการจัดการ SonicOS และ SSLVPN ของ SonicWall ซึ่งอนุญาตให้ผู้โจมตีที่ไม่ได้ผ่านการยืนยันตัวตน สามารถเข้าถึงอินเทอร์เฟซการจัดการได้ ซึ่งอาจนำไปสู่การเข้าถึงทรัพยากรโดยไม่ได้รับอนุญาต หรือแม้กระทั่งการหยุดการทำงานของไฟร์วอลล์
เพื่อลดผลกระทบจากช่องโหว่นี้ ควรจำกัดการจัดการไฟร์วอลล์ให้เฉพาะต้นทางที่เชื่อถือได้ หรือปิดการจัดการผ่าน WAN และการเข้าถึง SSLVPN จากอินเทอร์เน็ต โดยผู้ใช้ควรดาวน์โหลด และติดตั้งแพตช์ล่าสุดจากเว็บไซต์อย่างเป็นทางการของ SonicWall
การลดผลกระทบ และคำแนะนำ
อัปเดตซอฟต์แวร์ และระบบ ตรวจสอบให้แน่ใจว่าซอฟต์แวร์, เฟิร์มแวร์ และระบบทั้งหมดได้รับการอัปเดตด้วยแพตช์ล่าสุด
จำกัดการเข้าถึงระบบที่สำคัญให้กับผู้ใช้ที่ได้รับอนุญาตเท่านั้น และเปิดใช้การยืนยันตัวตนโดยใช้หลายปัจจัย (MFA)
ตรวจสอบระบบอย่างต่อเนื่องเพื่อหาพฤติกรรมที่ผิดปกติ และทำการตรวจสอบด้านความปลอดภัย และการประเมินช่องโหว่เป็นประจำ
อัปเดตแผนตอบสนองเหตุการณ์อย่างสม่ำเสมอ เพื่อจัดการกับการละเมิดความปลอดภัยที่อาจเกิดขึ้นได้อย่างมีประสิทธิภาพ
ใช้วิธีการ network segmentation เพื่อปกป้องระบบที่สำคัญจากการถูกเข้าถึงจากอินเทอร์เน็ต
Ref : cyble