ช่องโหว่ระดับ Critical ใน ChatGPT Atlas Browser ที่ OpenAI เพิ่งเปิดตัวใหม่ ทำให้ผู้โจมตีสามารถ inject คำสั่งที่เป็นอันตรายเข้าไปในหน่วยความจำของ ChatGPT และรันโค้ดจากระยะไกลบนระบบของผู้ใช้ได้

ช่องโหว่นี้ถูกค้นพบโดย LayerX โดยใช้ประโยชน์จากการโจมตีแบบ Cross-Site Request Forgery (CSRF) เพื่อเข้ายึดเซสชันที่ผ่านการ authentication ซึ่งอาจทำให้อุปกรณ์ติดมัลแวร์ หรือให้สิทธิ์การเข้าถึงโดยไม่ได้รับอนุญาต การค้นพบนี้แสดงให้เห็นถึงความเสี่ยงที่เพิ่มสูงขึ้นใน Agentic AI browsers ซึ่ง integrated LLMs เข้าไปด้วยนั้น ยิ่งขยายผลการโจมตีทางเว็บไซต์แบบดั้งเดิมให้รุนแรงขึ้น

ช่องโหว่ถูกรายงานไปยัง OpenAI ภายใต้โปรโตคอลการเปิดเผยข้อมูลอย่างรับผิดชอบ โดยช่องโหว่นี้จะส่งผลกระทบต่อผู้ใช้ ChatGPT ในทุกเบราว์เซอร์ แต่ก่อให้เกิดอันตรายร้ายแรงกว่าสำหรับผู้ที่ใช้ Atlas เนื่องจากระบบ always-on authentication และการป้องกันฟิชชิงที่แย่กว่า

การทดสอบของ LayerX แสดงให้เห็นว่า Atlas สามารถบล็อกความพยายามทำฟิชชิงได้เพียง 5.8% เท่านั้น เมื่อเทียบกับ Chrome และ Edge ที่บล็อกได้ 47-53% ซึ่งทำให้ผู้ใช้มีความเสี่ยงเพิ่มขึ้นถึง 90% แม้ว่า OpenAI จะยังไม่ได้เปิดเผยรายละเอียดแพตช์ต่อสาธารณะ แต่ผู้เชี่ยวชาญเรียกร้องให้มีมาตรการลดผลกระทบทันที เช่น การปรับปรุงการตรวจสอบ Token

วิธีการใช้ช่องโหว่ CSRF โจมตี ChatGPT Memory

การโจมตีเริ่มต้นขึ้นเมื่อผู้ใช้ล็อกอินเข้าสู่ ChatGPT ซึ่งมีการจัดเก็บคุกกี้ หรือ Token สำหรับการ authentication ไว้ในเบราว์เซอร์ ผู้โจมตีจะหลอกเหยื่อไปยังหน้าเว็บที่เป็นอันตรายผ่านลิงก์ฟิชชิง ซึ่งจะส่ง CSRF request โดยใช้ประโยชน์จากจากเซสชันที่ใช้อยู่

Request ที่ถูกปลอมแปลงนี้จะ injects คำสั่งที่ซ่อนอยู่เข้าไปในฟีเจอร์ “Memory” ของ ChatGPT ซึ่งออกแบบมาเพื่อรักษาการตั้งค่า และ context ในแต่ละเซสชัน โดยไม่จำเป็นต้องสั่งการซ้ำอย่างชัดเจน

ไม่เหมือนกับผลกระทบของ CSRF แบบทั่วไป เช่น unauthorized transactions โดยมุ่งเป้าไปที่ระบบ AI ด้วยการโจมตีไปยัง “หน่วยความจำถาวร” ของ LLM

เมื่อคำสั่งอันตรายถูก injects ลงไปแล้ว มันจะถูกสั่งให้ทำงานระหว่างการป้อนคำสั่งตามปกติ ทำให้ ChatGPT สร้างผลลัพธ์ที่เป็นอันตราย เช่น การเรียกใช้โค้ดจากเซิร์ฟเวอร์ที่ผู้โจมตีควบคุมอยู่ การโจมตีนี้จะยังคงดำเนินต่อไปในอุปกรณ์ หรือเบราว์เซอร์ใดก็ตามที่ผูกอยู่กับบัญชี ทำให้การตรวจจับ และการแก้ไขมีความซับซ้อนมากขึ้น

Diagram นี้แสดงให้เห็นถึงขั้นตอนการโจมตี ตั้งแต่การขโมยข้อมูล credential ไปจนถึงการแทรกคำสั่งเข้าสู่หน่วยความจำ และการสั่งรันโค้ดจากระยะไกล

การเข้าสู่ระบบ ChatGPT แบบเริ่มต้นของ Atlas ทำให้ข้อมูล credentials พร้อมใช้งานอยู่เสมอ ซึ่งช่วยให้การโจมตีแบบ CSRF ทำได้ง่ายขึ้น โดยไม่จำเป็นต้องทำฟิชชิงเพื่อขโมย Token เพิ่มเติม

LayerX ได้ประเมิน Atlas เทียบกับการโจมตีจริง 103 ครั้ง พบว่าประสบความสำเร็จ 94.2% ซึ่งแย่กว่าคู่แข่งอย่าง Comet ของ Perplexity อย่างมาก ที่สามารถสกัดกั้นการโจมตีได้ถึง 93% ในการทดสอบก่อนหน้านี้ สาเหตุนี้เกิดจากการขาดการป้องกันในตัว ทำให้เบราว์เซอร์กลายเป็นช่องทางหลักสำหรับภัยคุกคามเฉพาะด้าน AI เช่น prompt injection

งานวิจัยในวงกว้างก็สะท้อนข้อกังวลเหล่านี้เช่นกัน การวิเคราะห์เบราว์เซอร์ AI ของ Brave ซึ่งรวมถึง Atlas ได้เปิดเผยถึงการโจมตีแบบ indirect prompt injection ที่แทรกคำสั่งไว้ในหน้าเว็บเพจ หรือภาพหน้าจอ ซึ่งนำไปสู่การขโมยข้อมูล หรือการดำเนินการที่ไม่ได้รับอนุญาต

ฟีเจอร์ที่ทำงานแบบ Agentic ของ OpenAI ซึ่งช่วยให้สามารถทำงานได้อย่างอิสระ ทำให้ความเสี่ยงรุนแรงขึ้น ด้วยการมอบอำนาจการตัดสินใจให้แก่ AI เหนือข้อมูล และระบบของผู้ใช้

Proof-of-Concept : ‘Vibe Coding’ ที่เป็นอันตราย

ในสถานการณ์จำลองการโจมตี ผู้โจมตีมุ่งเป้าไปที่ “vibe coding” ซึ่งเป็นรูปแบบที่นักพัฒนาใช้งาน AI ในโปรเจกต์ แทนที่การเขียนโค้ดแบบ rigid syntax

คำสั่งที่ถูกแทรกเข้าไปในหน่วยความจำนี้จะเปลี่ยนแปลงผลลัพธ์อย่างแนบเนียน โดยแทรก backdoors หรือโค้ดสำหรับขโมยข้อมูลไว้ในสคริปต์ที่ถูกสร้างขึ้น เช่น การดึงมัลแวร์จากเซิร์ฟเวอร์อย่าง “server.

ช่องโหว่ด้านความปลอดภัยระดับ Critical ใน Apache Tomcat (CVE-2025-24813) ทำให้เซิร์ฟเวอร์เสี่ยงต่อการถูกโจมตีในลักษณะ Remote code execution (RCE), การเปิดเผยข้อมูล และเสี่ยงต่อการเกิดความเสียหายของข้อมูล (more…)

แฮ็กเกอร์กำลังใช้ประโยชน์จากช่องโหว่ Command Injection ระดับ Critical ในอุปกรณ์ Zyxel CPE Series ซึ่งมีหมายเลข CVE-2024-40891 และยังไม่ได้รับการแก้ไขตั้งแต่เดือนกรกฎาคมที่ผ่านมา (more…)

พบ Botnet 2 รายการที่ถูกติดตามในชื่อ 'Ficora' และ 'Capsaicin' กำลังกำหนดเป้าหมายการโจมตีไปยัง D-Link Router ที่หมดอายุการใช้งาน หรือใช้งานเฟิร์มแวร์เวอร์ชันเก่าอย่างต่อเนื่อง

โดยพบว่า Botnet ดังกล่าวมุ่งเป้าหมายการโจมตีไปยังอุปกรณ์ D-Link รุ่นยอดนิยมที่ใช้โดยบุคคล และองค์กรต่าง ๆ เช่น DIR-645, DIR-806, GO-RT-AC750 และ DIR-845L โดยใช้ช่องโหว่ CVE-2015-2051, CVE-2019-10891, CVE-2022-37056 และ CVE-2024-33112 เพื่อเข้าถึงอุปกรณ์ดังกล่าว และเมื่อสามารถเข้าถึงอุปกรณ์ได้แล้ว ก็จะใช้ช่องโหว่ใน D-Link’s management interface (HNAP) และเรียกใช้คำสั่งที่เป็นอันตรายผ่าน GetDeviceSettings

โดย Botnet ดังกล่าว สามารถขโมยข้อมูล และเรียกใช้ shell scripts รวมถึงเข้าสู่ระบบของอุปกรณ์เพื่อจุดประสงค์ในการโจมตีในรูปแบบ Distributed Denial-of-Service (DDoS)

Ficora Botnet มีการแพร่กระจายอย่างกว้างขวาง โดยเน้นไปที่ประเทศญี่ปุ่น และสหรัฐอเมริกา แต่ Capsaicin Botnet ดูเหมือนจะมุ่งเป้าไปที่อุปกรณ์ในประเทศเอเชียตะวันออกเป็นส่วนใหญ่ โดยเริ่มพบการโจมตีตั้งแต่วันที่ 21 ตุลาคม 2024 และพบการโจมตีเพิ่มขึ้นอย่างต่อเนื่อง

Ficora Botnet

Ficora คือเวอร์ชันใหม่ของ Mirai Botnet ที่ถูกดัดแปลงมาเพื่อโจมตีช่องโหว่ในอุปกรณ์ D-Link โดยเฉพาะ

ตามข้อมูลของ Fortinet พบว่า Botnet มีการกำหนดเป้าหมายการโจมตีแบบสุ่ม โดยพบการโจมตีเพิ่มขึ้นอย่างเห็นได้ชัด 2 ครั้งในเดือนตุลาคม และพฤศจิกายน 2024

หลังจากเข้าถึงอุปกรณ์ D-Link ได้แล้ว Ficora จะใช้ shell script ชื่อ 'multi' เพื่อดาวน์โหลด และเรียกใช้เพย์โหลดผ่านวิธีการต่าง ๆ มากมาย เช่น wget, curl, ftpget และ tftp

Ficora มีฟังก์ชันการ brute force ในตัวพร้อมข้อมูล credentials แบบ hard-coded เพื่อโจมตีอุปกรณ์ที่ใช้ Linux-based เพิ่มเติม และยังรองรับ hardware architecture หลายรายการ ในด้านความสามารถในการโจมตี DDoS นั้น รองรับ UDP Flooding, TCP Flooding และ DNS Amplification เพื่อเพิ่มพลังการโจมตีให้สูงสุด

Capsaicin Botnet

Capsaicin คือเวอร์ชันใหม่ของ Kaiten Botnet ซึ่งเชื่อว่าถูกพัฒนาโดยกลุ่ม Keksec หรือที่รู้จักกันในชื่อ 'EnemyBot' และเป็นมัลแวร์ที่กำหนดเป้าหมายไปยังอุปกรณ์ที่ใช้ Linux

Fortinet ตรวจพบการโจมตีอย่างต่อเนื่องระหว่างวันที่ 21 ถึง 22 ตุลาคม 2024 โดยมุ่งเป้าไปที่ประเทศในเอเชียตะวันออกเป็นหลัก

โดยการโจมตีผ่าน downloader script (“bins.

มีการเปิดเผยรายละเอียดถึงช่องโหว่ด้านความปลอดภัยหลายรายการในการใช้งานสองรูปแบบของโปรโตคอล Manufacturing Message Specification (MMS) ซึ่งหากถูกโจมตีได้สำเร็จ อาจส่งผลกระทบอย่างร้ายแรงต่อภาพรวมของอุตสาหกรรม

นักวิจัย Mashav Sapir และ Vera Mens จาก Claroty ระบุว่า "ช่องโหว่เหล่านี้อาจทำให้ผู้โจมตีสามารถทำให้อุปกรณ์อุตสาหกรรมหยุดทำงาน หรือในบางกรณี อาจทำให้สามารถเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกลได้"

MMS เป็นโปรโตคอลสำหรับการรับส่งข้อความใน OSI application layer ที่ช่วยให้สามารถควบคุม และตรวจสอบอุปกรณ์อุตสาหกรรมจากระยะไกลได้ โดยทำการแลกเปลี่ยนข้อมูลการควบคุมดูแลในลักษณะที่ไม่ขึ้นกับแอปพลิเคชันใด ๆ

โดยเฉพาะอย่างยิ่ง โปรโตคอลนี้ช่วยให้การสื่อสารระหว่างอุปกรณ์อิเล็กทรอนิกส์อัจฉริยะ Intelligent electronic devices (IEDs) กับระบบควบคุม และการเก็บข้อมูลระยะไกล (SCADA) หรือ Programmable logic controllers (PLCs)

ช่องโหว่ทั้ง 5 รายการที่ถูกระบุโดยบริษัทด้านความปลอดภัยเทคโนโลยีนี้ ส่งผลกระทบต่อไลบรารี libIEC61850 ของ MZ Automation และไลบรารี TMW IEC 61850 ของ Triangle MicroWorks ซึ่งได้รับการแก้ไขไปแล้วในเดือนกันยายน และตุลาคม 2022 หลังจากมีการเปิดเผยข้อมูล

CVE-2022-2970 (คะแนน CVSS: 10.0) - ช่องโหว่แบบ stack-based buffer overflow ใน libIEC61850 ที่อาจนำไปสู่การหยุดทำงาน หรือการเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกล
CVE-2022-2971 (คะแนน CVSS: 8.6) - ช่องโหว่แบบ type confusion ใน libIEC61850 ที่อาจทำให้ผู้โจมตีสามารถทำให้เซิร์ฟเวอร์หยุดทำงานด้วย payload ที่เป็นอันตราย
CVE-2022-2972 (คะแนน CVSS: 10.0) - ช่องโหว่แบบ stack-based buffer overflow ใน libIEC61850 ที่อาจนำไปสู่การหยุดทำงาน หรือการเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกล
CVE-2022-2973 (คะแนน CVSS: 8.6) - ช่องโหว่แบบ null pointer deference ที่อาจทำให้ผู้โจมตีสามารถทำให้เซิร์ฟเวอร์หยุดทำงานได้
CVE-2022-38138 (คะแนน CVSS: 7.5) - ช่องโหว่แบบ access of uninitialized pointer ที่ทำให้ผู้โจมตีสามารถโจมตีแบบ denial-of-service (DoS) ได้

การวิเคราะห์ของ Claroty ยังพบว่า SIPROTEC 5 IED ของ Siemens ใช้ MMS-EASE stack เวอร์ชันเก่าของ SISCO สำหรับการรองรับ MMS ซึ่งมีความเสี่ยงต่อการโจมตีแบบ DoS ผ่านแพ็คเก็ตที่ถูกสร้างขึ้นมาเป็นพิเศษ (CVE-2015-6574, คะแนน CVSS: 7.5)

ตามคำเตือนที่เผยแพร่โดยสำนักงานความมั่นคงปลอดภัยทางไซเบอร์ และโครงสร้างพื้นฐานของสหรัฐอเมริกา (CISA) บริษัทสัญชาติเยอรมันได้อัปเดตเฟิร์มแวร์ด้วยเวอร์ชันล่าสุดของ protocol stack ตั้งแต่เดือนธันวาคม 2022

Claroty ระบุว่า งานวิจัยนี้แสดงให้เห็นถึง "ช่องว่างระหว่างความต้องการด้านความปลอดภัยของเทคโนโลยีสมัยใหม่กับโปรโตคอลที่ล้าสมัย และยากที่จะเปลี่ยนแปลง" เพื่อกระตุ้นให้ผู้ผลิตปฏิบัติตามแนวทางด้านความปลอดภัยที่ออกโดย CISA

การเปิดเผยนี้เกิดขึ้นหลังจากที่ Nozomi Networks ได้เปิดเผยรายละเอียดเกี่ยวกับช่องโหว่สองรายการ โดยอ้างอิงจากการใช้งานของโปรโตคอลไร้สาย ESP-NOW ของ Espressif (CVE-2024-42483 และ CVE-2024-42484) ซึ่งอาจอนุญาตให้เกิดการโจมตีแบบ replay และการโจมตีแบบ DoS ได้

ทางบริษัทระบุว่า "ขึ้นอยู่กับระบบที่ถูกโจมตี ช่องโหว่นี้ [CVE-2024-42483] อาจส่งผลกระทบอย่างรุนแรง และ ESP-NOW ซึ่งถูกใช้ในระบบรักษาความปลอดภัย เช่น สัญญาณเตือนภัยในอาคาร ช่วยให้สามารถสื่อสารกับเซ็นเซอร์ตรวจจับการเคลื่อนไหวได้"

"ในกรณีนี้ ผู้โจมตีสามารถใช้ประโยชน์จากช่องโหว่นี้เพื่อนำคำสั่ง 'OFF' ที่ดักจับไว้มาก่อนหน้านี้กลับมาใช้ซ้ำ ทำให้เซ็นเซอร์ตรวจจับการเคลื่อนไหวไม่ทำงานตามต้องการ"

อีกทางเลือกหนึ่ง การใช้ ESP-NOW ในอุปกรณ์เปิดประตูจากระยะไกล เช่น ประตูรั้วอัตโนมัติ และประตูโรงรถ อาจถูกนำมาใช้ในทางที่ผิดโดยการดักจับคำสั่ง "เปิด" และใช้ในภายหลังเพื่อเข้าถึงอาคารโดยไม่ได้รับอนุญาต

เมื่อย้อนกลับไปเดือนสิงหาคมที่ผ่านมา Nozomi Networks ยังได้เปิดเผยช่องโหว่ 37 รายการที่ยังไม่ได้รับการแก้ไขในไลบรารีการแยกวิเคราะห์ OpenFlow libfluid_msg ที่เรียกรวมกันว่า FluidFaults ซึ่งผู้โจมตีสามารถใช้ประโยชน์เพื่อทำให้แอปพลิเคชัน Software-Defined Networking (SDN) หยุดทำงานได้

บริษัทยังระบุอีกว่า "ผู้โจมตีที่สามารถเข้าถึงเครือข่ายของ OpenFlow controller/forwarder สามารถส่งแพ็กเก็ตเครือข่าย OpenFlow ที่เป็นอันตรายซึ่งนำไปสู่การโจมตีแบบ DoS ได้"

ในช่วงไม่กี่เดือนที่ผ่านมา ยังพบช่องโหว่ด้านความปลอดภัยในระบบปฏิบัติการ TwinCAT/BSD ของ Beckhoff Automation ที่อาจทำให้ PLCs เสี่ยงต่อการถูกแก้ไข logic, การโจมตีแบบ DoS และแม้กระทั่งการเรียกใช้คำสั่งด้วยสิทธิ์ระดับ root บน controller

ที่มา : thehackernews.

Zyxel ออกมาแจ้งเตือน และแก้ไขช่องโหว่ระดับ critical ใน NAS devices 3 รายการ ซึ่งทำให้ Hacker ที่ไม่ต้องผ่านการตรวจสอบสิทธิ์ สามารถเรียกใช้คำสั่งบนระบบปฏิบัติการบนอุปกรณ์จัดเก็บข้อมูลบนเครือข่าย (NAS) ที่มีช่องโหว่ได้ (more…)

ในวันพฤหัสบดีที่ผ่านมา หน่วยงานรักษาความปลอดภัยทางไซเบอร์ และหน่วยงานความมั่นคงความปลอดภัยของสหรัฐอเมริกา ออกมาแจ้งเตือนเกี่ยวกับช่องโหว่ด้านความปลอดภัยระดับ Critical ใน Citrix NetScaler Application Delivery Controller (ADC) และอุปกรณ์เกตเวย์ ซึ่งถูกนำมาใช้เพื่อวาง web shell บนระบบที่มีช่องโหว่

ในเดือนมิถุนายน พ.ศ. 2566 ผู้โจมตีใช้ช่องโหว่นี้เป็น Zero day เพื่อวาง web shell ลงในอุปกรณ์ NetScaler ADC ขององค์กร แต่ไม่ใช่ระบบที่ใช้งานจริง (non-production)

ผู้โจมตีใช้ web shell ในการสำรวจ Active Directory (AD) ของเหยื่อ และเก็บรวบรวมข้อมูล AD เพื่อส่งออกไปยังภายนอก และพยายามโจมตีต่อไปยังเครื่อง Domain Controller เพื่อเข้าควบคุม เเต่ถูกอุปกรณ์ในเครือข่าย block การโจมตีไว้ได้

ช่องโหว่ดังกล่าวมีหมายเลข CVE-2023-3519 (คะแนน CVSS 9.8) ซึ่งเป็นช่องโหว่ code injection ที่อาจส่งผลให้มีการเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกลโดยไม่ต้องผ่านการยืนยันตัวตน ซึ่งในต้นสัปดาห์นี้ทาง Citrix ได้ออกแพตซ์อัปเดตเพื่อแก้ไขช่องโหว่ดังกล่าว และแจ้งเตือนถึงความรุนแรงของช่องโหว่นี้

การจะโจมตีช่องโหว่นี้ได้สำเร็จ อุปกรณ์ต้องถูกกำหนดค่าให้เป็นเกตเวย์ (VPN Virtual Server , ICA Proxy , RDP Proxy) หรือเป็น virtual server สำหรับการพิสูจน์ตัวตน, การตรวจสอบสิทธิ์ และการตรวจสอบรายละเอียดการใช้งาน (AAA)

CISA ไม่ได้เปิดเผยชื่อขององค์กรที่ได้รับผลกระทบจากเหตุการณ์นี้ และผู้โจมตี หรือประเทศที่อยู่เบื้องหลังเหตุการณ์นี้

CISA ระบุว่า Web Shell มีการรวบรวมการเปิดใช้งานการตั้งค่าไฟล์ NetScaler, คีย์การถอดรหัสของ NetScaler และข้อมูล AD หลังจากนั้นข้อมูลจะถูกส่งออกไปเป็นไฟล์ภาพ PNG ("medialogininit.

Intel ได้เผยแพร่คำแนะนำด้านความปลอดภัย 27 รายการ ซึ่งมีรายละเอียดช่องโหว่ประมาณ 60 รายการใน Firmware, software libraries และ Endpoint and data center management products.

Microsoft ระบุว่าช่องโหว่ของ Exchange Server ที่ได้รับการแก้ไขไปเมื่อเดือนสิงหาคม 2565 ยังต้องมีการให้ผู้ดูแลระบบเปิดใช้งาน Extended Protection ด้วยตนเองบนเซิร์ฟเวอร์ที่ได้รับผลกระทบ เพื่อให้สามารถบล็อกการโจมตีได้ทั้งหมด เมื่อวันที่ 9 สิงหาคม 2565 ทาง Microsoft ได้ออกแพตซ์แก้ไขช่องโหว่ 121 รายการ รวมถึงช่องโหว่ zero-day บน Windows ที่ชื่อว่า DogWalk ซึ่งกำลังถูกใช้โจมตีอยู่ในปัจจุบัน และช่องโหว่บน Exchange หลายรายการ (CVE-2022-21980, CVE-2022-24477 และ CVE-2022-24516) ซึ่งมีระดับความรุนแรง critical ที่ทำให้สามารถโจมตีในรูปแบบการยกระดับสิทธิ์ได้ โดยผู้โจมตีสามารถโจมตีช่องโหว่ดังกล่าวเพื่อยกระดับสิทธิ์ได้ด้วยการหลอกให้ผู้ใช้งานเข้าถึงเว็ปไซต์ที่เป็นอันตรายผ่านทาง phishing อีเมลล์ หรือข้อความแชท

(more…)

เมื่อวันอังคารที่ผ่านมา Microsoft ได้ออกแพตช์ความปลอดภัยแก้ไขช่องโหว่ทั้งหมด 71 รายการใน Microsoft Windows และซอฟต์แวร์อื่นๆ รวมถึงการแก้ไขช่องโหว่การยกระดับสิทธิ์ ที่ใช้ประโยชน์จากช่องโหว่ที่สามารถใช้ร่วมกันกับช่องโหว่ในการเรียกใช้โค้ดจากระยะไกลเพื่อเข้าควบคุมระบบที่มีช่องโหว่

2 ช่องโหว่ระดับ Critical, 68 ช่องโหว่ระดับ Important และอีก 1 ช่องโหว่ระดับต่ำ โดย 3 ช่องโหว่ในนี้ถูกระบุว่าเป็นช่องโหว่ที่ถูกเปิดเผยออกสู่สาธารณะเรียบร้อยแล้ว

ส่วน 4 ช่องโหว่ zero-days มีดังนี้

CVE-2021-40449 (CVSS score: 7.8) - Win32k Elevation of Privilege Vulnerability
CVE-2021-41335 (CVSS score: 7.8) - Windows Kernel Elevation of Privilege Vulnerability
CVE-2021-40469 (CVSS score: 7.2) - Windows DNS Server Remote Code Execution Vulnerability
CVE-2021-41338 (CVSS score: 5.5) - Windows AppContainer Firewall Rules Security Feature Bypass Vulnerability

ที่ด้านบนสุดของรายการคือ CVE-2021-40449 ช่องโหว่ use-after-free ในไดรเวอร์เคอร์เนล Win32k ที่ Kaspersky ตรวจพบว่ามีการใช้ในการโจมตีเป็นวงกว้างในช่วงปลายเดือนสิงหาคม และต้นเดือนกันยายน 2564 โดยมุ่งเป้าไปที่บริษัทไอที บริษัทผู้ค้าอาวุธ และหน่วยงานทางการทูต โดย Kaspersky ตั้งชื่อกลุ่มผู้โจมตีว่า "MysterySnail"

"ความคล้ายคลึงกันของโค้ด และการนำ C2 [command-and-control] กลับมาใช้ใหม่ที่เราค้นพบ ทำให้เราสามารถเชื่อมโยงการโจมตีเหล่านี้กับผู้โจมตีที่รู้จักกันในชื่อ IronHusky และ Chinese-speaking APT กิจกรรมดังกล่าวย้อนหลังไปถึงปี 2012" นักวิจัยของ Kaspersky Boris Larin และ Costin Raiu กล่าว

การโจมตีนี้จะนำไปสู่การใช้โทรจันเพื่อการเข้าถึงระยะไกลที่สามารถรวบรวม และขโมยข้อมูลระบบจากเครื่องที่ถูกโจมตีก่อนที่จะพยายามติดต่อไปยังเซิร์ฟเวอร์ C2

ช่องโหว่อื่น ๆ ได้แก่ช่องโหว่การเรียกใช้โค้ดจากระยะไกลที่ส่งผลต่อ Microsoft Exchange Server (CVE-2021-26427), Windows Hyper-V (CVE-2021-38672 และ CVE-2021-40461), SharePoint Server (CVE-2021-40487 และ CVE- 2021-41344) และ Microsoft Word (CVE-2021-40486) รวมถึงช่องโหว่ที่อาจนำไปสู่การเปิดเผยข้อมูลใน Rich Text Edit Control (CVE-2021-40454)

CVE-2021-26427 ซึ่งมีคะแนน CVSS 9.0 และถูกพบโดย US National Security Agency "เซิร์ฟเวอร์ Exchange เป็นเป้าหมายที่มีมูลค่าสูงสำหรับแฮกเกอร์ที่ต้องการเจาะเครือข่ายธุรกิจ" Bharat Jogi จาก Qualys กล่าว

October Patch Tuesday แก้ไขอีกช่องโหว่สองจุดที่พึ่งถูกค้นพบใน Print Spooler CVE-2021-41332 และ CVE-2021-36970 ด้วย

ซอฟต์แวร์แพตช์จากผู้ให้บริการรายอื่น

นอกจากไมโครซอฟต์แล้ว ผู้ให้บริการรายอื่นๆยังได้ออกแพตซ์เพื่อแก้ไขช่องโหว่หลายรายการ ได้แก่

Adobe
Android
Apple
Cisco
Citrix
Intel
Linux distributions Oracle Linux, Red Hat, and SUSE
SAP
Schneider Electric
Siemens, and
VMware

ที่มา: thehackernews.