เมื่อวันที่ 5 ตุลาคมที่ผ่านมานี้ ทาง Apache HTTP Server Project ได้มีการออก Patch สำหรับแก้ไข 2 ช่องโหว่

CVE-2021-41524 ซึ่งเป็นช่องโหวที่ตรวจพบ Null Pointer ระหว่างการประมลผลคำขอ HTTP-2 ซึ่งจะช่วยให้ผู้โจมตีทำการโจมตีแบบ Denial of service (DOS) บน Server ได้ ซึ่งล่าสุดยังไม่พบว่าถูกนำมาใช้สำหรับการโจมตี

CVE-2021-41773 ซึ่งเป็นช่องโหว่การข้ามเส้นทางและการเข้าถึงไฟล์ใน Apache HTTP Server ซึ่งเป็น Open-source web server สำหรับ Unix และ Windows ซึ่ง Apache HTTP Server นั้นพบมีการใช้โจมตีอย่างแพร่หลายมากที่สุด

CVE-2021-41773 นั้นถูกนำมาใช้โจมตีกับ Apache HTTP Server ด้วยวิธีการ Path Traversal ใน Version.

Microsoft ออกอัพเดทแก้ไขช่องโหว่ Windows PrintNightmare ที่เหลืออยู่ก่อนหน้านี้

Microsoft ได้เผยแพร่การอัปเดตความปลอดภัยเพื่อแก้ไขช่องโหว่ Zero-day ล่าสุดที่เหลืออยู่ของ PrintNightmare ซึ่งอนุญาตให้ผู้โจมตีได้รับสิทธิ์ในระดับผู้ดูแลระบบบน Windows เรียบร้อยแล้ว

ในเดือนมิถุนายน ช่องโหว่ zero-day ของ Windows print spooler ที่ชื่อว่า PrintNightmare (CVE-2021-34527) ถูกเปิดเผยออกมาโดยไม่ได้ตั้งใจ ช่องโหว่เกิดจาก Windows Point and Print ซึ่งทำให้ผู้โจมตีสามารถสั่งรันโค้ดที่เป็นอันตรายจากระยะไกล (remote code execution) และได้รับสิทธิ์ SYSTEM บนระบบอีกด้วย

แม้ว่า Microsoft จะออกอัปเดตความปลอดภัยสองรายการเพื่อแก้ไขช่องโหว่ต่างๆ ของ PrintNightmare ไปแล้วก่อนหน้านี้ แต่นักวิจัยด้านความปลอดภัย Benjamin Delpy ยังพบว่าการโจมตีในลักษณะที่ได้รับสิทธิ์ SYSTEM บนระบบยังสามารถทำได้ผ่านทาง Remote print server

การทดสอบช่องโหว่ของ Delpy ใช้วิธีการสั่ง CopyFiles directive ทำการคัดลอก และเรียกใช้ DLL ที่เป็นอันตราย บนเครื่องที่ผู้ใช้ติดตั้ง Remote printer เมื่อการโจมตีด้วยการรัน DLL ที่เป็นอันตรายได้สำเร็จ จะสามารถเปิด Command Prompt ขึ้นมาได้โดยอัตโนมัติ ซึ่งคำสั่งทั้งหมดจะถูกดำเนินการด้วยสิทธิ์ SYSTEM privileges ทันที

แย่ไปกว่านั้น กลุ่ม Ransomware ที่ชื่อว่า Vice Society, Magniber และ Conti ได้เริ่มใช้วิธีการนี้ในการยกระดับสิทธิ์ของ User เมื่อเข้าควบคุมเครื่องเหยื่อได้แล้ว

ช่องโหว่ PrintNightmare ที่ยังเหลืออยู่นี้ได้หมายเลข CVE-2021-36958 และถือว่า Victor Mata จาก Fusion X, Accenture Security เป็นผู้ค้นพบ เนื่องจากเป็นผู้รายงานช่องโหว่นี้ให้กับ Microsoft เป็นครั้งแรกในช่วงเดือนธันวาคมปี 2020

Security update ล่าสุดแก้ไขช่องโหว่ของ PrintNightmare ครบหมดแล้ว

ในการอัปเดต Patch Tuesday เดือนกันยายน 2021 Microsoft ได้ออกอัปเดตความปลอดภัยสำหรับช่องโหว่ CVE-2021-36958 ซึ่งแก้ไขช่องโหว่ PrintNightmare ที่เหลืออยู่ Delpy ผู้ทดสอบช่องโหว่ยืนยันกับ BleepingComputer ว่าช่องโหว่นี้ได้รับการแก้ไขแล้ว นอกเหนือจากการแก้ไขช่องโหว่แล้ว Benjamin Delpy ยังบอกกับ BleepingComputer ว่า Microsoft ได้ปิดใช้งานคุณลักษณะ CopyFiles โดยค่าเริ่มต้น และเพิ่ม Group policy ซึ่งช่วยให้ผู้ดูแลระบบสามารถเปิดใช้งานได้อีกครั้ง นโยบายนี้สามารถกำหนดค่าได้ใน Windows Registry ภายใต้คีย์ HKLM\Software\Policies\Microsoft\Windows NT\Printers และโดยการเพิ่มค่าชื่อ CopyFilesPolicy เมื่อตั้งค่าเป็น '1' ระบบจะเปิดใช้งาน CopyFiles อีกครั้ง ซึ่งแม้จะเปิดใช้งานแล้ว Benjamin Delpy บอก BleepingComputer ว่า Microsoft จะอนุญาตให้ใช้เฉพาะไฟล์ C:\Windows\System32\mscms.

ช่องโหว่ Atlassian Confluence ที่สามารถทำให้ผู้โจมเข้าถึง Server ได้

เมื่อวันที่ 25 สิงหาคม 2564 ที่ผ่านมา ทาง Atlassian ได้ออกคำแนะนำด้านความปลอดภัยสำหรับช่องโหว่ CVE-2021-26084 - Confluence Server Webwork OGNL injection CVSS:9.8 ที่สามารถให้ผู้โจมตีทำการสั่งรันโค้ดที่เป็นอันตรายจากระยะไกลได้บน Server ที่มีช่องโหว่ ซึ่งช่องโหว่ดังกล่าวเกิดจาก Open-source expression language (OGNL Injection) เป็นช่องโหว่ที่ทำให้ผู้ใช้ที่ผ่านการตรวจสอบสิทธิ์ หรือบางครั้งผู้ใช้ที่ไม่ผ่านการตรวจสอบ ก็สามารถรันโค้ดบนเซิฟเวอร์ Confluence หรือ Data Center instance ได้ และล่าสุดพบว่ามีผู้โจมตีจากหลายๆ ประเทศทำการทดสอบ exploit servers เพื่อดาวน์โหลด และเรียกใช้ PowerShell script หรือ Linux Shell script

 

และ Bad Packets ที่เป็นบริษัทด้านความปลอดภัยได้ยืนยันว่าพบผู้โจมตีกำลังพยายามติดตั้ง XMRig cryptocurrency miner บน Windows Server และ Linux Confluence Servers เพื่อขุด Monero และถึงแม้ว่าในขณะนี้จะพบว่าช่องโหว่ดังกล่าวถูกใช้แค่ในการขุด cryptocurrency แต่ก็ไม่ได้หมายความว่าอนาคตกลุ่มแฮกเกอร์จะไม่โจมตีระบบด้วยวิธีการที่มีความรุนแรงมากกว่านี้ โดยเฉพาะหาก confluence server ติดตั้งแบบ host on-premise ซึ่งอาจทำให้เกิดการแพร่กระจายผ่านเครือข่าย และอาจนำไปสู่การโจมตี Ransomware และการขโมยข้อมูลได้

 

ลูกค้าของ Atlassian ที่อัพเกรดเป็นเวอร์ชั่น 6.13.23, 7.11.6, 7.12.5, 7.13.0 หรือ 7.4.11 แล้วจะไม่ได้รับผลกระทบ

ระบบ Confluence Server และ Confluence Data Center ที่ได้รับผลกระทบ

All 4.x.x versions
All 5.x.x versions
All 6.0.x versions
All 6.1.x versions
All 6.2.x versions
All 6.3.x versions
All 6.4.x versions
All 6.5.x versions
All 6.6.x versions
All 6.7.x versions
All 6.8.x versions
All 6.9.x versions
All 6.10.x versions
All 6.11.x versions
All 6.12.x versions
All 6.13.x versions before 6.13.23
All 6.14.x versions
All 6.15.x versions
All 7.0.x versions
All 7.1.x versions
All 7.2.x versions
All 7.3.x versions
All 7.4.x versions before 7.4.11
All 7.5.x versions
All 7.6.x versions
All 7.7.x versions
All 7.8.x versions
All 7.9.x versions
All 7.10.x versions
All 7.11.x versions before 7.11.6
All 7.12.x versions before 7.12.5

คำแนะนำ

หากกำลังใช้งานเวอร์ชันที่ได้รับผลกระทบ ให้อัปเกรดเป็นเวอร์ชัน 7.13.0 (LTS) หรือสูงกว่า
หากใช้เวอร์ชัน 6.13.x และไม่สามารถอัปเกรดเป็น 7.13.0 (LTS) ได้ ให้อัปเกรดเป็นเวอร์ชัน 6.13.23
หากใช้เวอร์ชัน 7.4.x และไม่สามารถอัปเกรดเป็น 7.13.0 (LTS) ได้ ให้อัปเกรดเป็นเวอร์ชัน 7.4.11
หากใช้เวอร์ชัน 7.11.x และไม่สามารถอัปเกรดเป็น 7.13.0 (LTS) ได้ ให้อัปเกรดเป็นเวอร์ชัน 7.11.6
หากใช้เวอร์ชัน 7.12.x และไม่สามารถอัปเกรดเป็น 7.13.0 (LTS) ได้ ให้อัปเกรดเป็นเวอร์ชัน 7.12.5

หรือถ้าหากไม่สามารถอัพเดทได้ในทันที สามารถแก้ไขเบื้องต้นได้ตามลิงค์ด้านล้างนี้ในหัวข้อ Mitigateon (confluence.

มีข้อมูลว่าแฮกเกอร์รายหนึ่งได้ปล่อยข้อมูล Username และ Password สำหรับ Login Fortinet VPN กว่า 5 แสนรายการ บน RAMP Hacking forum ที่พึ่งเปิดตัวขึ้นมาใหม่ โดยมีผู้ดูแลใช้ชื่อว่า “Orange” และเจ้าตัวยังเป็นผู้ดำเนินการ BaBuk Ransomware คนก่อนอีกด้วย และปัจจุบันเชื่อว่าได้แยกตัวมาเป็นตัวแทนของการดำเนินการของ Groove Ransomware

ข้อมูลที่ถูกปล่อยออกมาบน forum นั้นได้มาจากการโจมตีช่องโหว่ของ Fortinet CVE-2018-13379 ซึ่งการหลุดของข้อมูลครั้งนี้ถือว่าเป็นเหตุการณ์ที่ร้ายแรง เนื่องจากข้อมูลที่หลุดไปนั้น สามารถทำให้ผู้ที่โจมตีสามารถ VPN เข้าถึงเครือข่ายเพื่อทำการขโมยข้อมูล ติดตั้งมัลแวร์ หรือดำเนินการโจมตีด้วยแรนซัมแวร์ได้

และนอกจาก forum ดังกล่าวแล้ว ยังมีโพสที่ปรากฎอยู่บน data leak site ของ Groove ransomware ด้วยเช่นกัน

จากการตรวจสอบของ BleepingComputer พบว่ามีข้อมูล VPN Credentials กว่า 498,908 Users และอุปกรณ์กว่า 12,856 เครื่อง และ IP Address ที่ตรวจสอบทั้งหมดนั้นเป็น Fortinet VPN Servers และจากการวิเคราะห์เพิ่มเติมพบว่าอุปกรณ์กว่า 2,959 เครื่องนั้นอยู่ในสหรัฐอเมริกา

แต่เป็นที่น่าสงสัยว่าเพราะอะไรกลุ่มแฮกเกอร์ถึงปล่อยข้อมูลออกมา แต่สามารถเชื่อได้ว่าอาจทำไปเพื่อโฆษณา RAMP forum เพื่อให้ผู้โจมตีที่สนใจ RaaS มาใช้ Groove as a Service ซึ่งเป็น Ransomware ที่ค่อนข้างใหม่ ที่มีเหยื่อเพียงรายเดียวเท่านั้นที่อยู่ในรายชื่อของเหยื่อบนหน้าเว็บไซต์

และจากการตรวจสอบเพิ่มเติมของทาง I-SECURE ผมว่ามี IP ขององค์กรต่างๆ โรงเรียนหรือมหาวิทยาลัย รวมถึงหน่วยงานราชการในประเทศไทย รวมกันมากกว่า 500 IP และในแต่ละไฟล์จะมีข้อมูลของ Username และ Password อยู่ด้านใน

และทางเราแนะนำว่าหากมี Server ใดที่ยังไม่ได้รับการ Patch ให้ทำการ Patch ในทันที และให้ทำการรีเซ็ตรหัสผ่านของผู้ใช้งาน Fortinet VPN ทั้งหมดเพื่อความปลอดภัย

ที่มา: BleepingComputer, advintel

เมื่อวันที 20 กรกฎาคมที่ผ่านมา ได้พบช่องโหว่ใหม่ของ Microsoft ที่มีชื่อเรียกว่า “SeriousSAM หรือ HiveNightmare”

CVE-2021-36934 Windows Elevation of Privilege Vulnerability มีระดับความรุนแรง CVSS Score: 7.8 เป็นช่องโหว่ในการยกระดับสิทธิ์ ที่เกิดจากรายการควบคุมการเข้าถึง ACL (Access Control Lists) ที่อนุญาตให้มีสิทธิ์เข้าถึงไฟล์ในระบบมากเกินไป และยังสามารถเข้าถึงฐานข้อมูล Security Accounts Manager (SAM) ซึ่งเป็นไฟล์สำหรับเก็บข้อมูล user และ password ของผู้ใช้อีกด้วย

หากผู้โจมตีสามารถเข้าถึงจะสามารถใช้ประโยชน์จากช่องโหว่นี้ในการยกระดับสิทธิเป็น SYSTEM ได้และจะสามารถติดตั้งโปรแกรม ดูการตั้งค่าต่าง ๆ ลบหรือแก้ไขข้อมูล รวมถึงการสร้างบัญชีใหม่ที่มีสิทธิ์ผู้ใช้แบบเต็มรูปแบบ

นักวิจัยด้านความปลอดภัย Jonas Lykkegard ได้กล่าวว่า เขาค้นพบไฟล์ Registry Windows 10 และ 11 นั้น มีความเชื่อมโยงกับ Security Account Manager (SAM) และฐานข้อมูล Registry อื่น ๆ ทำให้สามารถเข้าถึงได้โดย Users ทั่วไป นอกจากนี้ผู้โจมตียังสามารถดึง NTLM (NT LAN Manager) Hash Password ของทุกบัญชีในอุปกรณ์และใช้ hash เหล่านี้ในการโจมตีแบบ pass-the-hash เพื่อยกระดับสิทธิ์ได้อีกด้วย และนักวิจัยยังได้กล่าวอีกว่า "เนื่องจากไฟล์ Registry เช่น SAM ถูกใช้โดยระบบ เมื่อลองพยายามเข้าถึงไฟล์ดังกล่าว จะได้รับการแจ้งเตือนว่ากำลังละเมิดการเข้าถึงไฟล์ เนื่องจากไฟล์ถูกเปิดและใช้งานจากโปรแกรมอื่น"

อย่างไรก็ตาม ผู้โจมตีจะสามารถเข้าถึงไฟล์ Registry รวมถึง SAM โดยผ่าน Windows shadow volume copies จะไม่มีการแจ้งเตือนการละเมิดในการเข้าถึงใด ๆ

วิธีการแก้ปัญหาเบื้องต้น
จำกัดการเข้าถึงของ %windir%\system32\config:

1. Open Command Prompt or Windows PowerShell as an administrator.

ช่องโหว่ Print Spooler (CVE-2021-1675)

ในเดือนมิถุนายนที่ผ่านมาพบช่องโหว่บน Print Spooler (CVE-2021-1675) โดยทาง Microsoft กล่าวว่าเป็นช่องโหว่ที่ไม่รุนแรงมาก ซึ่งกระทบกับ Windows ตั้งแต่ Windows 7 SP1 ไปจนถึง Server 2019, ARM64 versions of Windows และ Windows RT 8.1 ต่อมาเมื่อวันที่ 21 มิถุนายนที่ผ่านมา ทาง Microsoft ได้ออกมาอัปเดตว่าช่องโหว่นี้อาจใช้ทำ Remote Code Execution ได้และระดับความรุนแรงจะมากขึ้น โดยนักวิจัยจากบริษัทรักษาความปลอดภัยทางไซเบอร์ Sangfor ซึ่งกำลังเตรียมนำเสนอบทความเกี่ยวกับจุดบกพร่องของ Print Spooler ในการประชุม Black Hat ที่กำลังจะมีขึ้นในเดือนสิงหาคม 2564 แต่ได้มีการเปิดเผยโค้ดเพื่อสาธิตก่อนกำหนดเพราะเข้าใจว่ามีแพตซ์แก้ไขช่องโหว่นี้ไปแล้ว แต่ช่องโหว่ที่ทาง Sangfor เปิดเผยโค้ด ไม่ใช่ช่องโหว่ด้านความปลอดภัยแบบเดียวกับที่ได้รับการแก้ไขใน Patch Tuesday โดยทีมนักวิจัยดังกล่าวได้รีบลบข้อมูลโค้ดนั้นทันที แต่โค้ดช่องโหว่ดังกล่าวได้ถูกดาวน์โหลดและเผยแพร่ซ้ำที่อื่นไปแล้ว โดยช่องโหว่ใหม่นี้มีชื่อเรียกว่า PrintNightmare เป็นช่องโหว่การเรียกใช้โค้ดจากระยะไกลของ Windows Print Spooler เช่นเดียวกับ CVE-2021-1675 แต่ยังไม่มีแพตซ์แก้ไขช่องโหว่นี้

ช่องโหว่ใหม่มีชื่อว่า PrintNightmare (CVE-2021-34527)

เป็นช่องโหว่ในการเรียกใช้ Remote code excution เมื่อผู้โจมตีประสบความสำเร็จในการใช้ประโยชน์จากช่องโหว่ Windows Print Spooler สามารถเรียกใช้รหัสด้วย SYSTEM privileges สามารถติดตั้งโปรแกรม ดู เปลี่ยนแปลง ลบข้อมูล หรือสร้างบัญชีใหม่พร้อมสิทธิ์ผู้ใช้เต็มรูปแบบ

ทั้ง 2 ช่องโหว่จะมีความคล้ายคลึงกัน

CVE-2021-1675 เป็นช่องโหว่ที่สามารถโจมตีแบบ Remote Code Execution บน Print Spooler ได้ มี Patch แก้ไขแล้ว สามารถดาวน์โหลดได้ที่ Microsoft
CVE-2021-34527 มีลักษณะการโจมตีที่คล้ายคลึงกันแต่แตกต่างกันที่ RpcAddPrinterDriverEx() เกี่ยวกับการตั้งค่าไดรเวอร์ของ Printer ยังไม่มี Patch แก้ไข สามารถติดตามข้อมูลได้ที่ msrc.

VMware ได้เน้นย้ำเกี่ยวกับแพตช์สำหรับแก้ไขช่องโหว่ระดับ Critical บน vCenter Server ที่อาจใช้โดยกลุ่มผู้ไม่หวังดีในการยกระดับสิทธิ์เพื่อสั่งรันโค้ดระยะไกลบน Server ได้

CVE-2021-21985 (RCE vulnerability in the vSphere Client) เป็นช่องโหว่ที่เกิดจากการไม่ได้ตรวจสอบความถูกต้องของ Input ใน plug-in สำหรับตรวจสอบประสิทธิภาพการทำงานของ Virtual SAN (vSAN) ซึ่งจะถูกเปิดใช้งานโดยค่า default ใน vCenterServer และทาง VMware ได้กล่าวเกี่ยวกับช่องโหว่นี้ว่า “ผู้โจมตีที่สามารถเข้าถึงเครือข่ายจะไปที่พอร์ต 443 และใช้ประโยชน์จากช่องโหว่เพื่อรันคำสั่งด้วยสิทธ์ Privilege บนระบบปฏิบติการใน host ของ vCenter Server ” โดยช่องโหว่นี้มีระดับความรุนแรง CVSS อยู่ที่ 9.8/10

CVE-2021-21986 (Authentication mechanism issue in vCenter Server Plug-ins) เป็นช่องโหว่ที่อยู่ในขั้นตอนการพิสูจน์ตัวตนของ vSphere สำหรับ Virtual SAN Health Check, Site Recovery, vSphere Lifecycle Manager, and VMware Cloud Director Availability plug-ins ที่อนุญาตให้ผู้โจมตีใช้งานฟังก์ชัน plug-in ได้โดยไม่ต้องมีการตรวจสอบความถูกต้อง โดยช่องโหว่นี้มีระดับความรุนแรง CVSS อยู่ที่ 6.5/10 (more…)

Google ประกาศแพตช์รอบที่สองสำหรับช่องโหว่ Zero-day รหัส CVE-2021-21166 ที่กำลังถูกใช้โจมตีใน Chrome รุ่น 89.0.4389.72 ที่ผ่านมา โดย CVE-2021-21166 เป็นช่องโหว่อยู่ในระดับสูงและเกี่ยวข้องกับคอมโพเนนต์เรื่องเสียงของ Chrome

แม้ว่า Google จะตรวจพบการใช้ CVE-2021-21166 ในการโจมตีจริงแล้ว Google ก็ยังไม่ได้มีการเปิดเผยรายละเอียดการใช้ช่องโหว่ดังกล่าวเพื่อโจมตีออกมา รวมไปถึงข้อมูลประกอบ อาทิ เป้าหมายของการโจมตี หรือกลุ่มที่อยู่เบื้องหลังการโจมตี โดย Google มีการให้เหตุผลว่าข้อมูลของการโจมตีนั้นจะถูกเก็บเอาไว้จนกว่าผู้ใช้งานส่วนใหญ่จะทำการอัปเดตรุ่นของเบราว์เซอร์ Chrome ให้เป็นรุ่นล่าสุด

นอกเหนือจากแพตช์สำหรับ CVE-2021-21166 ที่ถูกแพตช์ในรอบนี้ด้วยความเร่งด่วนแล้ว Chrome จะมีการปล่อยแพตช์ให้กับอีก 47 ช่องโหว่ซึ่งโดยส่วนใหญ่ถูกพบโดยนักวิจัยด้านความปลอดภัยภายนอกด้วย ขอให้ผู้ใช้ ทำการอัปเดต Chrome ให้เป็นเวอร์ชันล่าสุดโดยด่วนเพื่อลดความเสี่ยงที่จะถูกโจมตีด้วยช่องโหว่

ที่มา: bleepingcomputer

บริษัทด้านความปลอดภัย Qualys ออกมาประกาศว่าตนเป็นเหยื่อรายล่าสุด ได้รับผลกระทบจากการรั่วไหลของข้อมูลซึ่งเกิดจากการโจมตีช่องโหว่ในระบบ Accellion FTA โดยกลุ่มมัลแวร์เรียกค่าไถ่ Clop ซึ่งเชื่อว่าเป็นผู้อยู่เบื้องหลังการโจมตีในครั้งนี้ ได้มีการปล่อยตัวอย่างของไฟล์ทีได้มาจากการโจมตี ขึ้นบนเว็บไซต์ของกลุ่มแล้ว

ช่องโหว่ในระบบ Accellion FTA ถูกแจ้งเตือนตั้งแต่ช่วงกลางเดือนกุมภาพันธ์ โดยมี Singtel และอีกหลายบริษัทตกเป็นเหยื่อ ย้อนดูข่าวเก่าของเราได้ที่นี่ facebook

อ้างอิงการยืนยันโดยทีมงานของ Bleeping Computer นั้น Qualys เคยมีการใช้งานระบบ Accellion FTA อยู่จริงที่ fts-na.

นักพัฒนาของไลบรารี Node.js "systeminformation" ได้มีการเผยแพร่เวอร์ชันของไลบรารีดังกล่าวหลังจากมีการตรวจพบช่องโหว่ Command injection ในตัวไลบรารีซึ่งปัจจุบันถูกติดตามด้วยรหัส CVE-2021-21315 ความน่ากังวลของสถานการณ์ดังกล่าวนั้นอยู่ที่ความนิยมของไลบรารีนี้ที่มียอดดาวน์โหลดรายสัปดาห์สูงถึง 800,000 ครั้ง ซึ่งหลังจากมีการเปิดเผยการแพตช์ไป อาจทำให้เกิดการโจมตีที่สร้างผลกระทบเป็นวงกว้างได้

ไลบรารี systeminformation เป็นไลบรารีใน Node.