ทีม Offensive จาก Positive Technologies ทวีตช่องโหว่ใหม่ที่ถูกแพตช์แล้วใน VMware vCenter 6.5u1 โดยเป็นช่องโหว่อ่านไฟล์ในระบบได้แบบไม่ต้องพิสูจน์ตัวตน ยังไม่มีการกำหนด CVE ในขณะนี้

ช่องโหว่นี้สามารถโจมตีได้โดยการส่ง HTTP GET request ไปยัง /eam/vib?id=<path> โดยเปลี่ยนพาธเป็นพาธของไฟล์ที่ต้องการอ่าน หลังจากนั้นใน HTTP response จะปรากฎ content ของไฟล์ทันที

ช่องโหว่นี้ถูกทดสอบใน VMware vCenter เวอร์ชัน 6.5.0a-f และอาจมีเวอร์ชันก่อนหน้านี้ที่ได้รับผลกระทบด้วย แนะนำให้ตรวจสอบและทำการแพตช์โดยด่วน

ที่มาและรูปภาพจาก: twitter.

SoniclWall ออกประกาศแพตช์อุด 11 ช่องโหว่ความปลอดภัย โดยหนึ่งในช่องโหว่ความปลอดภัยรหัส CVE-2020-5135 เป็นช่องโหว่ stack-based buffer overflow ซึ่งทำให้ผู้โจมตีสามารถรันโค้ดที่เป็นอันตรายกับอุปกรณ์ที่มีช่องโหว่ด้านโดยไม่ต้องมีการพิสูจน์ตัวตน

Nikita Abramov จาก Positive Technologies และ Craig Young จาก TripWrie ซึ่งมีส่วนร่วมในการค้นพบช่องโหว่นี้ให้ข้อมูลเพิ่มเติมว่า ช่องโหว่ดังกล่าวอยู่ในเซอร์วิส product management และ SSL VPN remote access ที่สามารถถูกสแกนเจอได้จากบริการอย่าง Shodan

นอกเหนือจาก CVE-2020-5135 แล้ว ช่องโหว่ที่น่าสนใจอีกช่องโหว่หนึ่งคือ CVE-2020-5142 ซึ่งผู้โจมตีสามารถสร้างโค้ดจาวาสคริปต์ไปที่หน้า SSL-VPN portal เพื่อทำ DoS อุปกรณ์ได้โดยไม่ต้องมีการพิสูจน์ตัวตน

ในขณะนี้อุปกรณ์ที่ได้รับผลกระทบคือ SonicOS 6.5.4.7-79n และรุ่นก่อนหน้า, SonicOS 6.5.1.11-4n และรุ่นก่อนหน้า, SonicOS 6.0.5.3-93o และรุ่นก่อนหน้า, SonicOS 6.5.4.4-44v-21-794 และรุ่นก่อนหน้า และ SonicOS 7.0.0.0-1 ขอให้ทำการอัปเดตอุปกรณ์เพื่อจัดการความเสี่ยงที่เกิดขึ้นจากช่องโหว่โดยด่วน

ที่มา: threatpost.

Andy Nguyen นักวิจัยด้านความปลอดภัยจาก Google เปิดเผยชุดช่องโหว่ใหม่ภายใต้ชื่อ BleedingTooth ในโค้ด BlueZ ซึ่งอิมพลีเมนต์โปรโตคอล Bluetooth ทั้งหมด 3 CVE ได้แก่ CVE-2020-12351, CVE-2020-12352 และ CVE-2020-24490 ช่องโหว่ที่มีความร้ายแรงที่สุด (CVSSv3 8.3) นั้นคือช่องโหว่ CVE-2020-12351

ช่องโหว่ CVE-2020-12351 เป็นช่องโหว่ heap overflow ในโค้ดของ Bluetooth ในลินุกซ์เคอร์เนล ช่องโหว่นี้สามารถทำให้ผู้โจมตีซึ่งอยู่ในระยะของเครือข่าย Bluetooth ส่งแพ็คเกต l2cap แบบพิเศษที่ทำให้เกิดการ DoS หรือรันคำสั่งอันตรายในอุปกรณ์ด้วยสิทธิ์ของระบบได้ Andy มีการเปิดเผย PoC ของช่องโหว่นี้ไว้ใน GitHub อีกด้วยที่ https://github.

โค้ด exploit คือชุดของโค้ดซึ่งถูกออกแบบมาเพื่อโจมตีช่องโหว่ โดยไฟล์ exploit จะประกอบไปด้วยส่วนของโค้ดซึ่งใช้โจมตีช่องโหว่จริง ๆ และส่วนของโค้ดที่จะถูกนำมาใช้หลังจากโจมตีช่องโหว่สำเร็จ หรือที่รู้จักกันด้วยคำว่า payload

ทีมนักวิจัยด้านความปลอดภัยจาก Check Point ได้มีการแกะรอยไฟล์ไบนารีไฟล์หนึ่งซึ่งถูกตรวจพบในระบบของลูกค้าซึ่งถูกโจมตี โดยผลการแกะรอยไฟล์ประสานกับการเชื่อมโยงข้อมูลจากระบบ threat intelligence ทำให้ Check Point สามารถระบุตัวผู้ขายโค้ดสำหรับโจมตีช่องโหว่ และผู้ซื้อซึ่งรวมไปถึงกลุ่ม APT อื่น ๆ ได้

แนวทางของการแกะรอยของ Check Point ประกอบด้วยการดำเนินการ 3 ขั้นตอนซ้ำไปซ้ำมาและขยายผลการค้นหาออกไปเรื่อย ๆ ได้แก่

1. วิเคราะห์ไฟล์ไบนารีที่เจอ ระบุหาเอกลักษณ์ของไฟล์นั้น ๆ ซึ่งแฝงอยู่ใน metadata ของไฟล์หรือในส่วน header ของไฟล์เอง
2. นำผลลัพธ์ที่ได้ไปขยายผลในระบบ threat intelligence จนได้ไฟล์ที่มีลักษณะเหมือนกัน จากนั้นนำไฟล์ที่ได้มีวิเคราะห์ต่อไปเรื่อย ๆ
3. เมื่อถึงจุดหนึ่ง ไฟล์ที่ตรวจพบและมีคุณลักษณะเหมือนกันจะเชื่อมโยงกลับไปหาผู้ขายโดยอัตโนมัติ ถ้าข้อมูลในระบบ threat intelligence นั้นมากและมีคุณภาพมากพอ

กลุ่มผู้ขายโค้ดสำหรับโจมตีช่องโหว่ดังกล่าวมีชื่อว่า Volodya โดยลูกค้าซึ่งตรวจพบประวัติการซื้อขายโค้ดประกอบไปด้วยกลุ่ม APT ต่าง ๆ มากมาย ได้แก่ Ursnif, GandCrab, Cerber, Magniber, Turla และ APT28

สำหรับผู้ที่สนใจแนวทางในเชิงเทคนิค ทีมตอบสนองการโจมตีและภัยคุกคามขอแนะนำให้ลองอ่านบล็อกของ Check Point ฉบับเต็มที่ https://research.

นักวิจัยด้านความปลอดภัย Carlo Di Dato ออกมาเปิดเผยถึงช่องโหว่ในบริการ Gravatar ซึ่งเป็นบริการสำหรับกำหนดรูป avatar และเชื่อมโยงกับหลายบริการทั้ง WordPress และ GitHub

ช่องโหว่ที่ถูกค้นพบนั้นเป็นลักษณะของ broken access control อ้างอิงจาก OWASP Top 10 ผู้โจมตีสามารถทำการโจมตีได้ผ่านการเข้าถึงพาธ http://en.

หน่วยงาน Cybersecurity and Infrastructure Security Agency (CISA) ออกประกาศรหัส AA20-258A ล่าสุดภายใต้หัวข้อซึ่งมีการพูดถึงแคมเปญการโจมตีทางไซเบอร์ซึ่งมีกระทรวงความมั่นคงของจีน (Ministry of State Security - MSS) หนุนหลัง โดยได้มีการเผยแพร่ช่องโหว่ซึ่งแฮกเกอร์จีนมักจะใช้ในการโจมตีและพฤติกรรมของแฮกเกอร์จีนด้วย

รายการช่องโหว่ทั้งหมดที่ถูกใช้เพื่อโจมตีล้วนแล้วอยู่ในช่วง "สัปดาห์นรก" ของวงการ Security ที่มีการประกาศการค้นพบช่องโหว่ในอุปกรณ์เครือข่ายและระบบสำคัญหลายช่องโหว่ โดยมีรายการดังนี้

ช่องโหว่ใน F5 Big-IP รหัส CVE-2020-5902 รันคำสั่งอันตรายในอุปกรณ์ได้จากระยะไกล
ช่องโหว่ใน Citrix VPN Appliance รหัส CVE-2019-19781 รันคำสั่งอันตรายในอุปกรณ์ได้จากระยะไกล
ช่องโหว่ใน Pulse Secure VPN รหัส CVE-2019-11510 รันคำสั่งอันตรายเพื่ออ่านข้อมูลในระบบได้จากระยะไกล
ช่องโหว่ใน Microsoft Exchange รหัส CVE-2020-0688 ใช้รันคำสั่งอันตรายเพื่อขโมยอีเมลได้

ช่องโหว่ทั้งหมดมีโค้ดสำหรับโจมตีเผยแพร่ในอินเตอร์เน็ตแล้ว และมักถูกใช้โดยกลุ่ม Ransomware เพื่อโจมตีและเรียกค่าไถ่ด้วย ขอให้องค์กรทำการตรวจสอบและลดความเสี่ยงที่จะถูกโจมตีด้วยช่องโหว่เหล่านี้โดยด่วน

ที่มา: zdnet.

รัฐบาลสหราชอาณาจักรออกแนวทางใหม่ในการช่วยให้องค์กรจัดการกระบวนการรายงานช่องโหว่ให้มีประสิทธิภาพมากยิ่งขึ้น และเพื่อเป้าหมายในการลดความเสี่ยงอย่างแท้จริง

คู่มือดังกล่าวมีการพูดถึง 3 องค์ประกอบหลักที่องค์กรจำเป็นต้องมีคือการสื่อสารอย่างมีประสิทธิภาพ (Communcation), กระบวนการที่ครอบคลุม (Policy), และช่องทางในการติดต่อ โดย NCSC ซึ่งเป็นหน่วยงานที่ออกคู่มือนั้นยังได้มีการพูดถึงการทำไฟล์ Security.

 

Adobe ได้เปิดตัวแพตซ์การอัปเดตด้านความปลอดภัยเพื่อแก้ไขช่องโหว่ระดับ “Critical” จำนวน 18 รายการที่อาจทำให้ผู้โจมตีสามารถรันโค้ดได้โดยไม่ได้รับอนุญาตบนอุปกรณ์ที่ใช้ Adobe InDesign, Adobe Framemaker และ Adobe Experience Manager เวอร์ชันที่มีช่องโหว่ โดยช่องโหว่ที่มีความสำคัญมีดังนี้

ช่องโหว่สำหรับผลิตภัณฑ์ Adobe InDesign ได้รับการเเก้ไขช่องโหว่จำนวน 5 รายการถูกติดตามด้วยรหัส CVE-2020-9727, CVE-2020-9728, CVE-2020-9729, CVE-2020-9730 และ CVE-2020-9731ช่องโหว่เป็นประเภท Memory Corruption ช่องโหว่จะทำให้ผู้โจมตีสามารถโค้ดได้โดยไม่ได้รับอนุญาต ช่องโหว่นี้มีจะส่งผลกรทบกับ Adobe InDesign สำหรับ macOS ผู้ใช้ Adobe InDesign สำหรับ macOS ควรทำการอัปเดตเป็นเวอร์ชัน 15.1.2 เพื่อแก้ไขช่องโหว่นี้
ช่องโหว่สำหรับผลิตภัณฑ์ Adobe Framemaker ได้รับการเเก้ไขช่องโหว่จำนวน 2 รายการถูกติดตามด้วยรหัส CVE-2020-9726 และ CVE-2020-9725 ช่องโหว่เป็นประเภท Out-of-Bounds Read และ Stack-based Buffer Overflow ช่องโหว่จะทำให้ผู้โจมตีสามารถโค้ดได้โดยไม่ได้รับอนุญาต ช่องโหว่นี้มีจะส่งผลกระทบกับ Adobe Framemaker สำหรับ Windows ผู้ใช้ควรทำการอัปเดต Adobe Framemaker ให้เป็นเวอร์ชัน 2019.0.7 เพื่อแก้ไขช่องโหว่นี้
ช่องโหว่สำหรับผลิตภัณฑ์ Adobe Experience Manager ได้รับการเเก้ไขช่องโหว่จำนวน 11 รายการถูกติดตามด้วยรหัส CVE-2020-9732, CVE-2020-9733, CVE-2020-9734, CVE-2020-9735, CVE-2020-9736, CVE-2020-9737, CVE-2020-9738, CVE-2020-9740, CVE-2020-9741, CVE-2020-9742 และ CVE-2020-9743 ช่องโหว่เป็นประเภท Cross-Site Scripting (XSS) ช่องโหว่จะทำให้ผู้โจมตีสามารถเรียกใช้ JavaScript ในเบราว์เซอร์และอาจนำไปสู่การเปิดเผยข้อมูลที่สำคัยได้ ช่องโหว่จะส่งผลกระทบกับผู้ติดตั้ง Adobe Experience Manager ก่อนเวอร์ชั่น 6.5.6.0 หรือ 6.4.8.2 และผู้ใช้ AEM Forms add-on ผู้ใช้ควรทำการอัปเดตเเพตซ์ AEM เป็นเวอร์ชั่น 6.5.6.0 หรือ 6.4.8.2 และทำการอัปเดตเเพตซ์ AEM Forms add-on Service Pack เพื่อทำการเเก้ไขช่องโหว่ดังกล่าว

ทั้งนี้ Adobe ได้ออกคำเเนะนำให้ผู้ใช้ควรทำการอัปเดตผลิตภัณฑ์ของ Adobe ให้เป็นเวอร์ชันล่าสุดเพื่อป้องกันผู้ประสงค์ร้ายใช้ประโยชน์จากช่องโหว่เป็นช่องทางในการโจมตีระบบของผู้ใช้

ที่มา: bleepingcomputer.

นักวิจัยอิสระจากสถาบัน École Polytechnique Fédérale de Lausanne (EPFL) และ Purdue University ได้เปิดเผยถึงการค้นพบช่องโหว่ใหม่ใน Bluetooth 4.0 และ 5.0 ซึ่งช่องโหว่นี้จะส่งผลกระทบกับอุปกรณ์ที่ใช้บลูทูธใน Dual-mode เช่นสมาร์ทโฟนรุ่นใหม่ ช่องโหว่นี้อาจทำให้ผู้โจมตีสามารถเขียนทับคีย์หรือลดระดับความแรงของ pairing key ที่ใช้เชื่อมต่อซึ่งอาจทำให้ผู้โจมตีสามารถเข้าถึงเซอร์วิสหรือข้อมูลบางอย่างภายในอุปกรณ์ได้

ช่องโหว่ถูกติดตามด้วยรหัส CVE-2020-15802 ถูกเรียกว่า “BLURtooth” ช่องโหว่อยู่ในคอมโพเนนต์ Cross-Transport Key Derivation (CTKD) ของมาตรฐานบลูทูธ โดยคอมโพเนนต์นี้ใช้สำหรับการเชื่อมต่อและทำการตั้งค่าคีย์การตรวจสอบสิทธิ์เมื่อทำการจับคู่กับอุปกรณ์สองเครื่องผ่านบลูทูธ ผู้โจมตีสามารถใช้ประโยชน์จาก "BLURtooth" บนอุปกรณ์ที่รองรับการเชื่อมต่อแบบ Bluetooth Classic และ Low Energy (LE) และใช้ Cross-Transport Key Derivation (CTKD) ในการจับคู่กัน เมื่อ CTKD ทำการจับคู่อุปกรณ์บลูทูธซึ่งในกระบวนการนี้ Long Term Keys / Link Keys (LTK/LK) จะถูกสร้างขึ้นและจะสามารถเขียนทับได้ในกรณีที่ transport enforces ใช้ระดับความปลอดภัยที่สูงขึ้น ซึ่งสิ่งนี้ส่งผลให้ความแรงของคีย์การเข้ารหัสลดลงหรือสามารถเขียนทับคีย์ที่ทำการยืนยันแล้วด้วยคีย์ที่ผู้โจมตีสร้างขึ้นและจะทำให้ผู้โจมตีสามารถเข้าถึงโปรไฟล์หรือบริการเพิ่มเติมที่ไม่ได้จำกัดไว้ในอุปกรณ์ นอกจากนี้ "BLURtooth" ยังเหมาะสำหรับการโจมตีแบบ man-in-the-middle (MitM) โดยผู้โจมตีจะอยู่ระหว่างอุปกรณ์ที่มีช่องโหว่สองเครื่องที่เชื่อมโยงกันโดยใช้การจับคู่อุปกรณ์ที่ได้รับการพิสูจน์ตัวตนแล้ว

Bluetooth SIG ผู้ดูแลด้านมาตรฐานของ Bluetooth ได้ออกคำเเนะนำเบื้อต้นให้ผู้ผลิตอุปกรณ์ที่อาจมีช่องโหว่ให้ทำการจำกัด CTKD ที่อยู่ภายใน Bluetooth Core Specification ใน Bluetooth เวอร์ชันที่ตำ่กว่า 5.1 และนอกจากนี้ Bluetooth SIG ยังได้ประชาสัมพันธ์ถึงช่องโหว่นี้และจะประสานงานให้ผู้ผลิตอุปกรณ์ทำการออกเเพตซ์เพื่อทำการเเก้ไขช่องโหว่ต่อไป

ที่มา:

securityaffairs.

Cisco ได้เปิดตัวแพตช์ความปลอดภัยเพื่อแก้ไขช่องโหว่ที่มีความเสี่ยงสูง 10 รายการในซอฟต์แวร์ NX-OS รวมถึงข้อบกพร่องบางประการที่อาจนำไปสู่การเรียกใช้โค้ดและการเพิ่มยกระดับสิทธิ์ โดยช่องโหว่ที่สำคัญและได้รับการเเก้ไขมีดังนี้

CVE-2020-3517 ช่องโหว่อยู่ในซอฟต์แวร์ Cisco FXOS และ NX-OS บน Cisco Fabric Services ช่องโหว่จะทำให้ผู้โจมตีที่ไม่ได้รับการตรวจสอบสามารถทำให้กระบวนการขัดข้องซึ่งอาจส่งผลให้เกิดการปฏิเสธการให้บริการ (DoS) ในอุปกรณ์ที่ได้รับผลกระทบ
CVE-2020-3415 ช่องโหว่การเรียกใช้โค้ดจากระยะไกล (RCE) ใน Data Management Engine (DME) ของซอฟต์แวร์ NX-OS ช่องโหว่จะทำให้ผู้โจมตีสามารถเรียกใช้โค้ดได้โดยไม่ได้รับอนุญาตด้วยสิทธิ์ระดับผู้ดูแลระบบหรือทำให้เกิดเงื่อนไขการปฏิเสธการให้บริการ (DoS) บนอุปกรณ์ที่ได้รับผลกระทบ
CVE-2020-3394 ช่องโหว่การยกระดับสิทธ์บนอุปกรณ์สวิตช์ Nexus 3000 และ 9000 series ช่องโหว่จะทำให้ผู้โจมตีสามารถรับสิทธิ์ระดับผู้ดูแลระบบเต็มรูป
CVE-2020-3397 และ CVE-2020-3398 ช่องโหว่ DoS ใน BGP Multicast VPN ของซอฟต์แวร์ NX-OS ซึ่งกระทบกับอุปกรณ์สวิตช์ Nexus 7000 series
ทั้งนี้ผู้ใช้งานและผู้ดูแลระบบควรทำการอัปเดตเเพตซ์ให้เป็นเวอร์ชันล่าสุดเพื่อป้องกันผู้ประสงค์ร้ายทำการใช้ประโยชน์จากช่องโหว่ทำการโจมตีระบบ

ที่มา:

securityaffairs.