หน่วยงาน Cybersecurity and Infrastructure Security Agency (CISA) ออกประกาศรหัส AA20-258A ล่าสุดภายใต้หัวข้อซึ่งมีการพูดถึงแคมเปญการโจมตีทางไซเบอร์ซึ่งมีกระทรวงความมั่นคงของจีน (Ministry of State Security - MSS) หนุนหลัง โดยได้มีการเผยแพร่ช่องโหว่ซึ่งแฮกเกอร์จีนมักจะใช้ในการโจมตีและพฤติกรรมของแฮกเกอร์จีนด้วย

รายการช่องโหว่ทั้งหมดที่ถูกใช้เพื่อโจมตีล้วนแล้วอยู่ในช่วง "สัปดาห์นรก" ของวงการ Security ที่มีการประกาศการค้นพบช่องโหว่ในอุปกรณ์เครือข่ายและระบบสำคัญหลายช่องโหว่ โดยมีรายการดังนี้

ช่องโหว่ใน F5 Big-IP รหัส CVE-2020-5902 รันคำสั่งอันตรายในอุปกรณ์ได้จากระยะไกล
ช่องโหว่ใน Citrix VPN Appliance รหัส CVE-2019-19781 รันคำสั่งอันตรายในอุปกรณ์ได้จากระยะไกล
ช่องโหว่ใน Pulse Secure VPN รหัส CVE-2019-11510 รันคำสั่งอันตรายเพื่ออ่านข้อมูลในระบบได้จากระยะไกล
ช่องโหว่ใน Microsoft Exchange รหัส CVE-2020-0688 ใช้รันคำสั่งอันตรายเพื่อขโมยอีเมลได้

ช่องโหว่ทั้งหมดมีโค้ดสำหรับโจมตีเผยแพร่ในอินเตอร์เน็ตแล้ว และมักถูกใช้โดยกลุ่ม Ransomware เพื่อโจมตีและเรียกค่าไถ่ด้วย ขอให้องค์กรทำการตรวจสอบและลดความเสี่ยงที่จะถูกโจมตีด้วยช่องโหว่เหล่านี้โดยด่วน

ที่มา: zdnet.

รัฐบาลสหราชอาณาจักรออกแนวทางใหม่ในการช่วยให้องค์กรจัดการกระบวนการรายงานช่องโหว่ให้มีประสิทธิภาพมากยิ่งขึ้น และเพื่อเป้าหมายในการลดความเสี่ยงอย่างแท้จริง

คู่มือดังกล่าวมีการพูดถึง 3 องค์ประกอบหลักที่องค์กรจำเป็นต้องมีคือการสื่อสารอย่างมีประสิทธิภาพ (Communcation), กระบวนการที่ครอบคลุม (Policy), และช่องทางในการติดต่อ โดย NCSC ซึ่งเป็นหน่วยงานที่ออกคู่มือนั้นยังได้มีการพูดถึงการทำไฟล์ Security.

 

Adobe ได้เปิดตัวแพตซ์การอัปเดตด้านความปลอดภัยเพื่อแก้ไขช่องโหว่ระดับ “Critical” จำนวน 18 รายการที่อาจทำให้ผู้โจมตีสามารถรันโค้ดได้โดยไม่ได้รับอนุญาตบนอุปกรณ์ที่ใช้ Adobe InDesign, Adobe Framemaker และ Adobe Experience Manager เวอร์ชันที่มีช่องโหว่ โดยช่องโหว่ที่มีความสำคัญมีดังนี้

ช่องโหว่สำหรับผลิตภัณฑ์ Adobe InDesign ได้รับการเเก้ไขช่องโหว่จำนวน 5 รายการถูกติดตามด้วยรหัส CVE-2020-9727, CVE-2020-9728, CVE-2020-9729, CVE-2020-9730 และ CVE-2020-9731ช่องโหว่เป็นประเภท Memory Corruption ช่องโหว่จะทำให้ผู้โจมตีสามารถโค้ดได้โดยไม่ได้รับอนุญาต ช่องโหว่นี้มีจะส่งผลกรทบกับ Adobe InDesign สำหรับ macOS ผู้ใช้ Adobe InDesign สำหรับ macOS ควรทำการอัปเดตเป็นเวอร์ชัน 15.1.2 เพื่อแก้ไขช่องโหว่นี้
ช่องโหว่สำหรับผลิตภัณฑ์ Adobe Framemaker ได้รับการเเก้ไขช่องโหว่จำนวน 2 รายการถูกติดตามด้วยรหัส CVE-2020-9726 และ CVE-2020-9725 ช่องโหว่เป็นประเภท Out-of-Bounds Read และ Stack-based Buffer Overflow ช่องโหว่จะทำให้ผู้โจมตีสามารถโค้ดได้โดยไม่ได้รับอนุญาต ช่องโหว่นี้มีจะส่งผลกระทบกับ Adobe Framemaker สำหรับ Windows ผู้ใช้ควรทำการอัปเดต Adobe Framemaker ให้เป็นเวอร์ชัน 2019.0.7 เพื่อแก้ไขช่องโหว่นี้
ช่องโหว่สำหรับผลิตภัณฑ์ Adobe Experience Manager ได้รับการเเก้ไขช่องโหว่จำนวน 11 รายการถูกติดตามด้วยรหัส CVE-2020-9732, CVE-2020-9733, CVE-2020-9734, CVE-2020-9735, CVE-2020-9736, CVE-2020-9737, CVE-2020-9738, CVE-2020-9740, CVE-2020-9741, CVE-2020-9742 และ CVE-2020-9743 ช่องโหว่เป็นประเภท Cross-Site Scripting (XSS) ช่องโหว่จะทำให้ผู้โจมตีสามารถเรียกใช้ JavaScript ในเบราว์เซอร์และอาจนำไปสู่การเปิดเผยข้อมูลที่สำคัยได้ ช่องโหว่จะส่งผลกระทบกับผู้ติดตั้ง Adobe Experience Manager ก่อนเวอร์ชั่น 6.5.6.0 หรือ 6.4.8.2 และผู้ใช้ AEM Forms add-on ผู้ใช้ควรทำการอัปเดตเเพตซ์ AEM เป็นเวอร์ชั่น 6.5.6.0 หรือ 6.4.8.2 และทำการอัปเดตเเพตซ์ AEM Forms add-on Service Pack เพื่อทำการเเก้ไขช่องโหว่ดังกล่าว

ทั้งนี้ Adobe ได้ออกคำเเนะนำให้ผู้ใช้ควรทำการอัปเดตผลิตภัณฑ์ของ Adobe ให้เป็นเวอร์ชันล่าสุดเพื่อป้องกันผู้ประสงค์ร้ายใช้ประโยชน์จากช่องโหว่เป็นช่องทางในการโจมตีระบบของผู้ใช้

ที่มา: bleepingcomputer.

นักวิจัยอิสระจากสถาบัน École Polytechnique Fédérale de Lausanne (EPFL) และ Purdue University ได้เปิดเผยถึงการค้นพบช่องโหว่ใหม่ใน Bluetooth 4.0 และ 5.0 ซึ่งช่องโหว่นี้จะส่งผลกระทบกับอุปกรณ์ที่ใช้บลูทูธใน Dual-mode เช่นสมาร์ทโฟนรุ่นใหม่ ช่องโหว่นี้อาจทำให้ผู้โจมตีสามารถเขียนทับคีย์หรือลดระดับความแรงของ pairing key ที่ใช้เชื่อมต่อซึ่งอาจทำให้ผู้โจมตีสามารถเข้าถึงเซอร์วิสหรือข้อมูลบางอย่างภายในอุปกรณ์ได้

ช่องโหว่ถูกติดตามด้วยรหัส CVE-2020-15802 ถูกเรียกว่า “BLURtooth” ช่องโหว่อยู่ในคอมโพเนนต์ Cross-Transport Key Derivation (CTKD) ของมาตรฐานบลูทูธ โดยคอมโพเนนต์นี้ใช้สำหรับการเชื่อมต่อและทำการตั้งค่าคีย์การตรวจสอบสิทธิ์เมื่อทำการจับคู่กับอุปกรณ์สองเครื่องผ่านบลูทูธ ผู้โจมตีสามารถใช้ประโยชน์จาก "BLURtooth" บนอุปกรณ์ที่รองรับการเชื่อมต่อแบบ Bluetooth Classic และ Low Energy (LE) และใช้ Cross-Transport Key Derivation (CTKD) ในการจับคู่กัน เมื่อ CTKD ทำการจับคู่อุปกรณ์บลูทูธซึ่งในกระบวนการนี้ Long Term Keys / Link Keys (LTK/LK) จะถูกสร้างขึ้นและจะสามารถเขียนทับได้ในกรณีที่ transport enforces ใช้ระดับความปลอดภัยที่สูงขึ้น ซึ่งสิ่งนี้ส่งผลให้ความแรงของคีย์การเข้ารหัสลดลงหรือสามารถเขียนทับคีย์ที่ทำการยืนยันแล้วด้วยคีย์ที่ผู้โจมตีสร้างขึ้นและจะทำให้ผู้โจมตีสามารถเข้าถึงโปรไฟล์หรือบริการเพิ่มเติมที่ไม่ได้จำกัดไว้ในอุปกรณ์ นอกจากนี้ "BLURtooth" ยังเหมาะสำหรับการโจมตีแบบ man-in-the-middle (MitM) โดยผู้โจมตีจะอยู่ระหว่างอุปกรณ์ที่มีช่องโหว่สองเครื่องที่เชื่อมโยงกันโดยใช้การจับคู่อุปกรณ์ที่ได้รับการพิสูจน์ตัวตนแล้ว

Bluetooth SIG ผู้ดูแลด้านมาตรฐานของ Bluetooth ได้ออกคำเเนะนำเบื้อต้นให้ผู้ผลิตอุปกรณ์ที่อาจมีช่องโหว่ให้ทำการจำกัด CTKD ที่อยู่ภายใน Bluetooth Core Specification ใน Bluetooth เวอร์ชันที่ตำ่กว่า 5.1 และนอกจากนี้ Bluetooth SIG ยังได้ประชาสัมพันธ์ถึงช่องโหว่นี้และจะประสานงานให้ผู้ผลิตอุปกรณ์ทำการออกเเพตซ์เพื่อทำการเเก้ไขช่องโหว่ต่อไป

ที่มา:

securityaffairs.

Cisco ได้เปิดตัวแพตช์ความปลอดภัยเพื่อแก้ไขช่องโหว่ที่มีความเสี่ยงสูง 10 รายการในซอฟต์แวร์ NX-OS รวมถึงข้อบกพร่องบางประการที่อาจนำไปสู่การเรียกใช้โค้ดและการเพิ่มยกระดับสิทธิ์ โดยช่องโหว่ที่สำคัญและได้รับการเเก้ไขมีดังนี้

CVE-2020-3517 ช่องโหว่อยู่ในซอฟต์แวร์ Cisco FXOS และ NX-OS บน Cisco Fabric Services ช่องโหว่จะทำให้ผู้โจมตีที่ไม่ได้รับการตรวจสอบสามารถทำให้กระบวนการขัดข้องซึ่งอาจส่งผลให้เกิดการปฏิเสธการให้บริการ (DoS) ในอุปกรณ์ที่ได้รับผลกระทบ
CVE-2020-3415 ช่องโหว่การเรียกใช้โค้ดจากระยะไกล (RCE) ใน Data Management Engine (DME) ของซอฟต์แวร์ NX-OS ช่องโหว่จะทำให้ผู้โจมตีสามารถเรียกใช้โค้ดได้โดยไม่ได้รับอนุญาตด้วยสิทธิ์ระดับผู้ดูแลระบบหรือทำให้เกิดเงื่อนไขการปฏิเสธการให้บริการ (DoS) บนอุปกรณ์ที่ได้รับผลกระทบ
CVE-2020-3394 ช่องโหว่การยกระดับสิทธ์บนอุปกรณ์สวิตช์ Nexus 3000 และ 9000 series ช่องโหว่จะทำให้ผู้โจมตีสามารถรับสิทธิ์ระดับผู้ดูแลระบบเต็มรูป
CVE-2020-3397 และ CVE-2020-3398 ช่องโหว่ DoS ใน BGP Multicast VPN ของซอฟต์แวร์ NX-OS ซึ่งกระทบกับอุปกรณ์สวิตช์ Nexus 7000 series
ทั้งนี้ผู้ใช้งานและผู้ดูแลระบบควรทำการอัปเดตเเพตซ์ให้เป็นเวอร์ชันล่าสุดเพื่อป้องกันผู้ประสงค์ร้ายทำการใช้ประโยชน์จากช่องโหว่ทำการโจมตีระบบ

ที่มา:

securityaffairs.

Apache ออกประกาศแก้ไขช่องโหว่ต่างๆ บนซอฟต์แวร์เว็บเซิร์ฟเวอร์ของตนเอง เนื่องจากช่องโหว่เหล่านี้เปิดให้รันโค้ดอันตรายและอาจทำให้ผู้โจมตีทำเซิร์ฟเวอร์ล่ม หรือไม่สามารถให้บริการต่อได้ (Denial of Service)

ช่องโหว่ที่พบมี 3 รายการ CVE-2020-9490, CVE-2020-11984, CVE-2020-11993 ถูกค้นพบโดย Felix Wilhelm จาก Google Project Zero ทาง Apache Foundation ได้ทราบรายละเอียดจึงนำไปแก้ไขในเวอร์ชันล่าสุด (2.4.46)

ช่องโหว่แรก (CVE-2020-11984) เป็นปัญหาเกี่ยวกับช่องโหว่ในการรันโค้ดจากระยะไกลด้วยการทำ Buffer Overflow กับโมดูล "mod_uwsgi" ซึ่งอาจทำให้ผู้โจมตีสามารถเข้ามาดู, เปลี่ยนแปลงหรือลบข้อมูลได้ โดยขึ้นอยู่กับสิทธิที่เกี่ยวข้องกับแอปพลิเคชันที่ทำงานบนเซิร์ฟเวอร์
ส่วนช่องโหว่ที่สอง (CVE-2020-11993) เป็นช่องโหว่ที่เกิดขึ้นเมื่อเปิดใช้งานดีบั๊กในโมดูล "mod_http2" ช่องโหว่จะทำให้ log statement ที่ทำการบันทึกการเชื่อมต่อทำงานผิดพลาดและอาจส่งผลให้หน่วยความจำเกิดเสียหายเนื่องจากการใช้งาน log pool ร่วมกัน
ช่องโหว่รายการสุดท้าย (CVE-2020-9490) เป็นช่องโหว่ที่มีความรุนแรงที่สุดและยังอยู่ในโมดูล HTTP/2 ช่องโหว่จะทำให้ผู้โจมตีที่ใช้ Cache-Digest Header ที่ออกเเบบมาเป็นพิเศษทำการโจมตีในหน่วยความจำเพื่อทำให้หน่วยความจำเสียหายซึ่งนำไปสู่ความผิดพลาดและการปฏิเสธบริการ (DoS)
แนะนำให้ติดตั้งเวอร์ชันล่าสุดของซอฟต์แวร์เซิร์ฟเวอร์ Apache เพื่อป้องกันไม่ให้แฮกเกอร์เข้ามาควบคุมได้

ที่มา: thehackernews.

Pawel Wylecial ผู้เชี่ยวชาญด้านความปลอดภัยและผู้ก่อตั้งบริษัทรักษาความปลอดภัย REDTEAM.PL และ BlackOwlSec ได้เปิดเผยถึงรายละเอียดของช่องโหว่ที่ยังไม่ได้รับการเเพตซ์ในเว็บเบราว์เซอร์ Safari ของ Apple ซึ่งจะทำให้ผู้โจมตีสามารถขโมยไฟล์จากระบบของเป้าหมายได้

Wylecial กล่าวว่าช่องโหว่เกิดจาก Web Share API ซึ่งโดยทั่วไปจะอนุญาตให้ผู้ใช้แชร์ลิงก์จาก Safari ผ่านแอพ third-party เช่นอีเมลและแอปที่ใช้ส่งข้อความ ในเชิงเทคนิคนั้น ช่องโหว่เกิดจากปัญหาเมื่อมีการเรียกใช้ scheme file:/// โดยลิงก์จะถูกส่งไปยังฟังก์ชัน navigator.

Nikoci นักวิจัยด้านความปลอดภัยได้เปิดเผยช่องโหว่ใน Google Drive ที่สามารถทำให้ผู้โจมตีหลอกให้ผู้ใช้งานติดตั้งมัลแวร์ได้ หลังพบผู้ใช้ได้รับผลกระทบจากการดาวน์โหลดไฟล์ที่มีมัลแวร์ซ่อนอยู่

ช่องโหว่ของ Google Drive ซึ่งยังไม่ได้รับการแก้ไขนั้นทำให้ผู้โจมตีสามารถเผยแพร่มัลแวร์ผ่าน Google Drive โดยผู้ประสงค์ร้ายสามารถใช้เมนู "Manage versions" โดยมีขั้นตอนเพียงแค่ทำการอัปโหลดไฟล์ปกติลงบน Google Drive ก่อนและหลังจากนั้นทำการอัปเดตไฟล์ใหม่ด้วยไฟล์ที่เป็นอันตรายที่มีชื่อเดียวกันเเทนไฟล์ที่ทำการอัปโหลดครั้งเเรกผ่าน "Manage versions"

จุดอ่อนของฟีเจอร์นี้อยู่ในข้อเท็จจริงที่ Google Drive จะไม่ตรวจสอบว่าไฟล์ที่อัปโหลดไปใหม่นั้นเป็นไฟล์ชนิดเดียวกันหรือไม่ ทำให้ผู้โจมตีสามารถซ่อนมัลแวร์ได้อย่างแนบเนียนและทำการกระจายมัลแวร์ไปสู่เป้าหมาย โดยช่องโหว่นี้แฮกเกอร์สามารถปรับใช้เทคนิค Spear-phishing attack เพื่อหลอกผู้ใช้ให้ทำการดาวน์โหลดและติดตั้งซอฟเเวร์ผ่านทาง Google Drive โดยไฟล์ดังกล่าวอาจเป็นไฟล์ที่่มีมัลแวร์ซ่อนอยู่

ปัจจุบัน Google ยังไม่ได้แก้ปัญหานี้ ในขณะเดียวกันเว็บเบราว์เซอร์อย่าง Google Chrome ก็มักจะเชื่อถือไฟล์ที่ดาวน์โหลดจาก Google Drive แม้ว่าไฟล์จะถูกตรวจพบโดยซอฟต์แวร์ Antivirus ตัวอื่นๆ ว่าเป็นอันตรายก็ตาม

คำแนะนำ: ก่อนที่จะดาวน์โหลดไฟล์ควรตรวจสอบที่มาของไฟล์ก่อนโหลด ทั้งนี้ควรทำการสแกนและอัปเดตฐานข้อมูล Antivirus อยู่เสมอเพื่อป้องกันมัลแวร์ที่อาจถูกซ่อนอยู่ในไฟล์

ที่มา: thehackernews.

หน่วยงาน Cybersecurity and Infrastructure Security Agency (CISA) ได้ออกคำเเนะนำและเเจ้งเตือนให้ผู้ดูเเลระบบและผู้ใช้ Apache Struts 2 ให้ทำการอัปเดตเเพตซ์เพื่อเเก้ไขช่องโหว่หลังพบว่ามีผู้ปล่อย PoC ของช่องโหว่ลง GitHub

ช่องโหว่ที่สำคัญและได้คำเเนะนำให้รีบอัปเดตเเพตซ์คือ CVE-2019-0230 และ CVE-2019-0233 มีผลกระทบกับ Apache Struts เวอร์ชัน 2.0.0 ถึง 2.5.20

ช่องโหว่ CVE-2019-0230 เป็นช่องโหว่ที่เกิดจากการการประมวลผลแท็กภายในแอตทริบิวต์ของ Object-Graph Navigation Language (OGNL) เมื่อ Struts พยายามทำการประมวลผลแท็กอินพุตภายในแอตทริบิวต์ ช่องโหว่จะทำส่งผลให้ผู้โจมตีที่ส่ง OGNL ที่เป็นอันตรายสามารถเรียกใช้โค้ดจากระยะไกล ช่องโหว่นี้ถูกค้นพบโดย Matthias Kaiser จาก Apple Information Security

ช่องโหว่ CVE-2019-0233 เป็นช่องโหว่ในการเเก้ไขสิทธิ์ในการเข้าถึงไฟล์ในระหว่างการอัปโหลดไฟล์ ซึ่งอาจส่งผลให้ผู้โจมตีสามารถแก้ไขคำขอระหว่างการดำเนินการอัปโหลดไฟล์ การดำเนินการในลักษณะนี้จะส่งผลให้ไฟล์ที่ทำการอัปโหลดล้มเหลว เมื่อเกิดความพยายามทำหลายๆ ครั้งอาจส่งผลให้เกิดการปฏิเสธเงื่อนไขการให้บริการหรือ Denial of service (DoS) ช่องโหว่นี้ถูกค้นพบโดย Takeshi Terada จาก Mitsui Bussan Secure Directions, Inc

CISA ได้ออกคำเเนะนำให้ผู้ดูเเลระบบและผู้ใช้ Apache Struts 2 ให้รีบทำการอัปเดตเเพตซ์ให้เป็น Apache Struts เวอร์ชั่น 2.5.22 เพื่อเเก้ไขช่องโหว่ดังกล่าวและป้องกันผู้ประสงค์ร้ายใช้ประโยชน์จาก PoC ของช่องโหว่ที่ถูกเปิดภายใน GitHub ทำการโจมตีระบบ

ที่มา:

us-cert.

Intel เเจ้งเตือนถึงช่องโหว่ที่อาจส่งผลกระทบต่อเมนบอร์ด Server System และ Compute Module ซึ่งช่องโหว่อาจทำให้ผู้โจมตีระยะไกลที่ไม่ได้รับการพิสูจน์ตัวตนสามารถยกระดับสิทธิ์ในระบบ

ช่องโหว่ CVE-2020-8708 (CVSS: 9.6/10) ถูกค้นพบโดย Dmytro Oleksiuk เป็นช่องโหว่ที่อยู่ในเฟิร์มแวร์ Emulex Pilot 3 ซึ่งเป็นซอฟต์แวร์ Baseboard-Management ที่มีหน้าที่ในการจัดการการควบคุมการทำงานของฮาร์ดแวร์เพื่อการมอนิเตอร์และตั้งค่าต่างๆ ซึ่งถูกใช้ในการมินิเตอร์ระบบเครือข่ายและอุปกรณ์เชื่อมต่อฮาร์ดแวร์ ช่องโหว่เกิดจากการตรวจสอบสิทธิ์ที่ไม่เหมาะสมทำให้ผู้โจมตีสามารถเข้าถึงคอนโซล KVM ของเซิร์ฟเวอร์ได้ นอกเหนือจากช่องโหว่ที่กล่าวมานั้น Intel ยังได้ทำการเเก้ไขช่องโหว่อีกจำนวน 22 รายการ

ช่องโหว่ส่งผลกระทบกับเซิร์ฟเวอร์ตระกูล R1000WT, R2000WT, ตระกูล R1000SP, LSVRP, LR1304SP และตระกูล R1000WF, R2000WF ผลกระทบในส่วนของเมนบอร์ดคือตระกูล S2600WT, S2600CW, S2600KP, S2600TP, S1200SP, S2600WF, S2600ST และตระกูล S2600BP นอกจากนี้ช่องโหว่ยังกระทบ Compute Modules ตระกูล HNS2600KP, HNS2600TP, HNS2600BP ของ Intel

Intel ได้แนะนำให้ผู้ใช้ทำการอัปเดตเฟิร์มแวร์เป็นเวอร์ชันล่าสุดเพื่อป้องกันการโจมตีและหาประโยชน์จากระบบผู้ดูแลและผู้ใช้งานสามารถอัปเดตเฟิร์มแวร์เป็นเวอร์ชันล่าสุด ซึ่งสามารถดาวน์โหลดได้จากตารางการอัปเดตนี้: https://www.