นักวิจัยด้านความปลอดภัยของ Horizon3’s ได้มีการปล่อยรายละเอียดของช่องโหว่ที่มีรูปแบบเกี่ยวเนื่องกัน ที่จะส่งผลกระทบต่อไปเรื่อย ๆ บน VMware vRealize Log Insight ที่ยังไม่ได้ทำการอัปเดต Patch ซึ่งหากสามารถโจมตีได้สำเร็จ จะทำให้ผู้โจมตีสามารถเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกลด้วยสิทธิ์ของ root ได้ (more…)

นักวิจัยด้าน Ermetic บริษัทรักษาความปลอดภัยโครงสร้างพื้นฐานบนระบบคลาวด์ของอิสราเอล พบช่องโหว่ระดับ Critical บน Microsoft Azure ที่ทำให้ผู้โจมตีสามารถสั่งรันโค้ดที่เป็นอันตรายจากระยะไกล (Remote Code Execution (RCE)) เพื่อเข้าควบคุมแอปพลิเคชันเป้าหมายได้

โดย Ermetic อธิบายช่องโหว่นี้ว่าเกิดจาก CSRF (cross-site request forgery) บน Kudu ซึ่งเป็นบริการ SCM ที่ใช้อย่างแพร่หลาย แล้วทำการส่งไฟล์ ZIP ที่ฝังเพย์โหลดอันตรายไปยังแอปพลิเคชัน Azure ของเป้าหมาย โดยได้เรียกวิธีการโจมตีนี้ว่า EmojiDeploy

Kudu คือเครื่องมือที่อยู่เบื้องหลังการทำงานของ Azure App Service ที่เกี่ยวข้องกับ source control based deployment เช่นเดียวกับ Dropbox และ OneDrive sync

การโจมตี

นักวิจัยได้อธิบายขั้นตอนการโจมตี ดังนี้

Hacker โจมตีผ่านช่องโหว่ CSRF ใน Kudu SCM panel ทำให้สามารถหลีกเลี่ยงการป้องกันและส่ง request ที่สร้างขึ้นเป็นพิเศษไปที่ "/api/zipdeploy" เพื่อส่งไฟล์ ZIP ที่เป็นอันตราย เช่น web shell และทำให้สามารถเข้าควบคุมระบบจากระยะไกลได้
ไฟล์ ZIP ที่เป็นอันตรายจะถูก encoded ในส่วนของ body ของ HTTP request เมื่อถูกเปิดขึ้นมา มันจะเรียกไปยังโดเมนที่ถูกควบคุมโดย Hacker ผ่าน web shell เพื่อหลบเลี่ยงการตรวจสอบ

การค้นพบนี้เกิดขึ้นหลังจาก Orca Security ได้เปิดเผยการโจมตี 4 ครั้งของการโจมตี server-side request forgery (SSRF) ที่ส่งผลกระทบต่อ Azure API Management, Azure Functions, Azure Machine Learning และ Azure Digital Twins หลังจากนั้น Microsoft ได้แก้ไขช่องโหว่ในวันที่ 6 ธันวาคม 2022 หลังจากการเปิดเผยช่องโหว่เมื่อวันที่ 26 ตุลาคม 2022 นอกจากนี้ Microsoft ยังได้มอบรางวัลให้แก่การรายงานช่องโหว่นี้เป็นมูลค่า 30,000 ดอลลาร์

การป้องกัน

ตรวจสอบการอนุญาตของแอปพลิเคชั่น และการกำหนดสิทธิในส่วนของการจัดการข้อมูลประจำตัว
จำกัดสิทธิ์การเข้าถึงให้น้อยที่สุดเพื่อความปลอดภัย

ที่มา : thehackernews

CERT Coordination Center (CERT/CC) ศูนย์ประสานงานด้านความปลอดภัยไซเบอร์ ได้เผยแพร่ช่องโหว่หมายเลข CVE-2022-4873, CVE-2022-4874 ซึ่งส่งผลกระทบต่ออุปกรณ์เราเตอร์ Netcomm และ CVE-2022-4498, CVE-2022-4499 ซึ่งส่งผลกระทบต่ออุปกรณ์เราเตอร์ TP-Link ที่ทำให้ผู้โจมตีสามารถสั่งรันโค้ดที่เป็นอันตรายจากระยะไกลได้ (Remote Code Execution)

CVE-2022-4873 และ CVE-2022-4874 เป็นช่องโหว่ของ stack-based buffer overflow ที่ทำให้ผู้โจมตีสามารถหลีกเลี่ยงการตรวจสอบสิทธิ รวมถึงสั่งรันโค้ดที่เป็นอันตรายจากระยะไกล ซึ่งส่งผลกระทบต่อเราเตอร์ Netcomm รุ่น NF20MESH, NF20 และ NL1902 ที่ใช้เฟิร์มแวร์เวอร์ชันก่อนหน้า R6B035

CVE-2022-4498 และ CVE-2022-4499 เป็นช่องโหว่ของ stack-based buffer overflow ที่ทำให้ผู้โจมตีสามารถหลีกเลี่ยงการตรวจสอบสิทธิ รวมถึงสั่งรันโค้ดที่เป็นอันตรายจากระยะไกล ซึ่งส่งผลกระทบต่อเราเตอร์ TP-Link รุ่น WR710N-V1-151022 และ Archer-C5-V2-160201

โดย CERT/CC กล่าวว่าช่องโหว่ที่ส่งผลกระทบต่อ เราเตอร์ Netcomm and TP-Link ส่งผลกระทบโดยตรงต่อค่า response time ของกระบวนการทำงาน และข้อมูล username/password บนเราเตอร์ ทำให้มีความเสี่ยงที่จะถูกโจมตีจากช่องโหว่ดังกล่าวได้

ที่มา : thehackernews

นักวิจัยของ Unit 42 หน่วยงานวิจัยด้านความปลอดภัยของ Palo Alto Networks ได้ออกเผยแพร่รายงานการพบช่องโหว่บน jsonwebtoken (JWT) ที่มีหมายเลข CVE-2022-23529 ซึ่งส่งผลให้ Hackers ที่สามารถโจมตีได้สำเร็จสามารถสั่งรันโค้ดที่เป็นอันตรายจากระยะไกลได้

CVE-2022-23529 (คะแนน CVSS: 7.6 ระดับความรุนแรงสูง) เป็นช่องโหว่ของ JSON web token (JWT) ที่สามารถสั่งรันโค้ดที่เป็นอันตรายจากระยะไกล (Remote Code Execution RCE) บนเซิร์ฟเวอร์เป้าหมายได้

jsonwebtoken ถูกพัฒนาและดูแลโดย Auth0 ของ Okta โดยเป็นโมดูล JavaScript ที่ช่วยให้ผู้ใช้สามารถถอดรหัส ตรวจสอบ และสร้างโทเค็นเว็ป JSON เพื่อเป็นวิธีการส่งข้อมูลอย่างปลอดภัยระหว่างสองฝ่าย เพื่อการตรวจสอบสิทธิ์การใช้งาน และการตรวจสอบความถูกต้อง โดยมีการดาวน์โหลดไปแล้วมากกว่า 10 ล้านครั้งต่อสัปดาห์ใน npm software และมีการใช้งานมากกว่า 22,000 โครงการ

การโจมตี

Hackers จะทำการโจมตีบนเซิร์ฟเวอร์เป้าหมายผ่านทาง jsonwebtoken ที่มีช่องโหว่ เพื่อสั่งรันโค้ดที่เป็นอันตรายจากระยะไกล รวมไปถึงการเขียนข้อมูลทับ หรือเข้ารหัสไฟล์บนเครื่องที่ถูกโจมตีผ่านทาง secret management process โดยใช้ secretOrPublicKey value ที่มีช่องโหว่

jsonwebtoken เวอร์ชันที่ได้รับผลกระทบ

jsonwebtoken ตั้งแต่เวอร์ชัน 8.5.1 ลงไป

วิธีการป้องกัน

ดำเนินการอัปเดตเป็น jsonwebtoken เวอร์ชัน 9.0.0 เพื่อป้องกันความเสี่ยงจากการถูกโจมตี

ที่มา : thehackernews

Censys บริษัทด้านความปลอดภัยไซเบอร์ ได้เปิดเผยรายงานการพบเซิร์ฟเวอร์ Cacti ที่เชื่อมต่อกับอินเทอร์เน็ตส่วนใหญ่ไม่ได้รับการอัปเดตช่องโหว่ด้านความปลอดภัยที่มีหมายเลข CVE-2022-46169 ซึ่งพึ่งถูกค้นพบในเดือนธันวาคม 2022 ที่ผ่านมา ทำให้ตกเป็นเป้าหมายในการโจมตีของกลุ่ม Hackers

CVE-2022-46169 (คะแนน CVSS: 9.8 ระดับความรุนแรงสูงมาก) เป็นช่องโหว่ใน Cacti Servers ที่สามารถ bypass การตรวจสอบสิทธิ์และเรียกใช้งานคำสั่งที่เป็นอันตรายบนเวอร์ชันที่เป็น open-source, web-based monitoring solution

จากการตรวจของ Censys สอบพบว่ามีเซิร์ฟเวอร์ Cacti เพียง 26 เซิร์ฟเวอร์ จากทั้งหมด 6,427 เซิร์ฟเวอร์ ที่มีการอัปเดตเวอร์ชันเพื่อปิดช่องโหว่ (version 1.2.23 และ 1.3.0) อีกทั้งนักวิจัยของ SonarSource บริษัทด้านความปลอดภัยไซเบอร์ยังได้ให้ข้อมูลเพิ่มเติมว่า พบเซิร์ฟเวอร์ Cacti ที่ยังไม่ได้อัปเดตเพื่อป้องกันช่องโหว่ถึง 1,320 เซิร์ฟเวอร์ โดยมาจากประเทศต่าง ๆ ได้แก่ บราซิล อินโดนีเซีย สหรัฐอเมริกา จีน บังคลาเทศ รัสเซีย ยูเครน ฟิลิปปินส์ อังกฤษ และประเทศไทย อีกทั้งยังพบการโจมตีช่องโหว่ดังกล่าวแล้ว ซึ่งพบว่า IP ที่โจมตีมานั้นส่วนใหญ่มาจากประเทศยูเครน

Cacti Server ที่ได้รับผลกระทบ

Cacti Server เวอร์ชัน 1.2.22 และต่ำกว่า

วิธีการแก้ไข

ทำการอัปเดต Cacti Server เป็นเวอร์ชัน 1.2.23 และ 1.3.0 เพื่อปิดช่องโหว่โดยเร็วที่สุด

ที่มา : thehackernews

สรุปรายละเอียดของช่องโหว่

Privilege escape เป็นสิทธ์ Root ได้ใน container
Container มีสิทธ์ CAP_SYS_ADMIN ซึ่งไม่เป็นไปตาม best practice จึงทำให้สามารถเข้าถึงเครื่อง Host ได้
Host เป็น single-tenant จึงทำให้สามารถเข้าถึงได้แค่ container ใน tenant

Escalating Privileges

นักวิจัยจาก Unit42 พบว่าใน container ของ Azure function จะมี service "init" ที่สามารถ Mount disk ใน container ได้ แต่ว่าตัว service มีช่องโหว่เรื่องการ validate input นักวิจัยจึงใช้ช่องโหว่นี้สร้าง shadow ไฟล์ขึ้นมาโดยใช้ password ของตัวเองแล้ว mount ไปที่ /etc/shadow ทำให้สามารถเปลี่ยน user เป็น root ได้โดยใช้ password ที่ถูกสร้างขึ้นมาใหม่

Escape to Host

เนื่องจาก container ของ Azure function มีการกำหนดสิทธิ์ Linux Capabilities มาไม่ได้ตามมาตรฐาน (Best Practice) ทำให้มีสิทธิ์หลายอย่างเข้าเงื่อนไขของ Container escape technique ที่ชื่อว่า "notify_on_release escape" ดังนี้

มีสิทธ์ root
มี SYS_ADMIN capability
สามารถใช้ mount syscall
container ต้องอ่าน และเขียน cgroup v1 virtual filesystem ได้

หลังจากที่นักวิจัยเข้าถึงเครื่อง Host ได้แล้ว พบว่าเครื่อง Host เป็น HyperV ที่จะถูกใช้งานแค่ tenant เดียว จึงทำให้ไม่มีความเสียงที่จะเข้าถึง Container ที่อยู่ใน tenant อื่นได้ นอกเหนือว่าจะมีช่องโหว่ที่ตัว HyperV นักวิจัยจึงหยุดการทดสอบ และรายงานช่องโหว่ไปที่ Microsoft

วิธีการแก้ไข 

Microsoft ได้ patch service ที่ใช้ในการ mount โดยเพิ่มการ Validate Input โดยที่ลูกค้าไม่ต้องดำเนินการใด ๆ เพิ่มเติม

ที่มา : unit42

นักวิจัยจากทีม Fox IT ของ NCC Group รายงานว่า Citrix Application Delivery Controller (ADC) และ Citrix Gateway endpoints ยังคงตกเป็นเป้าหมายในการโจมตีจาก 2 ช่องโหว่ที่มีความรุนแรงสูง ประกอบไปด้วย CVE-2022-27510 และ CVE-2022-27518 (คะแนน CVSS scores: 9.8)

ส่งผลให้ Hacker สามารถโจมตีและสั่งรันโค้ดที่เป็นอันตรายจากระยะไกล (RCE) รวมถึงการหลบหลีกการตรวจสอบสอบสิทธิ์การเข้าถึงบน Citrix servers ที่มีช่องโหว่ได้

การตรวจสอบ

โดยนักวิจัยทำการสแกนตรวจสอบในวันที่ 11 พฤศจิกายน 2022 และพบเซิร์ฟเวอร์ Citrix ทั้งหมด 28,000 เครื่องที่ออนไลน์อยู่ ซึ่งในการระบุ Citrix servers ที่มีช่องโหว่ จำเป็นต้องระบุจากหมายเลขเวอร์ชัน ซึ่งทำให้ยังอาจไม่สามารถระบุจำนวนเครื่องที่มีช่องโหว่ได้จาก HTTP response ของเซิร์ฟเวอร์ แต่นักวิจัยก็ยังพบว่ามีค่าพารามิเตอร์บางส่วนที่มีค่าคล้าย MD5 hash ที่สามารถใช้เพื่อจับคู่กับเวอร์ชันของ Citrix ADC และ Gateway ได้

ดังนั้นนักวิจัยจึงทำการตรวจสอบกับ Citrix ADC version ทั้งหมดที่สามารถหาได้จาก Citrix, Google Cloud Marketplace, AWS และ Azure บน VM เพื่อทำการจับคู่ hash กับเวอร์ชันต่างๆ

ในส่วนของค่า hash ที่ไม่สามารถจับคู่กับเวอร์ชันได้ นักวิจัยได้ใช้วิธีค้นหาวันที่สร้างและอนุมานหมายเลขเวอร์ชันตามนั้น

การค้นพบ

โดยผลลัพธ์จากการตรวจสอบซึ่งสรุปไว้ในกราฟให้ข้อมูลว่า ส่วนใหญ่ของ Citrix ADC และ Citrix Gateway จะอยู่ในเวอร์ชัน 13.0-88.14 ซึ่งเป็นเวอร์ชันที่ได้รับการอัปเดตเพื่อแก้ไขช่องโหว่แล้ว

แต่ทั้งนี้ก็ยังพบว่ามี Citrix ADC และ Citrix Gateway อีกกว่า 3,500 เครื่อง ที่ยังอยู่ในเวอร์ชัน12.1-65.21 ที่ได้รับผลกระทบจาก 2 ช่องโหว่ที่มีความรุนแรงสูง

รวมถึงจากข้อมูลที่ได้พบว่า กลุ่มประเทศที่ทำการอัปเดตช่องโหว่อย่างรวดเร็ว ได้แก่ ประเทศสหรัฐอเมริกา เยอรมนี แคนาดา ออสเตรเลีย และสวิตเซอร์แลนด์ ทั้งนี้นักวิจัยจากทีม Fox IT ได้แนะนำว่าขอให้ผู้ดูแลระบบ Citrix Server ที่มีช่องโหว่ ดำเนินการอัปเดตช่องโหว่โดยเร่งด่วน

ที่มา : bleepingcomputer

Azure Arc เป็นบริการที่ทำให้ผู้ใช้งานสามารถเชื่อมต่อ on-premises Kubernetes clusters กับ Azure ได้ผ่านทาง Azure arc agent โดยช่องโหว่นี้ทำให้ผู้โจมตีสามารถเข้าถึง Cluster ด้วยสิทธิ์ admin ของ cluster นั้นได้ เพียงแค่ผู้โจมตีรู้ external DNS endpoint ที่ถูกสุ่มขึ้นมาโดยตัว agent

วิธีแก้ไข

ลูกค้า Azure Arc ที่ใช้ auto-upgrade ไม่ต้องดำเนิดการใด ๆ
Azure Arc-enabled Kubernetes agent อัปเดตเป็น versions 1.5.8, 1.6.19, 1.7.18 or 1.8.11
Azure Stack Edge อัปเดตเป็น 2209 release (software version 2.2.2088.5593)

ที่มา : cloudvulndb, msrc.

เมื่อวันพฤหัสบดีทีมรักษาความปลอดภัยของ Jenkins ได้ประกาศช่องโหว่ 34 รายการซึ่งส่งผลกระทบต่อปลั๊กอิน 29 รายการสำหรับ open source automation server ของ Jenkins และช่องโหว่ 29 รายการยังไม่มีการอัปเดตแพตซ์

Jenkins เป็นแพลตฟอร์มที่ได้รับความนิยมอย่างสูง (รองรับปลั๊กอินมากกว่า 1,700 รายการ) ที่องค์กรทั่วโลกใช้ในการสร้าง, ทดสอบ และติดตั้งซอฟต์แวร์

CVSS ของช่องโหว่มีตั้งแต่ระดับความรุนแรงต่ำไปจนถึงระดับสูง และจากสถิติของ Jenkins ปลั๊กอินที่ได้รับผลกระทบมีการติดตั้งไปแล้วมากกว่า 22,000 ครั้ง

รายการช่องโหว่ทั้งหมดที่ยังไม่ได้แก้ไขได้แก่ XSS, Stored XSS, Cross-Site Request Forgery (CSRF) bugs, การตรวจสอบสิทธิ์ที่ไม่ถูกต้อง, รวมไปถึงการเก็บข้อมูลรหัสผ่าน API keys และ Tokens ไว้ในรูปแบบ plain text โชคดีที่ Zero-day ที่มีความรุนแรงสูงส่วนใหญ่ ยังต้องการให้ผู้ใช้งานมีการกระทำบางอย่างจึงจะสามารถโจมตีได้สำเร็จ จากข้อมูลของ Shodan ปัจจุบันมีเซิร์ฟเวอร์ Jenkins ที่เข้าถึงได้จากอินเทอร์เน็ตมากกว่า 144,000 เซิร์ฟเวอร์ ที่อาจตกเป็นเป้าหมายในการโจมตีหากมีใช้งานปลั๊กอินที่ยังไม่ได้รับการอัปเดตแพตช์

 

ในขณะที่ทีม Jenkins ได้แก้ไขปลั๊กอินไปแล้วสี่ตัว, (เช่น GitLab, requests-plugin, TestNG Results, XebiaLabs XL Release) แต่ยังมีอีกหลายรายการที่ยังไม่ได้รับการแก้ไข ซึ่งรวมถึง:

Build Notifications Plugin up to and including 1.5.0
build-metrics Plugin up to and including 1.3
Cisco Spark Plugin up to and including 1.1.1
Deployment Dashboard Plugin up to and including 1.0.10
Elasticsearch Query Plugin up to and including 1.2
eXtreme Feedback Panel Plugin up to and including 2.0.1
Failed Job Deactivator Plugin up to and including 1.2.1
GitLab Plugin up to and including 1.5.34
HPE Network Virtualization Plugin up to and including 1.0
Jigomerge Plugin up to and including 0.9
Matrix Reloaded Plugin up to and including 1.1.3
OpsGenie Plugin up to and including 1.9
Plot Plugin up to and including 2.1.10
Project Inheritance Plugin up to and including 21.04.03
Recipe Plugin up to and including 1.2
Request Rename Or Delete Plugin up to and including 1.1.0
requests-plugin Plugin up to and including 2.2.16
Rich Text Publisher Plugin up to and including 1.4
RocketChat Notifier Plugin up to and including 1.5.2
RQM Plugin up to and including 2.8
Skype notifier Plugin up to and including 1.1.0
TestNG Results Plugin up to and including 554.va4a552116332
Validating Email Parameter Plugin up to and including 1.10
XebiaLabs XL Release Plugin up to and including 22.0.0
XPath Configuration Viewer Plugin up to and including 1.1.1

แม้ว่าจะไม่มีรายการใดที่เป็นช่องโหว่ร้ายแรงที่อาจทำให้ผู้โจมตีสามารถรันโค้ด หรือคำสั่งที่เป็นอันตรายจากระยะไกลบนเซิร์ฟเวอร์ที่มีช่องโหว่เพื่อเข้าควบคุมได้ในทันที อย่างไรก็ตามผู้โจมตีก็มีแนวโน้มที่จะใช้ zero-day เพื่อทำให้พวกเขาได้ข้อมูลมากขึ้นบนระบบของเป้าหมายเพื่อใช้ในการโจมตีในรูปแบบอื่นๆต่อไป

ที่มา bleepingcomputer

GitLab ออกแพตซ์อัปเดตด้านความปลอดภัยเพื่อแก้ไขช่องโหว่ระดับ Critical สำหรับผลิตภัณฑ์เกี่ยวกับ Community และ Enterprise Edition หลายเวอร์ชันเพื่อแก้ไขช่องโหว่ 8 รายการ ซึ่งมีช่องโหว่หนึ่งในนั้นที่ทำให้สามารถเข้าควบคุมบัญชีผู้ใช้งานได้

GitLab คือ Web-based Git ที่นิยมใช้สำหรับทีม Developer ที่ต้องการจัดการเกี่ยวกับการเขียนโค้ด โดยมีผู้ใช้งานที่ลงทะเบียนประมาณ 30 ล้านคน และเป็นลูกค้าที่มีการชำระเงินเพื่อใช้งาน 1 ล้านคน

การถูกเข้าควบคุมบัญชีผู้ใช้งานของ GitLab นั้นมีผลกระทบค่อนข้างร้ายแรงมาก เนื่องจากจะทำให้แฮ็กเกอร์สามารถเข้าถึง Project ของ Developer และขโมยซอร์สโค้ดออกไปได้

ซึ่งช่องโหว่ดังกล่าวมีหมายเลข CVE-2022-1680 ระดับความรุนแรง Critical และมี CVSS score 9.9 โดยช่องโหว่ดังกล่าวส่งผลกระทบต่อ GitLab เวอร์ชัน 11.10 ถึง 14.9.4, 14.10 ถึง 14.10.3 และเวอร์ชัน 15.0 ทั้งหมด

จากคำแนะนำของบริษัท การใช้ประโยชน์จากช่องโหว่เกิดขึ้นใน Instances ที่มีการกำหนดค่าเฉพาะ และโอกาสในการโจมตีสำเร็จจะลดลงเมื่อมีการใช้งาน two-factor authentication (2FA) ของบัญชีนั้น

GitLab กล่าวว่า "เมื่อมีการตั้งค่า group SAML SSO ไว้ SCIM feature อาจทำให้ owner ของ premium group คนใดก็ได้ สามารถเชิญผู้ใช้อื่นเข้าร่วมได้ผ่านทางชื่อผู้ใช้และอีเมล จากนั้นยังสามารถเปลี่ยนที่อยู่อีเมลของผู้ใช้เหล่านั้นผ่าน SCIM เป็นที่อยู่อีเมลที่ควบคุมโดยผู้โจมตี นอกจากนี้ผู้โจมตียังสามารถเปลี่ยนชื่อที่แสดง และชื่อผู้ใช้ของบัญชีเป้าหมายได้"

การแก้ไข และลดผลกระทบ

ช่องโหว่นี้ได้รับการแก้ไขแล้วด้วยการอัปเดตแพตซ์ของช่องโหว่ที่ได้รับผลกระทบทั้งหมด โดยผู้ใช้ GitLab ทุกคนควรอัปเดตให้เป็นเวอร์ชันล่าสุดโดยเร็วที่สุด

สำหรับคำแนะนำเกี่ยวกับวิธีการอัปเดต GitLab สามารถตรวจสอบได้ที่ https://about.