Adobe ออกเเพตซ์ฉุกเฉินเพื่อเเก้ไขช่องโหว่ใน Magento ที่อาจนำไปสู่การเรียกใช้โค้ดและการปลอมแปลงรายชื่อลูกค้า

Adobe ได้ออกเเพตซ์เเก้ไขความปลอดภัยฉุกเฉินเพื่อแก้ไขปัญหาร้ายแรงใน Magento แพลตฟอร์มจำนวน 9 รายการ โดยช่องโหว่ที่ทำการเเก้ไขนั้นจะกระทบกับ Magento Commerce และ Magento Open Source เวอร์ชัน 2.3.5-p1, 2.4.0 และรุ่นก่อนหน้า

ช่องโหว่ที่สำคัญใน Adobe Magento และได้รับการเเก้ไขแล้วถูกติดตามด้วยรหัส CVE-2020-24407 และ CVE-2020-24400 เป็นช่องโหว่การอัปโหลดไฟล์ที่จะอนุญาตให้มีการ bypass ลิตส์รายการและช่องโหว่ SQL injection ซึ่งช่องโหว่จะสามารถนำไปสู่การเรียกใช้โค้ดได้โดยไม่ได้รับอนุญาตหรือการเข้าถึงฐานข้อมูลแบบ read/write ได้โดยไม่ได้รับอนุญาต อย่างไรก็ตามช่องโหว่ทั้งสองผู้โจมตีต้องได้ได้รับสิทธิ์ระดับผู้ดูแลระบบอยู่ก่อนแล้วจึงจะสามารถใช้ประโยชน์จากช่องโหว่ได้

นอจากช่องโหว่ที่สำคัญทั้งสองแล้ว Adobe ยังได้ทำการเเก้ไขช่องโหว่ CVE-2020-24402 ซึ่งเป็นช่องโหว่ที่ทำให้ผู้โจมตีสามารถจัดการและแก้ไขรายชื่อลูกค้า, CVE-2020-24408 cross-site scripting (XSS), CVE-2020-24401 ช่องโหว่ในการใช้ session, CVE-2020-24404 ช่องโหว่ที่สามารถเเก้ไขหน้าเพจ Magento CMS โดยไม่ได้รับอนุญาต, CVE-2020-24405 และ CVE-2020-24403 ซึ่งเป็นข้อบกพร่องการเข้าถึง resource ที่ถูกจำกัด และช่องโหว่ CVE-2020-24406 ช่องโหว่การเปิดเผยข้อมูลที่ละเอียดอ่อน

ทั้งนี้ผู้ใช้และผู้ดูแลระบบที่ใช้งาน Magento Commerce และ Magento Open Source ควรทำการอัปเดตเเพตซ์ให้เป็นเวอร์ชันล่าสุดเพื่อเป็นการป้องกันผู้ประสงค์ร้ายใช้ประโยชน์จากช่องโหว่ทำการโจมตีระบบ

ที่มา: zdnet.

Juniper ออกเเพตซ์แก้ไขช่องโหว่ 40 รายการใน Junos OS

Juniper Network ได้เผยแพร่คำแนะนำด้านความปลอดภัยจำนวน 40 รายการเกี่ยวกับช่องโหว่ในระบบปฏิบัติการ Junos OS ซึ่งเป็นระบบปฏิบัติการที่ถูกใช้ในไฟร์วอลล์และ third-party component ต่างๆ

ช่องโหว่ที่มีสำคัญและถูกจัดอันดับความรุนแรงมากมีดังนี้ CVE-2020-1675 (CVSSv3: 8.3/10), CVE-2020-1676 (CVSSv3: 7.2/10) และ CVE-2020-1677 (CVSSv3: 7.2/10) เป็นช่องโหว่ที่อยู่ในผลิตภัณฑ์ Juniper Networks Mist Cloud UI ซึ่งเป็นช่องโหว่ที่เกี่ยวข้องกับการรับรองความถูกต้องของ Security Assertion Markup Language (SAML) ที่จะอนุญาตให้ผู้โจมตีระยะไกลสามารถ bypass การตรวจสอบสิทธิ์ SAML

นอกจากนี้ Juniper ยังได้ทำการเเก้ไขช่องโหว่ CVE-2020-10188 (CVSSv3: 9.8/10) ช่องโหว่การเรียกใช้โค้ดจากระยะไกลที่จะส่งผลกระทบต่อเซิร์ฟเวอร์ Telnet ที่ Junos OS ใช้

ทั้งนี้หน่วยงานรักษาความปลอดภัยทางไซเบอร์และโครงสร้างพื้นฐานของสหรัฐฯ (Cybersecurity and Infrastructure Security Agency - CISA) ได้ออกคำแนะนำให้ผู้ดูแลระบบขององค์กรต่างๆ ควรทำการตรวจสอบและทำการอัปเดตเเพตซ์ความปลอดภัยให้เป็นเวอร์ชันใหม่ล่าสุดเพื่อป้องกันผู้ประสงค์ร้ายใช้ประโยชน์จากช่องโหว่โจมตีระบบ

ที่มา: securityweek.

TikTok ประกาศเปิดตัวโครงการ Bug Bounty ร่วมกับ HackerOne

TikTok ได้ประกาศเข้าร่วมโครงการ bug bounty ร่วมกับแพลตฟอร์ม HackerOne เพื่อเปิดโอกาสให้แฮ็กเกอร์และนักวิจัยด้านความปลอดภัยสามารถทำการให้ค้นหาช่องโหว่ในเว็บไซต์หลักซึ่งรวมถึงโดเมนย่อยต่างๆ และแอปพลิเคชันบน Android และ iOS

โดยช่องโหว่และข้อบกพร่องที่มีความรุนแรงสูง TikTok จะจ่ายให้กับผู้ค้นพบเป็นเงินรางวัลตั้งเเต่ 1,700 ถึง 6,900 ดอลลาร์(ประมาณ 53,074 ถึง 215,418 บาท) ทั้งนี้ช่องโหว่ที่มีความสำคัญและมีความรุนเเรงสูงผู้ค้นพบจะสามารถได้รับรางวัลสูงถึง 14,800 ดอลลาร์ (ประมาณ 461,959 บาท) ซึ่งจะพิจารณาจากคะแนนความรุนเเรง CVSS ของช่องโหว่

Luna Wu จากทีม TikTok Global Security ได้กล่าวว่าความร่วมมือในการหาช่องโหว่และข้อบกพร่องครั้งนี้จะช่วยให้ TikTok ได้รับข้อมูลเชิงลึกจากนักวิจัยด้านความปลอดภัยชั้นนำของโลก, นักวิชาการและผู้เชี่ยวชาญอิสระเพื่อเปิดเผยภัยคุกคามและช่องโหว่ที่อาจเกิดขึ้นได้ในแอปพลิเคชัน ซึ่งจะทำให้การป้องกันความปลอดภัยของ TikTok แข็งแกร่งยิ่งขึ้น

ที่มา: securityweek.

แจ้งเตือนช่องโหว่อ่านไฟล์ใน VMware vCenter ไม่มี CVE แต่มี PoC ให้ทดสอบช่องโหว่แล้ว

ทีม Offensive จาก Positive Technologies ทวีตช่องโหว่ใหม่ที่ถูกแพตช์แล้วใน VMware vCenter 6.5u1 โดยเป็นช่องโหว่อ่านไฟล์ในระบบได้แบบไม่ต้องพิสูจน์ตัวตน ยังไม่มีการกำหนด CVE ในขณะนี้

ช่องโหว่นี้สามารถโจมตีได้โดยการส่ง HTTP GET request ไปยัง /eam/vib?id=<path> โดยเปลี่ยนพาธเป็นพาธของไฟล์ที่ต้องการอ่าน หลังจากนั้นใน HTTP response จะปรากฎ content ของไฟล์ทันที

ช่องโหว่นี้ถูกทดสอบใน VMware vCenter เวอร์ชัน 6.5.0a-f และอาจมีเวอร์ชันก่อนหน้านี้ที่ได้รับผลกระทบด้วย แนะนำให้ตรวจสอบและทำการแพตช์โดยด่วน

ที่มาและรูปภาพจาก: twitter.

Permalink SonicWall ปล่อยแพตช์อุด 11 ช่องโหว่ความปลอดภัย ช่องโหว่ร้ายแรงสุดทำ RCE ได้ง่ายๆ โดยไม่ต้องล็อกอิน

SoniclWall ออกประกาศแพตช์อุด 11 ช่องโหว่ความปลอดภัย โดยหนึ่งในช่องโหว่ความปลอดภัยรหัส CVE-2020-5135 เป็นช่องโหว่ stack-based buffer overflow ซึ่งทำให้ผู้โจมตีสามารถรันโค้ดที่เป็นอันตรายกับอุปกรณ์ที่มีช่องโหว่ด้านโดยไม่ต้องมีการพิสูจน์ตัวตน

Nikita Abramov จาก Positive Technologies และ Craig Young จาก TripWrie ซึ่งมีส่วนร่วมในการค้นพบช่องโหว่นี้ให้ข้อมูลเพิ่มเติมว่า ช่องโหว่ดังกล่าวอยู่ในเซอร์วิส product management และ SSL VPN remote access ที่สามารถถูกสแกนเจอได้จากบริการอย่าง Shodan

นอกเหนือจาก CVE-2020-5135 แล้ว ช่องโหว่ที่น่าสนใจอีกช่องโหว่หนึ่งคือ CVE-2020-5142 ซึ่งผู้โจมตีสามารถสร้างโค้ดจาวาสคริปต์ไปที่หน้า SSL-VPN portal เพื่อทำ DoS อุปกรณ์ได้โดยไม่ต้องมีการพิสูจน์ตัวตน

ในขณะนี้อุปกรณ์ที่ได้รับผลกระทบคือ SonicOS 6.5.4.7-79n และรุ่นก่อนหน้า, SonicOS 6.5.1.11-4n และรุ่นก่อนหน้า, SonicOS 6.0.5.3-93o และรุ่นก่อนหน้า, SonicOS 6.5.4.4-44v-21-794 และรุ่นก่อนหน้า และ SonicOS 7.0.0.0-1 ขอให้ทำการอัปเดตอุปกรณ์เพื่อจัดการความเสี่ยงที่เกิดขึ้นจากช่องโหว่โดยด่วน

ที่มา: threatpost.

แจ้งเตือนช่องโหว่ BleedingTooth แฮกแบบ Zero-Click ผ่านช่องโหว่ Bluetooth

Andy Nguyen นักวิจัยด้านความปลอดภัยจาก Google เปิดเผยชุดช่องโหว่ใหม่ภายใต้ชื่อ BleedingTooth ในโค้ด BlueZ ซึ่งอิมพลีเมนต์โปรโตคอล Bluetooth ทั้งหมด 3 CVE ได้แก่ CVE-2020-12351, CVE-2020-12352 และ CVE-2020-24490 ช่องโหว่ที่มีความร้ายแรงที่สุด (CVSSv3 8.3) นั้นคือช่องโหว่ CVE-2020-12351

ช่องโหว่ CVE-2020-12351 เป็นช่องโหว่ heap overflow ในโค้ดของ Bluetooth ในลินุกซ์เคอร์เนล ช่องโหว่นี้สามารถทำให้ผู้โจมตีซึ่งอยู่ในระยะของเครือข่าย Bluetooth ส่งแพ็คเกต l2cap แบบพิเศษที่ทำให้เกิดการ DoS หรือรันคำสั่งอันตรายในอุปกรณ์ด้วยสิทธิ์ของระบบได้ Andy มีการเปิดเผย PoC ของช่องโหว่นี้ไว้ใน GitHub อีกด้วยที่ https://github.

นักสืบไซเบอร์ของแท้! ทีม Check Point วิเคราะห์และแกะรอยไฟล์ Exploit จนพบผู้ขายและเหล่า APT ซึ่งเป็นลูกค้ากลุ่มอื่น ๆ

โค้ด exploit คือชุดของโค้ดซึ่งถูกออกแบบมาเพื่อโจมตีช่องโหว่ โดยไฟล์ exploit จะประกอบไปด้วยส่วนของโค้ดซึ่งใช้โจมตีช่องโหว่จริง ๆ และส่วนของโค้ดที่จะถูกนำมาใช้หลังจากโจมตีช่องโหว่สำเร็จ หรือที่รู้จักกันด้วยคำว่า payload

ทีมนักวิจัยด้านความปลอดภัยจาก Check Point ได้มีการแกะรอยไฟล์ไบนารีไฟล์หนึ่งซึ่งถูกตรวจพบในระบบของลูกค้าซึ่งถูกโจมตี โดยผลการแกะรอยไฟล์ประสานกับการเชื่อมโยงข้อมูลจากระบบ threat intelligence ทำให้ Check Point สามารถระบุตัวผู้ขายโค้ดสำหรับโจมตีช่องโหว่ และผู้ซื้อซึ่งรวมไปถึงกลุ่ม APT อื่น ๆ ได้

แนวทางของการแกะรอยของ Check Point ประกอบด้วยการดำเนินการ 3 ขั้นตอนซ้ำไปซ้ำมาและขยายผลการค้นหาออกไปเรื่อย ๆ ได้แก่

1. วิเคราะห์ไฟล์ไบนารีที่เจอ ระบุหาเอกลักษณ์ของไฟล์นั้น ๆ ซึ่งแฝงอยู่ใน metadata ของไฟล์หรือในส่วน header ของไฟล์เอง
2. นำผลลัพธ์ที่ได้ไปขยายผลในระบบ threat intelligence จนได้ไฟล์ที่มีลักษณะเหมือนกัน จากนั้นนำไฟล์ที่ได้มีวิเคราะห์ต่อไปเรื่อย ๆ
3. เมื่อถึงจุดหนึ่ง ไฟล์ที่ตรวจพบและมีคุณลักษณะเหมือนกันจะเชื่อมโยงกลับไปหาผู้ขายโดยอัตโนมัติ ถ้าข้อมูลในระบบ threat intelligence นั้นมากและมีคุณภาพมากพอ

กลุ่มผู้ขายโค้ดสำหรับโจมตีช่องโหว่ดังกล่าวมีชื่อว่า Volodya โดยลูกค้าซึ่งตรวจพบประวัติการซื้อขายโค้ดประกอบไปด้วยกลุ่ม APT ต่าง ๆ มากมาย ได้แก่ Ursnif, GandCrab, Cerber, Magniber, Turla และ APT28

สำหรับผู้ที่สนใจแนวทางในเชิงเทคนิค ทีมตอบสนองการโจมตีและภัยคุกคามขอแนะนำให้ลองอ่านบล็อกของ Check Point ฉบับเต็มที่ https://research.

เซอร์วิส Gravatar มีช่องโหว่ แอบใช้เพื่อกวาดข้อมูลผู้ใช้งานได้

นักวิจัยด้านความปลอดภัย Carlo Di Dato ออกมาเปิดเผยถึงช่องโหว่ในบริการ Gravatar ซึ่งเป็นบริการสำหรับกำหนดรูป avatar และเชื่อมโยงกับหลายบริการทั้ง WordPress และ GitHub

ช่องโหว่ที่ถูกค้นพบนั้นเป็นลักษณะของ broken access control อ้างอิงจาก OWASP Top 10 ผู้โจมตีสามารถทำการโจมตีได้ผ่านการเข้าถึงพาธ http://en.

CISA ออกแจ้งเตือนการโจมตีจากกลุ่มแฮกเกอร์จีน พุ่งเป้าช่องโหว่ F5 Big-IP, Citrix, Pulse Secure VPN และช่องโหว่ใน Microsoft Exchange

หน่วยงาน Cybersecurity and Infrastructure Security Agency (CISA) ออกประกาศรหัส AA20-258A ล่าสุดภายใต้หัวข้อซึ่งมีการพูดถึงแคมเปญการโจมตีทางไซเบอร์ซึ่งมีกระทรวงความมั่นคงของจีน (Ministry of State Security - MSS) หนุนหลัง โดยได้มีการเผยแพร่ช่องโหว่ซึ่งแฮกเกอร์จีนมักจะใช้ในการโจมตีและพฤติกรรมของแฮกเกอร์จีนด้วย

รายการช่องโหว่ทั้งหมดที่ถูกใช้เพื่อโจมตีล้วนแล้วอยู่ในช่วง "สัปดาห์นรก" ของวงการ Security ที่มีการประกาศการค้นพบช่องโหว่ในอุปกรณ์เครือข่ายและระบบสำคัญหลายช่องโหว่ โดยมีรายการดังนี้

ช่องโหว่ใน F5 Big-IP รหัส CVE-2020-5902 รันคำสั่งอันตรายในอุปกรณ์ได้จากระยะไกล
ช่องโหว่ใน Citrix VPN Appliance รหัส CVE-2019-19781 รันคำสั่งอันตรายในอุปกรณ์ได้จากระยะไกล
ช่องโหว่ใน Pulse Secure VPN รหัส CVE-2019-11510 รันคำสั่งอันตรายเพื่ออ่านข้อมูลในระบบได้จากระยะไกล
ช่องโหว่ใน Microsoft Exchange รหัส CVE-2020-0688 ใช้รันคำสั่งอันตรายเพื่อขโมยอีเมลได้

ช่องโหว่ทั้งหมดมีโค้ดสำหรับโจมตีเผยแพร่ในอินเตอร์เน็ตแล้ว และมักถูกใช้โดยกลุ่ม Ransomware เพื่อโจมตีและเรียกค่าไถ่ด้วย ขอให้องค์กรทำการตรวจสอบและลดความเสี่ยงที่จะถูกโจมตีด้วยช่องโหว่เหล่านี้โดยด่วน

ที่มา: zdnet.

รัฐบาล UK ออกแนวทางสำหรับเพื่อช่วยในการควบคุมกระบวนการรายงานช่องโหว่ (Vulnerability Disclosure)

รัฐบาลสหราชอาณาจักรออกแนวทางใหม่ในการช่วยให้องค์กรจัดการกระบวนการรายงานช่องโหว่ให้มีประสิทธิภาพมากยิ่งขึ้น และเพื่อเป้าหมายในการลดความเสี่ยงอย่างแท้จริง

คู่มือดังกล่าวมีการพูดถึง 3 องค์ประกอบหลักที่องค์กรจำเป็นต้องมีคือการสื่อสารอย่างมีประสิทธิภาพ (Communcation), กระบวนการที่ครอบคลุม (Policy), และช่องทางในการติดต่อ โดย NCSC ซึ่งเป็นหน่วยงานที่ออกคู่มือนั้นยังได้มีการพูดถึงการทำไฟล์ Security.