นักวิจัยด้านความปลอดภัยทางอินเทอร์เน็ตได้ทำการเเจ้งเตือนว่าพวกเขาพบเคมเปญที่เเฮกเกอร์ใช้ประโยชน์จากช่องโหว่ที่ถูกติดตามเป็น CVE-2020-11651 และ CVE-2020-11652 ซึ่งเป็นช่องโหว่การตั้งค่าใน SaltStack framework ทำการแฮกเซิร์ฟเวอร์ของ LineageOS, Ghost และ DigiCert

CVE-2020-11651 และ CVE-2020-11652 เป็นช่องโหว่การรันโค้ดโจมตีเซิร์ฟเวอร์จากระยะไกลและได้ถูกเเก้ไขช่องโหว่แล้วโดย SaltStack ในวันที่ 29 เมษายนที่ผ่านมา

LineageOS ผู้พัฒนาระบบปฏิบัติการโอเพ่นซอร์สที่ใช้ Android กล่าวว่าพวกเขาตรวจพบการบุกรุกในวันที่ 2 พฤษภาคม 2020 เวลาประมาณ 20.00 น. โดยพบผู้โจมตีใช้ช่องโหว่ใน CVE ดังกล่าวโจมตีเข้ามาใน SaltStack master เพื่อจะเข้าถึงโครงสร้างพื้นฐาน หลังจากเหตุการณ์ที่เกิดขึ้น LineageOS ได้ทำการตรวจสอบและพบว่าซอร์ซโค้ดและ signing keys ไม่ได้รับผลกระทบจากการบุกรุก

Ghost ผู้พัฒนาแพลตฟอร์มบล็อกโดยใช้ Node.

แฮกเกอร์สแกนหาเซิร์ฟเวอร์ของ Microsoft Exchange ที่มีช่องโหว่,แก้ไขเดี๋ยวนี้เลย !
ผู้โจมตีกำลังสแกนอินเทอร์เน็ตเพื่อหา Microsoft Exchange เซิร์ฟเวอร์ที่เสี่ยงต่อช่องโหว่รันคำสั่งอันตรายจากระยะไกล CVE-2020-0688 ซึ่งได้รับการแก้ไขโดย Microsoft เมื่อ 2 สัปดาห์ก่อน
Exchange Server ทุกเวอร์ชันจนถึงแพทช์ล่าสุดที่ออกมานั้นมีความเสี่ยงที่จะโดนโจมตีจากการสแกนที่ดำเนินการอยู่ ซึ่งจะรวมไปถึงรุ่นที่หมดระยะการสนับสนุนแล้ว ซึ่งในคำแนะนำด้านความปลอดภัยของ Microsoft จะไม่แสดงรุ่นที่หมดระยะแล้ว
ข้อบกพร่องมีอยู่ในส่วนประกอบ Exchange Control Panel (ECP) และเกิดจากการที่ Exchange ไม่สามารถสร้างคีย์การเข้ารหัสลับเฉพาะเมื่อติดตั้ง
เมื่อโจมตีสำเร็จ ผู้โจมตีที่สามารถเข้าสู่ระบบได้จะสามารถรันคำสั่งอันตรายจากระยะไกลด้วยสิทธิ์ System ได้และสามารถยึดเครื่องได้
Simon Zuckerbraun นักวิจัยด้านความปลอดภัยจาก Zero Zero Initiative เผยแพร่การสาธิตเกี่ยวกับวิธีการใช้ประโยชน์จากข้อบกพร่องของ Microsoft Exchange CVE-2020-0688 และวิธีการใช้คีย์การเข้ารหัสลับแบบคงที่ซึ่งเป็นส่วนหนึ่งของการโจมตีเซิร์ฟเวอร์ที่ไม่ตรงกัน
Zuckerbraun อธิบายว่าผู้โจมตีจะต้องยึดเครื่องหรือบัญชีผู้ใช้ของคนในองค์กรก่อน แล้วจากนั้นเมื่อใช้ช่องโหว่ก็จะสามารถยึดเซิร์ฟเวอร์ได้ เนื่องจาก Microsoft Exchange ใช้สำหรับส่งอีเมล ผู้โจมตีก็จะสามารถเปิดเผยหรือปลอมแปลงการสื่อสารทางอีเมลขององค์กรได้
ดังนั้นหากคุณเป็นผู้ดูแลระบบ Exchange Server คุณควรถือว่านี่เป็นแพตช์ที่มีความสำคัญมากและควรอัปเดตทันทีหลังจากทดสอบแพตช์แล้ว

ที่มา :bleepingcomputer.

Microsoft ได้ทำการปล่อยแพตช์แก้ไขช่องโหว่ประจำเดือนเมษายน 2019 โดยแก้ไขช่องโหว่ทั้งหมด 74 ช่องโหว่ โดย 15 ช่องโหว่จัดอยู่ในระดับ Critical และได้มีการแก้ไขช่องโหว่ Win32k จำนวน 2 ช่องโหว่ที่กำลังถูกใช้โจมตีอยู่ด้วย

ช่องโหว่ Win32k ที่กำลังถูกใช้โจมตีอยู่นี้เป็นช่องโหว่ที่ผู้โจมตีสามารถใช้ยกระดับสิทธิ์ได้ ประกอบด้วย CVE-2019-0803 ถูกค้นพบโดย Alibaba Cloud Intelligence Security Team และช่องโหว่ที่ 2 ถูกค้นพบโดย Kaspersky ได้รับ CVE-2019-0859 ซึ่งทั้งสองช่องโหว่นี้เกิดจากการที่ Win32k จัดการหน่วยความจำได้ไม่ดี ทำให้หากถูกโจมตีจะทำให้ผู้โจมตีสามารถติดตั้งโปรแกรม ดูการเปลี่ยนแปลงหรือลบข้อมูล หรือสร้างบัญชีใหม่ที่มีสิทธิ์สูงสุดในการใช้งาน

นอกจากนี้นักวิจัยผู้ค้นพบช่องโหว่ CVE-2019-0841 ซึ่งมีการอัปเดตในแพตช์นี้เช่นกันได้เผยแพร่ Proof-of-concept สำหรับใช้โจมตีออกมาแล้ว ช่องโหว่ CVE-2019-0841 นี้เป็นช่องโหว่ใน AppX Deployment Service (AppXSVC) ที่สามารถใช้เพื่อยกระดับสิทธิ์ได้ใน Windows 10 และ Windows Server 2019

ผู้ใช้งานหรือผู้ดูแลระบบควรทำการอัปเดตแพตช์เพื่อลดความเสี่ยงจากการถูกโจมตีด้วยช่องโหว่เหล่านี้

ที่มา : bleepingcomputer , bleepingcomputer

พบช่องโหว่ร้ายแรงมากใน phpMyAdmin ผู้ดูแลระบบควรอัปเดตแพตช์
เมื่อวันที่ 22 มกราคม 2019 phpMyAdmin ได้ออกแพตช์สำหรับแก้ไขช่องโหว่สองช่องโหว่ คือ CVE 2019-6798 และ CVE 2019-6799 ช่องโหว่ทั้งสองส่งผลกระทบกับ phpMyAdmin รุ่น 4.0 ไปจนถึงรุ่น 4.8.4
โดย CVE 2019-6798 เป็นช่องโหว่ที่ทำให้ผู้ไม่หวังดีสามารถอ่านไฟล์ใดๆ บน web server ได้ ส่วนช่องโหว่ CVE 2019-6799 เป็นช่องโหว่ที่ทำให้สามารถทำ SQL injection ได้จากหน้า Designer feature ของ phpMyAdmin
ผู้ดูแลระบบควรอัปเดต phpMyAdmin ให้เป็นรุ่น 4.8.5 หรือใหม่กว่า
ที่มา https://www.

Foxit เผยแพร่ patch ด้านความปลอดภัยเพื่อแก้ไขช่องโหว่ให้กับตัว Foxit Reader เครื่องมือฟรีที่สามารถสร้าง, ดู, แก้ไข, เซ็นชื่อแบบดิจิทัลและพิมพ์ไฟล์ PDF โดยได้เปิดตัว Foxit Reader 9.3 และ Foxit PhantomPDF 9.3 เพื่อแก้ไขปัญหาด้านความปลอดภัยและการปรับปรุงแก้ไขช่องโหว่ทั้งหมด 116 ช่องโหว่ โดย 18 ช่องโหว่จัดอยู่ในระดับความรุนแรงที่ “critical” ได้รับการค้นพบโดยนักวิจัยจากกลุ่ม Cisco Talos
ข้อบกพร่องดังกล่าวเกิดจากเครื่องมือ JavaScript ของ Foxit Reader ผู้โจมตีสามารถใช้ประโยชน์จากช่องโหว่ สร้างหน้าเว็บหรือเอกสาร PDF โจมตีช่องโหว่ขึ้น การปรับปรุงนี้ได้เผยแพร่ก่อนที่ Adobe จะเปิดตัวแพทช์รักษาความปลอดภัย 86 รายการใน Adobe Acrobat และ Adobe Reader สำหรับ Mac และ Windows จำนวน 46 จัดอยู่ในระดับความรุนแรงที่ “critical”
แนะนำให้ทำการอัปเดต patch Foxit Reader และ Foxit PhantomPDF ให้เป็น version ล่าสุด
ที่มา : securityaffairs

Cisco ออกอัปเดทแก้ไขช่องโหว่ 30 ช่องโหว่ กว่าครึ่งเป็นช่องโหว่ร้ายแรงมากและช่องโหว่ร้ายแรง

Cisco ออกอัปเดทแก้ไขช่องโหว่ 30 ช่องโหว่โดยมี 3 ช่องโหว่เป็นช่องโหว่ร้ายแรงมาก (Critical) หนึ่งในนั้นคือช่องโหว่ที่ได้รับผลกระทบจากช่องโหว่ใน Apache Struts (CVE-2018-11776) Cisco อธิบายเพิ่มเติมว่าแม้ผลิตภัณฑ์ของ Cisco หลายตัวจะมีการใช้งาน Apache Struts แต่ได้รับผลกระทบจากช่องโหว่ดังกล่าวเพียงบางผลิตภัณฑ์เท่านั้นเนื่องจากวิธีการใช้งาน library ของแต่ละผลิตภัณฑ์แตกต่างกัน

อีก 2 ช่องโหว่ร้ายแรงที่ได้รับการแก้ไขเป็นช่องโหว่ใน Cisco Umbrella API (CVE-2018-0435) และใน Routers รุ่น RV110W, RV130W และ RV215W (CVE-2018-0423) และยังมีช่องโหว่ร้ายแรง (high) อีก 15 รายการ

ผู้ดูแลระบบสามารถตรวจสอบรายละเอียดเพิ่มเติมเกี่ยวกับการอัปเดทครั้งนี้ได้ที่ https://tools.

Chrome เปิดตัวเบราว์เซอร์เวอร์ชั่น 69 รวมถึงออกแพตช์อัพเดทช่องโหว่ความปลอดภัยด้านการออกแบบในเบราว์เซอร์ Chrome ที่ส่งผลให้ผู้โจมตีสามารถใช้ประโยชน์จากช่องโหว่ดังกล่าวขโมยข้อมูลสำหรับการเข้าสู่ระบบ Wifi ทั้งแบบบ้านและระบบเครือข่ายขององค์กร โดยปัญหาดังกล่าวเกิดจากเบราว์เซอร์ Chrome เวอร์ชั่นเก่ามีกรอกค่า Username และ Passwords บนแบบฟอร์มการเข้าสู่ระบบผ่าน HTTP แบบอัตโนมัติ (auto-fill)

Elliot Thompson นักวิจัยด้านความปลอดภัยจาก SureCloud ได้ทำการรวบรวมเทคนิคการโจมตีจากการใช้ประโยชน์ของปัญหาในการออกแบบเบาร์เซอร์ซึ่งมีขั้นตอนที่หลากหลายและซับซ้อน โดยการโจมตีดังกล่าวชื่อว่า Wi-Jacking (WiFi Jacking) ซึ่งได้ผลกับ Chrome บน Windows ขั้นตอนสำหรับการโจมตี Wi-Jacking มีรายละเอียดดังนี้
ขั้นตอนที่1 ผู้โจมตีจำเป็นต้องอยู่บริเวณใกล้เคียงกับระบบเครือข่าย WiFi ของเครื่องเป้าหมายเพื่อให้สามารถเข้าถึงได้โดยการส่งคำขอ deauthentication ไปยังเราเตอร์เพื่อทำการตัดการเชื่อมต่อของผู้ใช้งานออกจากระบบ WiFi
ขั้นตอนที่2 ผู้โจมตีใช้เทคนิคการโจมตีแบบ classic Karma attack เพื่อหลอกให้เป้าหมายเชื่อมต่อกับระบบเครือข่ายอันตรายที่ผู้โจมตีสร้างไว้
ขั้นตอนที่3 ผู้โจมตีทำการสร้างเว็บไซต์โดยจำลองหน้าเว็บต่างๆให้มีความคล้ายกับเว็บไซต์หลักของเราเตอร์ และทำการซ่อนฟิลด์สำหรับรับค่าข้อมูลสำหรับ Login ไว้ และเนื่องจากเป้าหมายเชื่อมต่อกับเครือข่ายของผู้โจมตีทำให้ผู้โจมตีสามารถตั้งค่า URL ของหน้าเว็บปลอมไปยัง URL ที่ถูกต้องของเราเตอร์ที่เป้าหมายใช้งานได้ทำให้เป้าหมายเข้าใจว่าเข้าถึงเว็บไซต์หลักที่ถูกต้อง ซึ่งหากเป้าหมายอนุญาตให้เบราว์เซอร์ Chrome กรอกข้อมูลสำหรับ Login แบบอัตโนมัติ (auto-fill) ข้อมูลเหล่านั้นจะถูกป้อนไปยังฟิลด์ที่ซ่อนไว้ในหน้าเว็บที่ผู้โจมตีสร้างไว้โดยอัตโนมัติ
ขั้นตอนที่4 ผู้โจมตีหยุดเทคนิค Karma และช่วยให้เป้าหมายเชื่อมต่อกลับไปยังเครือข่าย WiFi เดิม
ขั้นตอนที่5 หากเป้าหมายคลิกส่วนใดๆ ในหน้าเว็บที่เป็นอันตรายหรือหน้าเว็บดังกล่าวยังคงทำงานอยู่ในเบราว์เซอร์ของเป้าหมาย จะส่งข้อมูลการ Login ที่ซ่อนอยู่ในฟิลด์การเข้าสู่ระบบไปยัง backend panel ของเราเตอร์จริง วิธีนี้จะทำให้ผู้โจมตีสามารถตรวจสอบการเข้าถึงของเป้าหมายและช่วยให้ผู้โจมตีสามารถตรวจจับ WPA / WPA2 PSK (pre-shared key) จากการตั้งค่า Wi-Fi ของเราเตอร์ของเป้าหมาย และสามารถใช้เข้าสู่ระบบได้

นอกเหนือจากเบราว์เซอร์ Chrome ยังมีเบราว์เซอร์ Opera ที่ได้รับผลกระทบจากการโจมตีด้วยวิธีการ Wi-Jacking แต่เบราว์เซอร์อื่นๆ เช่น Firefox, Edge, Internet Explorer และ Safari ไม่เสี่ยงต่อการถูกโจมตีเนื่องจากไม่มีการกรอกข้อมูลสำหรับการ Login แบบอัตโนมัติ (auto-fill)

ที่มา : Zdnet

นักวิจัยด้านความปลอดภัย Wolfgang Ettlinger จาก SEC Consult Vulnerability Lab ได้มีการเปิดเผยถึงการค้นพบช่องโหว่ล่าสุดรหัส CVE-2018-2879 ในซอฟต์แวร์ Oracle Access Manager (OAM) ซึ่งทำให้ผู้โจมตีสามารถข้ามผ่านระบบการตรวจสอบตัวตน รวมไปถึงยึดบัญชีของผู้ใช้งานอื่นๆ ได้

Oracle Access Manager (OAM) เป็นซอฟต์แวร์จากค่าย Oracle ซึ่งมีหน้าที่ในการช่วยจัดการกระบวนการพิสูจน์และยืนยันตัวตนในรูปแบบของ Single Sign-On ในหลายรูปแบบอุปกรณ์

สำหรับช่องโหว่ที่มีการค้นพบนั้น ที่มาที่แท้จริงของช่องโหว่มาจากปัญหาในการทำ Padding อย่างไม่เหมาะสมเมื่อมีการเข้ารหัสข้อมูลซึ่งนำไปสู่การโจมตีที่เรียกว่า Padding Oracle ได้ การทำ Padding Oracle จะทำให้กระบวกการเข้ารหัสที่มีอยู่นั้นอ่อนแอลง และนำไปสู่การเข้าถึงและแก้ไขข้อมูลที่ความอ่อนไหวสูงได้
Recommendation ช่องโหว่ดังกล่าวถูกค้นพบใน OAM รุ่น 11.1.2.3.0 และ 12.2.1.3.0 รวมไปถึงเวอร์ชันก่อนหน้าทั้งหมด ในขณะนี้ Oracle ได้มีการประกาศแพตช์สำหรับช่องโหว่นี้ออกมาแล้วในซอฟต์แวร์รุ่นล่าสุด แนะนำให้ผู้ดูแลระบบทำการอัปเดตซอฟต์แวร์เป็นเวอร์ชันล่าสุดโดยด่วน

ที่มา : Theregister

ศูนย์ประสานการรักษาความมั่นคงปลอดภัยระบบคอมพิวเตอร์เกาหลีใต้หรือ KR-CERT ออกประกาศแจ้งเตือนการโจมตีด้วยช่องโหว่ 0-day ของ Adobe Flash Player ที่ยังไม่มีการแพตช์ในตอนนี้เพื่อโจมตีผู้ใช้งานที่ใช้ Windows ในเกาหลีใต้ โดยการโจมตีครั้งนี้ KR-CERT กล่าวว่าเป็นการโจมตีจากเกาหลีเหนือ

อ้างอิงจากประกาศต่อมาจาก Adobe ช่องโหว่ที่ถูกโจมตีดังกล่าวในภายหลังถูกระบุด้วยรหัส CVE-2018-4878 ซึ่งมีที่มาจากปัญหา use-after-free ที่ทำให้ผู้โจมตีสามารถรันโค้ดที่เป็นอันตรายได้จากระยะไกล โดยช่องโหว่นี้ส่งผลกระทบตั้งแต่ Adobe Flash Player ตั้งแต่เวอร์ชัน 28.0.0.137 หรือเก่ากว่า

แนะนำให้ผู้ใช้งานทำการอัปเดตเวอร์ชันของ Adobe Flash Player โดยด่วน

ที่มา : thehackernews

Ubuntu ปล่อยอัพเดทเพื่ออุดช่องโหว่ใน PHP โดยมีรายละเอียดของช่องโหว่ดังนี้

CVE-2016-10397: ช่องโหว่ที่พบว่า PHP URL parser มีการทำงานที่ผิดปกติกับตัว URI ทำให้ผู้ที่โจมตีสามารถใช้ช่องโหว่นี้เพื่อหลบหลีกการตรวจสอบ hostname-specific URL ได้

CVE-2017-11143: ช่องโหว่ที่พบว่ามีการทำงานที่ผิดปกติของ PHP กับ Boolean Parameter บางตัว เมื่อเป็น unserialized data ทำให้ผู้ที่โจมตีสามารถใช้เพื่อทำให้ PHP เกิด crash และใช้การไม่ได้(Denial of Service)

CVE-2017-11144: ช่องโหว่นี้ถูกพบโดย Sebastian Li, Wei Lei, Xie Xiaofei, and Liu Yang พบว่า PHP มีการทำงานที่ผิดปกติในการจัดการ OpenSSL sealing function ซึ่งผู้ที่โจมตีสามารถใช้เพื่อทำให้ PHP ใช้การไม่ได้เช่นกัน (Dos)

CVE-2017-11145: Wei Lei และ Liu Yang พบอีกช่องโหว่ใน extension ที่เกี่ยวกับตัววันที่ของ PHP ในการจัดการหย่วยความจำ(Memory) ซึ่งส่งผลให้ผู้ที่โจมตีสามารถเข้าถึงข้อมูลสำคัญของเซิร์ฟเวอร์ได้

CVE-2017-11147: พบช่องโหว่ของการจัดเก็บไฟล์แบบ PHAR ใน PHP ซึ่งผู้โจมตีสามารถใช้เพื่อทำให้ PHP ใช้งานไม่ได้ หรือเข้าถึงข้อมูลสำคัญจากตัวเซิร์ฟเวอร์ได้ โดยช่องโหว่ตัวนี้จะมีผลกระทบกับแค่ Ubuntu 14.04 LTS

CVE-2017-11628: Wei Lei และ Liu Yang พบช่องโหว่ที่การทำ parsing ไฟล์สกุล .ini ซึ่งผู้โจมตีสามารถใช้เพื่อทำให้ PHP ใช้งานไม่ได้ (Dos)

และช่องโหว่สุดท้ายคือตัว PHP mbstring ในการทำงานกับ Regular Expressions บางตัว ซึ่งทำให้ผู้โจมตีสามารถทำให้ PHP เกิดการ crash และใช้งานไม่ได้ หรือทำการรัน arbitrary code (CVE-2017-9224, CVE-2017-9226, CVE-2017-9227, CVE-2017-9228, CVE-2017-9229)

ข้อแนะนำคือให้ทำการอัพเดทเวอร์ชัน โดยขั้นตอนในการอัพเดทสามารถดูได้จากลิงค์ด้านล่างนี้ (https://wiki.