HP ประกาศจะแก้ไขช่องโหว่ระดับ critical บน LaserJet printer ภายใน 90 วัน

HP ประกาศว่าจะใช้เวลาสูงสุด 90 วัน ในการดำเนินการแก้ไขช่องโหว่ระดับ critical ที่ส่งผลกระทบต่อเฟิร์มแวร์ของเครื่องพิมพ์ระดับธุรกิจ

CVE-2023-1707 (CVSS 9.1/10 ความรุนแรงระดับ critical) เป็นช่องโหว่ information disclosure ที่ส่งผลกระทบต่อเครื่องพิมพ์ HP Enterprise LaserJet และ HP LaserJet Managed ประมาณ 50 รุ่น

โดยช่องโหว่ดังกล่าวจำเป็นต้องเรียกใช้ผ่านเฟิร์มแวร์ FutureSmart เวอร์ชัน 5.6 เท่านั้น และต้องมีการเปิดใช้งาน IPsec (Internet Protocol Security) ซึ่งเป็นโปรโตคอลด้านความปลอดภัยของ IP ที่ใช้ในเครือข่ายองค์กรเพื่อรักษาความปลอดภัยในการสื่อสารระยะไกล หรือภายใน และป้องกันการเข้าถึงระบบโดยไม่ได้รับอนุญาต รวมถึงเครื่องพิมพ์ โดย FutureSmart ช่วยให้ผู้ใช้งานสามารถทำงาน และกำหนดค่าเครื่องพิมพ์ได้จากแผงควบคุมที่มีอยู่ในเครื่องพิมพ์ หรือจากเว็บเบราว์เซอร์สำหรับการเข้าถึงจากภายนอก (more…)

ช่องโหว่ของ Realtek และ Cacti กำลังตกเป็นเป้าหมายการโจมตีของ Botnet

Fortinet รายงานการพบ botnet หลายตัว กำลังมุ่งเป้าการโจมตีไปยังช่องโหว่ของ Cacti และ Realtek ตั้งแต่เดือนมกราคมถึงมีนาคม 2023 โดยพบการแพร่กระจายของมัลแวร์ ShellBot และ Moobot เป็นหลัก

โดยของโหว่ที่ตกเป็นเป้าหมายในการโจมตีคือ CVE-2021-35394 ซึ่งเป็นช่องโหว่ในการเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกลใน Realtek Jungle SDK และ CVE-2022-46169 ช่องโหว่ command injection ใน fault management monitoring tool ของ Cacti ซึ่งทั้งสองช่องโหว่ดังกล่าว เคยถูกใช้โจมตีโดย botnet ตัวอื่นมาแล้ว เช่น Fodcha, RedGoBot, Mirai, Gafgyt และ Mozi

แม้ว่าจากรายงานของ Fortinet จะไม่ระบุอย่างชัดเจนว่า botnet ทั้งสองตัวอย่าง ShellBot และ Moobot มาจาก Hacker กลุ่มเดียวกัน แต่พบหลักฐานว่า botnet ทั้งสองตัวนี้ทำการโจมตีโดยใช้ช่องโหว่ในลักษณะเดียวกัน (more…)

OpenSSH ออกอัปเดตแพตซ์สำหรับช่องโหว่ Pre-AUTH Double Free

OpenSSH ได้เปิดตัวแพตซ์อัปเดต OpenSSH เวอร์ชัน 9.2 เพื่อแก้ไขช่องโหว่ด้านความปลอดภัยจำนวนหนึ่ง ซึ่งรวมถึงช่องโหว่ด้านความปลอดภัยของหน่วยความจำใน OpenSSH server (sshd)

OpenSSH เป็นโอเพ่นซอร์สสำหรับโปรโตคอล Secure Shell (SSH) เพื่อนำมาใช้เป็นช่องทางการสื่อสารที่เข้ารหัสที่ปลอดภัยผ่านเครือข่าย

โดย CVE-2023-25136 เป็นช่องโหว่ “double free” ใน OpenSSH version 9.1 โดย Mantas Mikulenas นักวิจัยด้านความปลอดภัย เป็นผู้รายงานช่องโหว่ดังกล่าวในเดือนกรกฎาคม 2565 (more…)

นักวิจัยความปลอดภัยเตรียมปล่อยข้อมูลช่องโหว่ VMware vRealize Log RCE exploit

นักวิจัยด้านความปลอดภัยของ Horizon3’s ได้มีการปล่อยรายละเอียดของช่องโหว่ที่มีรูปแบบเกี่ยวเนื่องกัน ที่จะส่งผลกระทบต่อไปเรื่อย ๆ บน VMware vRealize Log Insight ที่ยังไม่ได้ทำการอัปเดต Patch ซึ่งหากสามารถโจมตีได้สำเร็จ จะทำให้ผู้โจมตีสามารถเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกลด้วยสิทธิ์ของ root ได้ (more…)

พบช่องโหว่ RCE ระดับ Critical บน EmojiDeploy ทำให้สามารถโจมตี Microsoft Azure ได้

นักวิจัยด้าน Ermetic บริษัทรักษาความปลอดภัยโครงสร้างพื้นฐานบนระบบคลาวด์ของอิสราเอล พบช่องโหว่ระดับ Critical บน Microsoft Azure ที่ทำให้ผู้โจมตีสามารถสั่งรันโค้ดที่เป็นอันตรายจากระยะไกล (Remote Code Execution (RCE)) เพื่อเข้าควบคุมแอปพลิเคชันเป้าหมายได้

โดย Ermetic อธิบายช่องโหว่นี้ว่าเกิดจาก CSRF (cross-site request forgery) บน Kudu ซึ่งเป็นบริการ SCM ที่ใช้อย่างแพร่หลาย แล้วทำการส่งไฟล์ ZIP ที่ฝังเพย์โหลดอันตรายไปยังแอปพลิเคชัน Azure ของเป้าหมาย โดยได้เรียกวิธีการโจมตีนี้ว่า EmojiDeploy

Kudu คือเครื่องมือที่อยู่เบื้องหลังการทำงานของ Azure App Service ที่เกี่ยวข้องกับ source control based deployment เช่นเดียวกับ Dropbox และ OneDrive sync

การโจมตี

นักวิจัยได้อธิบายขั้นตอนการโจมตี ดังนี้

Hacker โจมตีผ่านช่องโหว่ CSRF ใน Kudu SCM panel ทำให้สามารถหลีกเลี่ยงการป้องกันและส่ง request ที่สร้างขึ้นเป็นพิเศษไปที่ "/api/zipdeploy" เพื่อส่งไฟล์ ZIP ที่เป็นอันตราย เช่น web shell และทำให้สามารถเข้าควบคุมระบบจากระยะไกลได้
ไฟล์ ZIP ที่เป็นอันตรายจะถูก encoded ในส่วนของ body ของ HTTP request เมื่อถูกเปิดขึ้นมา มันจะเรียกไปยังโดเมนที่ถูกควบคุมโดย Hacker ผ่าน web shell เพื่อหลบเลี่ยงการตรวจสอบ

การค้นพบนี้เกิดขึ้นหลังจาก Orca Security ได้เปิดเผยการโจมตี 4 ครั้งของการโจมตี server-side request forgery (SSRF) ที่ส่งผลกระทบต่อ Azure API Management, Azure Functions, Azure Machine Learning และ Azure Digital Twins หลังจากนั้น Microsoft ได้แก้ไขช่องโหว่ในวันที่ 6 ธันวาคม 2022 หลังจากการเปิดเผยช่องโหว่เมื่อวันที่ 26 ตุลาคม 2022 นอกจากนี้ Microsoft ยังได้มอบรางวัลให้แก่การรายงานช่องโหว่นี้เป็นมูลค่า 30,000 ดอลลาร์

การป้องกัน

ตรวจสอบการอนุญาตของแอปพลิเคชั่น และการกำหนดสิทธิในส่วนของการจัดการข้อมูลประจำตัว
จำกัดสิทธิ์การเข้าถึงให้น้อยที่สุดเพื่อความปลอดภัย

ที่มา : thehackernews

พบช่องโหว่ระดับ Critical ใน Netcomm และ TP-Link Routers

CERT Coordination Center (CERT/CC) ศูนย์ประสานงานด้านความปลอดภัยไซเบอร์ ได้เผยแพร่ช่องโหว่หมายเลข CVE-2022-4873, CVE-2022-4874 ซึ่งส่งผลกระทบต่ออุปกรณ์เราเตอร์ Netcomm และ CVE-2022-4498, CVE-2022-4499 ซึ่งส่งผลกระทบต่ออุปกรณ์เราเตอร์ TP-Link ที่ทำให้ผู้โจมตีสามารถสั่งรันโค้ดที่เป็นอันตรายจากระยะไกลได้ (Remote Code Execution)

CVE-2022-4873 และ CVE-2022-4874 เป็นช่องโหว่ของ stack-based buffer overflow ที่ทำให้ผู้โจมตีสามารถหลีกเลี่ยงการตรวจสอบสิทธิ รวมถึงสั่งรันโค้ดที่เป็นอันตรายจากระยะไกล ซึ่งส่งผลกระทบต่อเราเตอร์ Netcomm รุ่น NF20MESH, NF20 และ NL1902 ที่ใช้เฟิร์มแวร์เวอร์ชันก่อนหน้า R6B035

CVE-2022-4498 และ CVE-2022-4499 เป็นช่องโหว่ของ stack-based buffer overflow ที่ทำให้ผู้โจมตีสามารถหลีกเลี่ยงการตรวจสอบสิทธิ รวมถึงสั่งรันโค้ดที่เป็นอันตรายจากระยะไกล ซึ่งส่งผลกระทบต่อเราเตอร์ TP-Link รุ่น WR710N-V1-151022 และ Archer-C5-V2-160201

โดย CERT/CC กล่าวว่าช่องโหว่ที่ส่งผลกระทบต่อ เราเตอร์ Netcomm and TP-Link ส่งผลกระทบโดยตรงต่อค่า response time ของกระบวนการทำงาน และข้อมูล username/password บนเราเตอร์ ทำให้มีความเสี่ยงที่จะถูกโจมตีจากช่องโหว่ดังกล่าวได้

ที่มา : thehackernews

พบช่องโหว่ระดับความรุนแรงสูงบน jsonwebtoken กระทบโครงการมากกว่า 22,000 โครงการ

นักวิจัยของ Unit 42 หน่วยงานวิจัยด้านความปลอดภัยของ Palo Alto Networks ได้ออกเผยแพร่รายงานการพบช่องโหว่บน jsonwebtoken (JWT) ที่มีหมายเลข CVE-2022-23529 ซึ่งส่งผลให้ Hackers ที่สามารถโจมตีได้สำเร็จสามารถสั่งรันโค้ดที่เป็นอันตรายจากระยะไกลได้

CVE-2022-23529 (คะแนน CVSS: 7.6 ระดับความรุนแรงสูง) เป็นช่องโหว่ของ JSON web token (JWT) ที่สามารถสั่งรันโค้ดที่เป็นอันตรายจากระยะไกล (Remote Code Execution RCE) บนเซิร์ฟเวอร์เป้าหมายได้

jsonwebtoken ถูกพัฒนาและดูแลโดย Auth0 ของ Okta โดยเป็นโมดูล JavaScript ที่ช่วยให้ผู้ใช้สามารถถอดรหัส ตรวจสอบ และสร้างโทเค็นเว็ป JSON เพื่อเป็นวิธีการส่งข้อมูลอย่างปลอดภัยระหว่างสองฝ่าย เพื่อการตรวจสอบสิทธิ์การใช้งาน และการตรวจสอบความถูกต้อง โดยมีการดาวน์โหลดไปแล้วมากกว่า 10 ล้านครั้งต่อสัปดาห์ใน npm software และมีการใช้งานมากกว่า 22,000 โครงการ

การโจมตี

Hackers จะทำการโจมตีบนเซิร์ฟเวอร์เป้าหมายผ่านทาง jsonwebtoken ที่มีช่องโหว่ เพื่อสั่งรันโค้ดที่เป็นอันตรายจากระยะไกล รวมไปถึงการเขียนข้อมูลทับ หรือเข้ารหัสไฟล์บนเครื่องที่ถูกโจมตีผ่านทาง secret management process โดยใช้ secretOrPublicKey value ที่มีช่องโหว่

jsonwebtoken เวอร์ชันที่ได้รับผลกระทบ

jsonwebtoken ตั้งแต่เวอร์ชัน 8.5.1 ลงไป

วิธีการป้องกัน

ดำเนินการอัปเดตเป็น jsonwebtoken เวอร์ชัน 9.0.0 เพื่อป้องกันความเสี่ยงจากการถูกโจมตี

ที่มา : thehackernews

Cacti Servers ที่มีช่องโหว่ ตกเป็นเป้าหมายการโจมตีของ Hackers พบมีประเทศไทยอยู่ด้วย

Censys บริษัทด้านความปลอดภัยไซเบอร์ ได้เปิดเผยรายงานการพบเซิร์ฟเวอร์ Cacti ที่เชื่อมต่อกับอินเทอร์เน็ตส่วนใหญ่ไม่ได้รับการอัปเดตช่องโหว่ด้านความปลอดภัยที่มีหมายเลข CVE-2022-46169 ซึ่งพึ่งถูกค้นพบในเดือนธันวาคม 2022 ที่ผ่านมา ทำให้ตกเป็นเป้าหมายในการโจมตีของกลุ่ม Hackers

CVE-2022-46169 (คะแนน CVSS: 9.8 ระดับความรุนแรงสูงมาก) เป็นช่องโหว่ใน Cacti Servers ที่สามารถ bypass การตรวจสอบสิทธิ์และเรียกใช้งานคำสั่งที่เป็นอันตรายบนเวอร์ชันที่เป็น open-source, web-based monitoring solution

จากการตรวจของ Censys สอบพบว่ามีเซิร์ฟเวอร์ Cacti เพียง 26 เซิร์ฟเวอร์ จากทั้งหมด 6,427 เซิร์ฟเวอร์ ที่มีการอัปเดตเวอร์ชันเพื่อปิดช่องโหว่ (version 1.2.23 และ 1.3.0) อีกทั้งนักวิจัยของ SonarSource บริษัทด้านความปลอดภัยไซเบอร์ยังได้ให้ข้อมูลเพิ่มเติมว่า พบเซิร์ฟเวอร์ Cacti ที่ยังไม่ได้อัปเดตเพื่อป้องกันช่องโหว่ถึง 1,320 เซิร์ฟเวอร์ โดยมาจากประเทศต่าง ๆ ได้แก่ บราซิล อินโดนีเซีย สหรัฐอเมริกา จีน บังคลาเทศ รัสเซีย ยูเครน ฟิลิปปินส์ อังกฤษ และประเทศไทย อีกทั้งยังพบการโจมตีช่องโหว่ดังกล่าวแล้ว ซึ่งพบว่า IP ที่โจมตีมานั้นส่วนใหญ่มาจากประเทศยูเครน

Cacti Server ที่ได้รับผลกระทบ

Cacti Server เวอร์ชัน 1.2.22 และต่ำกว่า

วิธีการแก้ไข

ทำการอัปเดต Cacti Server เป็นเวอร์ชัน 1.2.23 และ 1.3.0 เพื่อปิดช่องโหว่โดยเร็วที่สุด

ที่มา : thehackernews

พบช่องโหว่ใน Azure ทำให้สามารถเข้าถึงเครื่อง host ได้ผ่าน serverless function

สรุปรายละเอียดของช่องโหว่

Privilege escape เป็นสิทธ์ Root ได้ใน container
Container มีสิทธ์ CAP_SYS_ADMIN ซึ่งไม่เป็นไปตาม best practice จึงทำให้สามารถเข้าถึงเครื่อง Host ได้
Host เป็น single-tenant จึงทำให้สามารถเข้าถึงได้แค่ container ใน tenant

Escalating Privileges

นักวิจัยจาก Unit42 พบว่าใน container ของ Azure function จะมี service "init" ที่สามารถ Mount disk ใน container ได้ แต่ว่าตัว service มีช่องโหว่เรื่องการ validate input นักวิจัยจึงใช้ช่องโหว่นี้สร้าง shadow ไฟล์ขึ้นมาโดยใช้ password ของตัวเองแล้ว mount ไปที่ /etc/shadow ทำให้สามารถเปลี่ยน user เป็น root ได้โดยใช้ password ที่ถูกสร้างขึ้นมาใหม่

Escape to Host

เนื่องจาก container ของ Azure function มีการกำหนดสิทธิ์ Linux Capabilities มาไม่ได้ตามมาตรฐาน (Best Practice) ทำให้มีสิทธิ์หลายอย่างเข้าเงื่อนไขของ Container escape technique ที่ชื่อว่า "notify_on_release escape" ดังนี้

มีสิทธ์ root
มี SYS_ADMIN capability
สามารถใช้ mount syscall
container ต้องอ่าน และเขียน cgroup v1 virtual filesystem ได้

หลังจากที่นักวิจัยเข้าถึงเครื่อง Host ได้แล้ว พบว่าเครื่อง Host เป็น HyperV ที่จะถูกใช้งานแค่ tenant เดียว จึงทำให้ไม่มีความเสียงที่จะเข้าถึง Container ที่อยู่ใน tenant อื่นได้ นอกเหนือว่าจะมีช่องโหว่ที่ตัว HyperV นักวิจัยจึงหยุดการทดสอบ และรายงานช่องโหว่ไปที่ Microsoft

วิธีการแก้ไข 

Microsoft ได้ patch service ที่ใช้ในการ mount โดยเพิ่มการ Validate Input โดยที่ลูกค้าไม่ต้องดำเนินการใด ๆ เพิ่มเติม

ที่มา : unit42

Citrix servers ที่มีช่องโหว่ร้ายแรงหลายพันเครื่อง เสี่ยงต่อการตกเป็นเป้าหมายจากการโจมตี

นักวิจัยจากทีม Fox IT ของ NCC Group รายงานว่า Citrix Application Delivery Controller (ADC) และ Citrix Gateway endpoints ยังคงตกเป็นเป้าหมายในการโจมตีจาก 2 ช่องโหว่ที่มีความรุนแรงสูง ประกอบไปด้วย CVE-2022-27510 และ CVE-2022-27518 (คะแนน CVSS scores: 9.8)

ส่งผลให้ Hacker สามารถโจมตีและสั่งรันโค้ดที่เป็นอันตรายจากระยะไกล (RCE) รวมถึงการหลบหลีกการตรวจสอบสอบสิทธิ์การเข้าถึงบน Citrix servers ที่มีช่องโหว่ได้

การตรวจสอบ

โดยนักวิจัยทำการสแกนตรวจสอบในวันที่ 11 พฤศจิกายน 2022 และพบเซิร์ฟเวอร์ Citrix ทั้งหมด 28,000 เครื่องที่ออนไลน์อยู่ ซึ่งในการระบุ Citrix servers ที่มีช่องโหว่ จำเป็นต้องระบุจากหมายเลขเวอร์ชัน ซึ่งทำให้ยังอาจไม่สามารถระบุจำนวนเครื่องที่มีช่องโหว่ได้จาก HTTP response ของเซิร์ฟเวอร์ แต่นักวิจัยก็ยังพบว่ามีค่าพารามิเตอร์บางส่วนที่มีค่าคล้าย MD5 hash ที่สามารถใช้เพื่อจับคู่กับเวอร์ชันของ Citrix ADC และ Gateway ได้

ดังนั้นนักวิจัยจึงทำการตรวจสอบกับ Citrix ADC version ทั้งหมดที่สามารถหาได้จาก Citrix, Google Cloud Marketplace, AWS และ Azure บน VM เพื่อทำการจับคู่ hash กับเวอร์ชันต่างๆ

ในส่วนของค่า hash ที่ไม่สามารถจับคู่กับเวอร์ชันได้ นักวิจัยได้ใช้วิธีค้นหาวันที่สร้างและอนุมานหมายเลขเวอร์ชันตามนั้น

การค้นพบ

โดยผลลัพธ์จากการตรวจสอบซึ่งสรุปไว้ในกราฟให้ข้อมูลว่า ส่วนใหญ่ของ Citrix ADC และ Citrix Gateway จะอยู่ในเวอร์ชัน 13.0-88.14 ซึ่งเป็นเวอร์ชันที่ได้รับการอัปเดตเพื่อแก้ไขช่องโหว่แล้ว

แต่ทั้งนี้ก็ยังพบว่ามี Citrix ADC และ Citrix Gateway อีกกว่า 3,500 เครื่อง ที่ยังอยู่ในเวอร์ชัน12.1-65.21 ที่ได้รับผลกระทบจาก 2 ช่องโหว่ที่มีความรุนแรงสูง

รวมถึงจากข้อมูลที่ได้พบว่า กลุ่มประเทศที่ทำการอัปเดตช่องโหว่อย่างรวดเร็ว ได้แก่ ประเทศสหรัฐอเมริกา เยอรมนี แคนาดา ออสเตรเลีย และสวิตเซอร์แลนด์ ทั้งนี้นักวิจัยจากทีม Fox IT ได้แนะนำว่าขอให้ผู้ดูแลระบบ Citrix Server ที่มีช่องโหว่ ดำเนินการอัปเดตช่องโหว่โดยเร่งด่วน

ที่มา : bleepingcomputer