Cisco ออกประกาศแจ้งเตือนช่องโหว่ Remote code execution (RCE) ซึ่งส่งผลกระทบต่อโซลูชันเราท์เตอร์ VPN หลายรายการ ช่องโหว่นี้อยู่ในระดับวิกฤติเนื่องจากผู้โจมตีสามารถรันคำสั่งอันตรายผ่านช่องโหว่ได้ด้วยสิทธิ์สูงสุดของระบบ

อ้างอิงจาก Security advisory ของ Cisco ช่องโหว่โดยส่วนใหญ่ซึ่งถูกแพตช์ในรอบนี้นั้นเกิดจากการตรวจสอบ HTTP request ที่ไม่เหมาะสม ส่งผลให้ผู้โจมตีสามารถส่งข้อมูลแบบพิเศษมาเพื่อโจมตีอุปกรณ์ได้ รายการอุปกรณ์ส่วนใหญ่อยู่ในกลุ่ม Small business router ที่มีรุ่นของเฟิร์มแวร์ก่อนหน้า 1.0.01.02 อาทิ

RV160 VPN Router
RV160W Wireless-AC VPN Router
RV260 VPN Router
RV260P VPN Router POE
RV260W Wireless-AC VPN Router

แพตช์ของช่องโหว่ได้ถูกกระจายแล้ว โดยผู้ใช้งานสามารถทำการอัปเดตแพตช์ได้ทันทีด้วยฟีเจอร์ของอุปกรณ์ เราขอแนะนำให้ทำการอัปเดตแพตช์โดยด่วนก่อนจะมีการใช้ช่องโหว่ในการโจมตีจริง

ที่มา:

bleepingcomputer.

นักวิจัยจากบริษัท Vdoo บริษัทด้านรักษาความปลอดภัย IoT ของประเทศอิสราเอล ได้ออกมาเปิดเผยถึงการค้นพบช่องโหว่ที่สำคัญ 6 รายการในโมดูล Wi-Fi Realtek RTL8195A ซึ่งอาจถูกนำไปใช้ประโยชน์เพื่อเข้าถึงรูทและควบคุมอุปกรณ์การสื่อสารไร้สายของได้อย่างสมบูรณ์

Realtek RTL8195A เป็นโมดูลฮาร์ดแวร์ Wi-Fi แบบสแตนด์อโลนใช้พลังงานต่ำถูกใช้ในอุปกรณ์ Embedded หลายตัวที่ใช้ในหลายอุตสาหกรรมเช่นการเกษตร, สมาร์ทโฮม, สุขภาพ, เกมและภาคยานยนต์

ช่องโหว่ที่สำคัญถูกติดตามด้วยรหัส CVE-2020-9395 ซึ่งเป็นช่องโหว่ Buffer overflow ที่จะอนุญาตให้ผู้โจมตีที่อยู่ใกล้โมดูล RTL8195 เข้ายึดโมดูลได้โดยไม่ต้องรู้รหัสผ่านเครือข่าย Wi-Fi ไม่ว่าโมดูลจะทำหน้าที่เป็นจุดเชื่อมต่อ Wi-Fi (AP) หรือไคลเอนต์ สำหรับช่องโหว่ที่สำคัญอีกช่องโหว่หนึ่งคือ CVE-2020-25854 เป็นช่องโหว่ที่ทำให้ผู้โจมตีสามารถเรียกใช้โค้ดโดยไม่ได้รับอนุญาตบนไคลเอนต์ Wi-Fi ได้

นักวิจัยจากบริษัท Vdoo ได้ทำการทดสอบช่องโหว่โดยใช้โมดูล RTL8195A แต่นักวิจัยกล่าวว่าโมดูลอื่นๆ เช่น RTL8711AM, RTL8711AF และ RTL8710AF ก็ได้รับผลกระทบอีกเช่นกัน

ทั้งนี้ Realtek ได้เปิดตัวเฟิร์มแวร์ Ameba Arduino 2.0.8 ซึ่งเป็นเฟิร์มแวร์สำหรับแพตช์ช่องโหว่ทั้ง 6 ที่พบโดยนักวิจัยจากบริษัท Vdoo ผู้ใช้งานควรทำการอัปเดตเฟิร์มแวร์ให้เป็นเวอร์ชันล่าสุดเพื่อป้องกันการตกเป็นเหยื่อของผู้ประสงค์ร้าย

ที่มา: thehackernews.

Drupal ได้ออกแพตซ์ฉุกเฉินเพื่อแก้ไขช่องโหว่ที่สำคัญระดับ “Critical” โดยช่องโหว่จะทำให้ผู้โจมตีสามารถเรียกใช้โค้ด PHP ได้โดยไม่ต้องรับอนุญาต

ช่องโหว่สองรายการที่ได้รับการแก้ไขเกิดจากข้อบกพร่องในไลบรารี PEAR Archive_Tar ที่ถูกใช้บนระบบ Content Management System (CMS) ติดตามด้วยรหัส CVE-2020-28948 และ CVE-2020-28949 โดยช่องโหว่จะอนุญาตให้ผู้ประสงค์ร้ายสามารถอัปโหลดไฟล์ที่มีนามสกุล .tar, .tar.

Michael Clark และ Wes Wright นักวิจัยด้านความปลอดภัยจาก Digital Defense ได้เปิดเผยถึงช่องโหว่การ Bypass การตรวจสอบบัญชีด้วย Two-Factor Authentication (2FA) ผ่านการโจมตีแบบ Brute-force บนซอฟต์แวร์ cPanel และ WebHost Manager (WHM) ซึ่งเป็นซอฟต์แวร์การดูแลระบบที่จะช่วยให้ผู้ดูแลระบบและเจ้าของเว็บไซต์สามารถจัดการเซิร์ฟเวอร์และเว็บไซต์ได้โดยอัตโนมัติ โดยใช้กราฟิกยูสเซอร์อินเทอร์เฟซ

ช่องโหว่ถูกติดตามด้วยรหัส CVE-2020-27641 โดยช่องโหว่จะเปิดโอกาศให้ผู้ประสงค์ร้ายสามารถทำการโจมตีแบบ Brute-force เพื่อทำการ Bypass การตรวจสอบการเข้าสู่บัญชีด้วย 2FA เนื่องจาก cPanel ไม่ได้บล็อกผู้ใช้หากผู้ใช้ทำการใส่รหัส 2FA ซ้ำๆ กันบ่อยๆ ซึ่งนักวิจัยได้กล่าวว่าการโจมตีลักษณะนี้สามารถทำให้ผู้ประสงค์ร้ายเข้าสู่ระบบได้ภายในเวลาไม่กี่ชั่วโมงหรือในบางกรณีอาจใช้เวลาไม่กี่นาทีก็สามารถเข้าสู่ระบบได้ อย่างไรก็ดีผู้ประสงค์ร้ายต้องมี Credential ของผู้ใช้ก่อนจึงจะสามารถทำการโจมตีได้

ทั้งนี้นักวิจัยได้ทำการแจ้งปัญหาเกี่ยวกับช่องโหว่ให้ทาง cPanel รับทราบแล้วและทางทีมงาน cPanel ได้ออกแพตซ์เพื่อแก้ไขช่องโหว่แล้วใน cPanel และ WHM เวอร์ชัน 11.92.0.2, 11.90.0.17 และ 11.86.0.32 ผู้ใช้และผู้ดูแลระบบควรทำการอัปเดตซ์แพตซ์ cPanel และ WHM ให้เป็นเวอร์ชันล่าสุดเพื่อเป็นการป้องกันผู้ประสงค์ร้ายใช้ประโยชน์จากช่องโหว่ทำการโจมตีระบบ

ที่มา:

bleepingcomputer.

นักวิจัยด้านความปลอดภัยชาวฝรั่งเศส Clément Labro ได้เปิดเผยถึงการค้นพบช่องโหว่ Zero-day โดยบังเอิญซึ่งส่งผลกระทบต่อระบบปฏิบัติการ Windows 7 และ Windows Server 2008 R2

ช่องโหว่สองรายการที่ถูกค้นพบนี้อยู่ใน Registry key โดยช่องโหว่เกิดจากการกำหนดค่าไม่ถูกต้องในเซอร์วิส PC Endpoint Mapper และ DNSCache ตามพาทดังนี้

HKLM \ SYSTEM \ CurrentControlSet \ Services \ RpcEptMapper
HKLM \ SYSTEM \ CurrentControlSet \ Services \ Dnscache

นักวิจัยกล่าวว่าช่องโหว่ที่ถูกค้นพบสามารถทำให้ผู้ประสงค์ร้ายแก้ไข Registry key ได้ โดย Registry key ดังกล่าวจะถูกนำไปใช้ต่อเพื่อเปิดใช้งาน sub-key ในกลไกของ Windows Performance Monitoring ซึ่งโดยปกติแล้วจะเปิดให้นักพัฒนาสามารถโหลดไฟล์ DLL ของตนเองที่ทำการแก้ไขด้วย Custom tool เพื่อการติดตามประสิทธิภาพของแอปพลิเคชันได้ตามต้องการ ซึ่งด้วยวิธีการนี้ใน Windows เวอร์ชันใหม่ๆ จะมีการจำกัดสิทธิการทำงานนี้ไว้ แต่ด้วยกลไกลที่กล่าวมาของ Windows 7 และ Server 2008 ผู้ประสงค์ร้ายที่อยู่ในระบบสามารถใช้ช่องทางนี้ในการลอบรันโค้ดในระดับ SYSTEM ได้

Clément Labro พบช่องโหว่นี้โดยบังเอิญจากการทำ PrivescCheck เครื่องมือตรวจสอบการตั้งค่าว่า Windows มีการตั้งค่าที่ไม่ถูกต้องและอาจถูกใช้ในการยกระดับสิทธิได้หรือไม่ โดยเขาพบช่องโหว่ดังกล่าวเมื่อทดลอง PrivescCheck กับ Windows 7 ภายหลังจากที่อัปเดต PrivescCheck สู่สาธารณะไปแล้ว จึงเลือกที่จะเผยแพร่การค้นพบช่องโหว่ Zero-day นี้

ทั้งนี้ Windows 7 และ Windows Server 2008 R2 ได้สิ้นสุดอายุการซับพอต (End Of Life - EOL) และทาง Microsoft ได้หยุดให้บริการอัปเดตแพตซ์ความปลอดภัยให้แก่ผู้ใช้แล้ว อย่างไรก็ดีผู้ใช้สามารถทำการอัปเดตแพตซ์ความปลอดภัยได้โดยการชำระเงิน (Extended Support Updates - ESU) หรือการอัปเดตแพตช์จาก Third-party เช่น 0patch ของบริษัท ACROS Security ซึ่งได้ทำการอัปเดตแพตซ์ความปลอดภัยและเเก้ไขช่องโหว่ดังกล่าวแล้ว

ที่มา:

zdnet.

นักวิจัยด้านความปลอดภัยจาก Bank_Security ได้เปิดเผยถึงการค้นพบข้อมูล Credential ของ Fortinet VPN ที่มีเกือบ 50,000 รายการในฟอรั่ม Dark web

ข้อมูล Credential ที่ถูกปล่อยนั้นเป็นไฟล์ "sslvpn_websession" ของ Fortinet VPN ที่ถูกใช้ประโยชน์จากช่องโหว่ CVE-2018-13379 ซึ่งเป็นช่องโหว่ path traversal ที่ส่งผลกระทบต่ออุปกรณ์ Fortinet FortiOS SSL VPN จำนวนมากที่ไม่ได้รับการเเพตซ์ความปลอดภัย ด้วยการใช้ประโยชน์จากช่องโหว่นี้ผู้โจมตีระยะไกลที่ไม่ได้รับการพิสูจน์ตัวตนสามารถเข้าถึงไฟล์ของระบบผ่านการร้องขอ HTTP request ที่สร้างขึ้นเป็นพิเศษไปยังอุปกรณ์ ซึ่งผู้โจมตีจะสามารถเข้าถึงไฟล์ sslvpn_websession จาก Fortinet VPN ได้และจะสามารถขโมยข้อมูล Credential ของการเข้าสู่ระบบ โดยข้อมูล Credential ที่ถูกขโมยเหล่านี้สามารถใช้ในบุกรุกเครือข่ายได้

นักวิจัยได้ทำการวิเคราะห์ข้อมูลที่ถูกรั่วไหลออกมา พบว่า IP และโดเมนส่วนใหญ่เป็นของรัฐบาลจากทั่วโลกและเป็นของธนาคารและบริษัททางด้านการเงินทุนที่มีชื่อเสียง

ทั้งนี้ผู้ดูแลระบบของ Fortinet VPN ควรรีบทำการตรวจสอบและควรรีบทำการอัปเดตแพตซ์ความปลอดภัยเป็นการด่วนเพื่อเป็นการป้องกันการโจมตีจากผู้ประสงค์ร้าย

ที่มา:

https://www.

ทีม Drupal ประกาศแพตช์สำหรับช่องโหว่ระดับวิกฤติ CVE-2020-13671 จากปัญหา Double extension ซึ่งส่งผลให้ผู้โจมตีสามารถอัปโหลดไฟล์ที่เป็นอันตรายขึ้นบนระบบได้โดยข้ามผ่านการตรวจสอบที่เหมาะสม

Double extension เป็นปัญหาและช่องโหว่ที่เกิดขึ้นเมื่อแอปพลิเคชันทำการตรวจสอบนามสกุลและประเภทของไฟล์ที่ไม่เหมาะสม ตัวอย่างหนึ่งของการโจมตีคือหากผู้ไม่ประสงค์ต้องการอัปโหลดไฟล์อันตรายชื่อ malware.

นักวิจัยด้านความปลอดภัยจาก Symantec ได้เปิดเผยถึงการค้นพบแคมเปญการโจมตีเป้าหมายทางด้านธุรกิจที่เกี่ยวข้องกับอุตสาหกรรมยานยนต์, เภสัชกรรม, วิศวกรรมและผู้ให้บริการแบบ Managed Service Provider (MSP) โดยใช้ช่องโหว่ CVE-2020-1472 (ZeroLogon) จากกลุ่มเเฮกเกอร์ที่มีชื่อว่า “Cicada” หรือที่รู้จักกันในชื่อ APT10, Stone Panda และ Cloud Hopper

กลุ่ม Cicada เป็นกลุ่มภัยคุกคามที่ถูกเปิดเผยครั้งแรกในปี 2009 และเป็นกลุ่มที่รัฐบาลสหรัฐฯ เชื่อว่าอาจได้รับการสนับสนุนจากรัฐบาลจีน โดยในกิจกรรมแคมเปญการโจมตีกลุ่มธุรกิจในครั้งนี้ กลุ่ม Cicada ได้ทำการเพิ่มการใช้ประโยชน์จากช่องโหว่ CVE-2020-1472 (ZeroLogon) เข้าไปในเครื่องมือของกลุ่มแฮกเกอร์ ซึ่งช่องโหว่ดังกล่าวเป็นช่องโหว่การเข้ารหัสใน Microsoft Windows Netlogon Remote Protocol (MS-NRPC หรือ NRPC) และเป็นช่องโหว่ที่สำคัญที่ทำให้ผู้โจมตีสามารถยกระดับสิทธิ์และสามารถปลอมเป็นเครื่องใดๆ ในโดเมนรวมถึงภายในโดเมนคอนโทรลเลอร์และจะสามารถส่งคำขอเพื่อเปลี่ยนรหัสผ่านเพื่อยึดโดเมนคอนโทรลเลอร์ได้

กลุ่ม Cicada ยังได้ทำการเปิดตัว Backdoor.

Google เตรียมปล่อยแพตช์ช่องโหว่ Zero-day เพิ่มอีก 2 รายการหลังจากมีการติดต่อมาจากนักวิจัยด้านความปลอดภัยนิรนามเกี่ยวกับรายละเอียดของช่องโหว่และความเป็นไปได้ที่ทั้งสองช่องโหว่จะถูกใช้เพื่อโจมตีจริงแล้ว

ช่องโหว่แรกคือ CVE-2020-16013 เป็นช่องโหว่ซึ่งเกิดจากการอิมพลีเมนต์ที่ไม่ถูกต้องของ WebAssembly และเอนจินจาวาสคริปต์ ส่วนอีกช่องโหว่หนึ่งคือ CVE-2020-16017 ซึ่งเป็นช่องโหว่ use-after-free ในฟีเจอร์ Site isolation ซึ่งส่งผลให้เกิดการรันโค้ดที่เป็นอันตรายได้ ในขณะนี้รายละเอียดของช่องโหว่รวมไปถึงข้อมูลของผู้โจมตีซึ่งใช้ช่องโหว่นั้นยังคงถูกจำกัด คาดว่าจะมีการปล่อยข้อมูลออกมาหลังจากมีการแพตช์ออกซักระยะหนึ่งต่อไป

จากสถิติที่ผ่านมา Google ออกแพตช์ Zero-day ไปทั้งหมดกว่า 5 ช่องโหว่ในช่วงเวลาหนึ่งเดือน ลักษณะดังกล่าวส่อเค้าให้เห็นถึงความเป็นไปได้ว่าอาจมีกลุ่มของผู้โจมตีที่กำลังเคลื่อนไหวและมีการใช้ช่องโหว่ใน Google Chrome ในการโจมตีจริงอยู่ ขอให้ผู้ใช้งานติดตามการอัปเดตแพตช์และติดตั้งแพตช์เพื่อลดความเสี่ยงที่จะถูกโจมตีอย่างใกล้ชิด

ที่มา: bleepingcomputer.

นักวิจัยด้านความปลอดภัยจาก Juniper Threat Labs ได้ทำการตรวจพบเวิร์มและบ็อตเน็ตชนิดใหม่ที่อาศัย GitHub และ Pastebin ในการสร้างโค้ดคอมโพเนนต์ที่เป็นอันตรายและมีโมดูลในการโจมตีที่แตกต่างกันอย่างน้อย 12 โมดูลและมัลแวร์ยังมีความสามารถในการแพร่กระจายในรูปแบบอัตโนมัติ โดยมัลแวร์อาจนำไปสู่การแพร่กระจายภายในเครือข่ายองค์กรหรือไปยังโฮสต์ของผู้ใช้ที่ทำการเชื่อมต่อ ซึ่งนักวิจัยได้มัลแวร์ชนิดนี้ว่า “Gitpaste-12”

มัลแวร์“Gitpaste-12” ถูกตรวจพบครั้งแรกประมาณวันที่ 15 ตุลาคม ที่ผ่านมา โดยมัลแวร์จะมีโมดูลที่ใช้ในการโจมตีซึ่งประกอบไปด้วยช่องโหว่จำนวน 11 ช่องโหว่คือ CVE-2017-14135 (Webadmin plugin for opendreambox), CVE-2020-24217 (HiSilicon video encoders), CVE-2017-5638 (Apache Struts), CVE-2020-10987 (Tenda router), CVE-2014-8361 (Realtek SDK), CVE-2020-15893 (Dlink routers), CVE-2013-5948 (Asus routers), EDB-ID: 48225 (Netlink GPON Router), EDB-ID: 40500 (AVTECH IP Camera), CVE-2019-10758 (CVE-2019-10758) และ CVE-2017-17215 (Huawei router)

นักวิจัยกล่าวว่าขึ้นตอนการโจมตีของ Gitpaste-12 จะเริ่มต้นโดยการดาวน์โหลดสคริปต์จาก Pastebin URL ซึ่งจะสั่งให้โฮสต์ที่ติดเชื้อเรียกใช้สคริปต์นี้ต่อไปทุกๆ นาที จากนี้มัลแวร์จะดาวน์โหลด Shell script หลักจาก GitHub ซึ่งก็คือ https: //raw.