นักวิจัยจากทีม Fox IT ของ NCC Group รายงานว่า Citrix Application Delivery Controller (ADC) และ Citrix Gateway endpoints ยังคงตกเป็นเป้าหมายในการโจมตีจาก 2 ช่องโหว่ที่มีความรุนแรงสูง ประกอบไปด้วย CVE-2022-27510 และ CVE-2022-27518 (คะแนน CVSS scores: 9.8)

ส่งผลให้ Hacker สามารถโจมตีและสั่งรันโค้ดที่เป็นอันตรายจากระยะไกล (RCE) รวมถึงการหลบหลีกการตรวจสอบสอบสิทธิ์การเข้าถึงบน Citrix servers ที่มีช่องโหว่ได้

การตรวจสอบ

โดยนักวิจัยทำการสแกนตรวจสอบในวันที่ 11 พฤศจิกายน 2022 และพบเซิร์ฟเวอร์ Citrix ทั้งหมด 28,000 เครื่องที่ออนไลน์อยู่ ซึ่งในการระบุ Citrix servers ที่มีช่องโหว่ จำเป็นต้องระบุจากหมายเลขเวอร์ชัน ซึ่งทำให้ยังอาจไม่สามารถระบุจำนวนเครื่องที่มีช่องโหว่ได้จาก HTTP response ของเซิร์ฟเวอร์ แต่นักวิจัยก็ยังพบว่ามีค่าพารามิเตอร์บางส่วนที่มีค่าคล้าย MD5 hash ที่สามารถใช้เพื่อจับคู่กับเวอร์ชันของ Citrix ADC และ Gateway ได้

ดังนั้นนักวิจัยจึงทำการตรวจสอบกับ Citrix ADC version ทั้งหมดที่สามารถหาได้จาก Citrix, Google Cloud Marketplace, AWS และ Azure บน VM เพื่อทำการจับคู่ hash กับเวอร์ชันต่างๆ

ในส่วนของค่า hash ที่ไม่สามารถจับคู่กับเวอร์ชันได้ นักวิจัยได้ใช้วิธีค้นหาวันที่สร้างและอนุมานหมายเลขเวอร์ชันตามนั้น

การค้นพบ

โดยผลลัพธ์จากการตรวจสอบซึ่งสรุปไว้ในกราฟให้ข้อมูลว่า ส่วนใหญ่ของ Citrix ADC และ Citrix Gateway จะอยู่ในเวอร์ชัน 13.0-88.14 ซึ่งเป็นเวอร์ชันที่ได้รับการอัปเดตเพื่อแก้ไขช่องโหว่แล้ว

แต่ทั้งนี้ก็ยังพบว่ามี Citrix ADC และ Citrix Gateway อีกกว่า 3,500 เครื่อง ที่ยังอยู่ในเวอร์ชัน12.1-65.21 ที่ได้รับผลกระทบจาก 2 ช่องโหว่ที่มีความรุนแรงสูง

รวมถึงจากข้อมูลที่ได้พบว่า กลุ่มประเทศที่ทำการอัปเดตช่องโหว่อย่างรวดเร็ว ได้แก่ ประเทศสหรัฐอเมริกา เยอรมนี แคนาดา ออสเตรเลีย และสวิตเซอร์แลนด์ ทั้งนี้นักวิจัยจากทีม Fox IT ได้แนะนำว่าขอให้ผู้ดูแลระบบ Citrix Server ที่มีช่องโหว่ ดำเนินการอัปเดตช่องโหว่โดยเร่งด่วน

ที่มา : bleepingcomputer

Azure Arc เป็นบริการที่ทำให้ผู้ใช้งานสามารถเชื่อมต่อ on-premises Kubernetes clusters กับ Azure ได้ผ่านทาง Azure arc agent โดยช่องโหว่นี้ทำให้ผู้โจมตีสามารถเข้าถึง Cluster ด้วยสิทธิ์ admin ของ cluster นั้นได้ เพียงแค่ผู้โจมตีรู้ external DNS endpoint ที่ถูกสุ่มขึ้นมาโดยตัว agent

วิธีแก้ไข

ลูกค้า Azure Arc ที่ใช้ auto-upgrade ไม่ต้องดำเนิดการใด ๆ
Azure Arc-enabled Kubernetes agent อัปเดตเป็น versions 1.5.8, 1.6.19, 1.7.18 or 1.8.11
Azure Stack Edge อัปเดตเป็น 2209 release (software version 2.2.2088.5593)

ที่มา : cloudvulndb, msrc.

เมื่อวันพฤหัสบดีทีมรักษาความปลอดภัยของ Jenkins ได้ประกาศช่องโหว่ 34 รายการซึ่งส่งผลกระทบต่อปลั๊กอิน 29 รายการสำหรับ open source automation server ของ Jenkins และช่องโหว่ 29 รายการยังไม่มีการอัปเดตแพตซ์

Jenkins เป็นแพลตฟอร์มที่ได้รับความนิยมอย่างสูง (รองรับปลั๊กอินมากกว่า 1,700 รายการ) ที่องค์กรทั่วโลกใช้ในการสร้าง, ทดสอบ และติดตั้งซอฟต์แวร์

CVSS ของช่องโหว่มีตั้งแต่ระดับความรุนแรงต่ำไปจนถึงระดับสูง และจากสถิติของ Jenkins ปลั๊กอินที่ได้รับผลกระทบมีการติดตั้งไปแล้วมากกว่า 22,000 ครั้ง

รายการช่องโหว่ทั้งหมดที่ยังไม่ได้แก้ไขได้แก่ XSS, Stored XSS, Cross-Site Request Forgery (CSRF) bugs, การตรวจสอบสิทธิ์ที่ไม่ถูกต้อง, รวมไปถึงการเก็บข้อมูลรหัสผ่าน API keys และ Tokens ไว้ในรูปแบบ plain text โชคดีที่ Zero-day ที่มีความรุนแรงสูงส่วนใหญ่ ยังต้องการให้ผู้ใช้งานมีการกระทำบางอย่างจึงจะสามารถโจมตีได้สำเร็จ จากข้อมูลของ Shodan ปัจจุบันมีเซิร์ฟเวอร์ Jenkins ที่เข้าถึงได้จากอินเทอร์เน็ตมากกว่า 144,000 เซิร์ฟเวอร์ ที่อาจตกเป็นเป้าหมายในการโจมตีหากมีใช้งานปลั๊กอินที่ยังไม่ได้รับการอัปเดตแพตช์

 

ในขณะที่ทีม Jenkins ได้แก้ไขปลั๊กอินไปแล้วสี่ตัว, (เช่น GitLab, requests-plugin, TestNG Results, XebiaLabs XL Release) แต่ยังมีอีกหลายรายการที่ยังไม่ได้รับการแก้ไข ซึ่งรวมถึง:

Build Notifications Plugin up to and including 1.5.0
build-metrics Plugin up to and including 1.3
Cisco Spark Plugin up to and including 1.1.1
Deployment Dashboard Plugin up to and including 1.0.10
Elasticsearch Query Plugin up to and including 1.2
eXtreme Feedback Panel Plugin up to and including 2.0.1
Failed Job Deactivator Plugin up to and including 1.2.1
GitLab Plugin up to and including 1.5.34
HPE Network Virtualization Plugin up to and including 1.0
Jigomerge Plugin up to and including 0.9
Matrix Reloaded Plugin up to and including 1.1.3
OpsGenie Plugin up to and including 1.9
Plot Plugin up to and including 2.1.10
Project Inheritance Plugin up to and including 21.04.03
Recipe Plugin up to and including 1.2
Request Rename Or Delete Plugin up to and including 1.1.0
requests-plugin Plugin up to and including 2.2.16
Rich Text Publisher Plugin up to and including 1.4
RocketChat Notifier Plugin up to and including 1.5.2
RQM Plugin up to and including 2.8
Skype notifier Plugin up to and including 1.1.0
TestNG Results Plugin up to and including 554.va4a552116332
Validating Email Parameter Plugin up to and including 1.10
XebiaLabs XL Release Plugin up to and including 22.0.0
XPath Configuration Viewer Plugin up to and including 1.1.1

แม้ว่าจะไม่มีรายการใดที่เป็นช่องโหว่ร้ายแรงที่อาจทำให้ผู้โจมตีสามารถรันโค้ด หรือคำสั่งที่เป็นอันตรายจากระยะไกลบนเซิร์ฟเวอร์ที่มีช่องโหว่เพื่อเข้าควบคุมได้ในทันที อย่างไรก็ตามผู้โจมตีก็มีแนวโน้มที่จะใช้ zero-day เพื่อทำให้พวกเขาได้ข้อมูลมากขึ้นบนระบบของเป้าหมายเพื่อใช้ในการโจมตีในรูปแบบอื่นๆต่อไป

ที่มา bleepingcomputer

GitLab ออกแพตซ์อัปเดตด้านความปลอดภัยเพื่อแก้ไขช่องโหว่ระดับ Critical สำหรับผลิตภัณฑ์เกี่ยวกับ Community และ Enterprise Edition หลายเวอร์ชันเพื่อแก้ไขช่องโหว่ 8 รายการ ซึ่งมีช่องโหว่หนึ่งในนั้นที่ทำให้สามารถเข้าควบคุมบัญชีผู้ใช้งานได้

GitLab คือ Web-based Git ที่นิยมใช้สำหรับทีม Developer ที่ต้องการจัดการเกี่ยวกับการเขียนโค้ด โดยมีผู้ใช้งานที่ลงทะเบียนประมาณ 30 ล้านคน และเป็นลูกค้าที่มีการชำระเงินเพื่อใช้งาน 1 ล้านคน

การถูกเข้าควบคุมบัญชีผู้ใช้งานของ GitLab นั้นมีผลกระทบค่อนข้างร้ายแรงมาก เนื่องจากจะทำให้แฮ็กเกอร์สามารถเข้าถึง Project ของ Developer และขโมยซอร์สโค้ดออกไปได้

ซึ่งช่องโหว่ดังกล่าวมีหมายเลข CVE-2022-1680 ระดับความรุนแรง Critical และมี CVSS score 9.9 โดยช่องโหว่ดังกล่าวส่งผลกระทบต่อ GitLab เวอร์ชัน 11.10 ถึง 14.9.4, 14.10 ถึง 14.10.3 และเวอร์ชัน 15.0 ทั้งหมด

จากคำแนะนำของบริษัท การใช้ประโยชน์จากช่องโหว่เกิดขึ้นใน Instances ที่มีการกำหนดค่าเฉพาะ และโอกาสในการโจมตีสำเร็จจะลดลงเมื่อมีการใช้งาน two-factor authentication (2FA) ของบัญชีนั้น

GitLab กล่าวว่า "เมื่อมีการตั้งค่า group SAML SSO ไว้ SCIM feature อาจทำให้ owner ของ premium group คนใดก็ได้ สามารถเชิญผู้ใช้อื่นเข้าร่วมได้ผ่านทางชื่อผู้ใช้และอีเมล จากนั้นยังสามารถเปลี่ยนที่อยู่อีเมลของผู้ใช้เหล่านั้นผ่าน SCIM เป็นที่อยู่อีเมลที่ควบคุมโดยผู้โจมตี นอกจากนี้ผู้โจมตียังสามารถเปลี่ยนชื่อที่แสดง และชื่อผู้ใช้ของบัญชีเป้าหมายได้"

การแก้ไข และลดผลกระทบ

ช่องโหว่นี้ได้รับการแก้ไขแล้วด้วยการอัปเดตแพตซ์ของช่องโหว่ที่ได้รับผลกระทบทั้งหมด โดยผู้ใช้ GitLab ทุกคนควรอัปเดตให้เป็นเวอร์ชันล่าสุดโดยเร็วที่สุด

สำหรับคำแนะนำเกี่ยวกับวิธีการอัปเดต GitLab สามารถตรวจสอบได้ที่ https://about.

Google ได้ออกแพตซ์อัปเดตสำหรับเบราว์เซอร์ Chrome ที่มีการแก้ไขช่องโหว่ด้านความปลอดภัยกว่า 30 รายการ โดยเวอร์ชันล่าสุดที่แนะนำคือ Chrome 101.0.4951.41 สำหรับ Windows, Mac และ Linux โดยเวอร์ชันนี้ได้มีการแก้ไขช่องโหว่ที่ทำให้ผู้โจมตีสามารถใช้เพื่อควบคุมระบบที่มีช่องโหว่ได้

ขณะที่ Microsoft ก็แนะนำให้ผู้ใช้งาน Edge ซึ่งเป็น Chrome เวอร์ชันที่ได้รับการรับรองจาก Microsoft ให้อัปเดตด้วยเช่นกัน เนื่องจากมีช่องโหว่หลายจุดร่วมกัน

มีช่องโหว่ 7 รายการ ที่ได้รับการจัดอันดับว่าเป็นระดับความรุนแรงสูง โดยมีช่องโหว่ 5 รายการ เป็นช่องโหว่ที่เกิดขึ้นจาก “Use after free” ซึ่งเป็นปัญหาการย้ายหน่วยความจำที่ทำให้แฮ็กเกอร์สามารถสั่งรันโค้ดที่เป็นอันตรายได้ เมื่อผู้ใช้งานเข้าไปยังหน้าเว็บที่เป็นอันตรายที่ถูกสร้างขึ้น

(more…)

proof-of-concept exploit ที่ใช้ในการโจมตีช่องโหว่บน VMware CVE-2022-22954 remote code execution vulnerability ได้ถูกปล่อยออกมาสู่สาธารณะ และพบมีการใช้ในการโจมตีเพื่อติดตั้ง coin miners

ช่องโหว่ CVE-2022-22954 ซึ่งมีระดับ CVSS: 9.8 เป็นช่องโหว่การเรียกใช้งานโค้ดที่เป็นอันตรายจากระยะไกล (remote code execution) ซึ่งส่งผลกระทบต่อ VMware Workspace ONE Access และ VMware Identity Manager ซึ่งเป็น 2 รุ่นที่ใช้กันอย่างแพร่หลาย

VMware ได้ออกคำแนะนำเกี่ยวกับความปลอดภัยสำหรับช่องโหว่ดังกล่าวเมื่อวันที่ 6 เมษายน 2565 โดยเตือนเกี่ยวกับความเป็นไปได้ที่ผู้โจมตีอาจมีการเข้าถึงเครือข่ายด้วยการเรียกใช้ server-side template injection ซึ่งจะส่งผลให้เกิด RCE

VMware ได้ออกอัปเดตแพตซ์สำหรับผลิตภัณฑ์ที่ได้รับผลกระทบ และ workaround ในการแก้ไขชั่วคราว ในกรณีที่ผู้ดูแลระบบยังไม่สามารถอัปเดตได้ในทันที แต่ก็ได้เน้นย้ำถึงความสำคัญในการแก้ไขช่องโหว่ดังกล่าว: “ช่องโหว่นี้ควรได้รับการแก้ไขทันทีตามคำแนะนำใน VMSA-2021-0011”

ในสัปดาห์นี้ นักวิจัยด้านความปลอดภัยจำนวนมากได้ทดสอบ proof-of-concept exploit กับช่องโหว่ CVE-2022-22954 โดยพบ proof-of-concept exploit อย่างน้อยหนึ่งรายการบน Twitter ที่มีการปล่อยออกสู่สาธารณะ ซึ่งมีความเสี่ยงที่ผู้โจมตีจะสามารถนำไปใช้ในการโจมตีได้ แต่การปล่อย proof-of-concept exploit ออกมาก็สามารถนำมาใช้เป็นเครื่องมือในการตรวจสอบระบบหลังจากการแก้ไขชั่วคราวด้วย workaround หรือการอัพเดทแพทช์ได้

ปัจจุบัน ผู้โจมตีกำลังพยายามสแกนหาโฮสต์ที่มีช่องโหว่มากขึ้น และ Bad Packets บริษัทด้านความปลอดภัยทางไซเบอร์ บอกกับ BleepingComputer ว่าพวกเขาพบความพยายามที่จะโจมตีช่องโหว่ดังกล่าว

IP address : 106.246.224.219 เป็นไอพีที่ใช้เป็นเพย์โหลด สำหรับแบ็คดอร์ Linux Tsunami ส่วนการโจมตีอื่นๆยังไม่แน่ชัด

นักวิจัยด้านความปลอดภัย Daniel Card ได้แชร์ข้อความบน Twitter ว่าช่องโหว่นี้กำลังถูกใช้เพื่อ drop coin miner payloads

เนื่องจากเริ่มพบการโจมตีโดยการใช้ช่องโหว่ดังกล่าวเป็นจำนวนมาก จึงแนะนำให้ผู้ดูแลระบบรีบดำเนินการอัปเดตแพตซ์โดยเร็วที่สุด ซึ่งในปัจจุบัน VMware มีการพบช่องโหว่ที่มีระดับความรุนแรงสูงหลายรายการ ซึ่งส่งผลกระทบต่อผลิตภัณฑ์อื่น ๆ นอกเหนือจาก Workspace One Access และ Identity Manager อีกด้วย ดังนั้นผู้ใช้งานควรตรวจสอบว่าปัจจุบันได้อัพเดทแพตซ์ของผลิตภัณฑ์ที่ตนเองใช้งานอยู่ให้เป็นเวอร์ชันปัจจุบันแล้วหรือไม่

ที่มา : bleepingcomputer

SolarWinds ออกคำเตือนเกี่ยวกับการโจมตีไปที่ instances ของ Web Help Desk (WHD) ที่เปิดให้เข้าถึงได้จากอินเทอร์เน็ต และแนะนำให้ปิดการเข้าถึงจากอินเทอร์เน็ตเพื่อเป็นการแก้ปัญหาเบื้องต้น

WHD เป็นระบบ helpdesk ticketing และ IT inventory สำหรับองค์กร ที่ออกแบบมาเพื่อช่วยให้ผู้ใช้งานบริหารจัดการงานในด้านต่างๆได้อย่างสะดวก

“ผู้ใช้งาน SolarWinds หลายราย รายงานการพยายามโจมตีจากภายนอกมาที่ instances ของ Web Help Desk 12.7.5 โดย Endpoint detection and response (EDR) ของผู้ใช้งานสามารถแจ้งเตือน และบล็อกการโจมตีได้” SolarWinds กล่าว

“เพื่อความปลอดภัย SolarWinds ขอแนะนำให้ผู้ใช้งานทั้งหมดที่มีการเปิดให้เข้าถึง Web Help Desk ได้จากอินเทอร์เน็ต ให้ปิดการเข้าถึงได้โดยตรงจากอินเทอร์เน็ตไปก่อน จนกว่าจะมีข้อมูลของการโจมตีเพิ่มเติม”

"ส่วนลูกค้าที่ไม่สามารถปิดการเชื่อมต่อของ Web Help Desk จากอินเทอร์เน็ต ขอแนะนำให้ใช้ซอฟต์แวร์ EDR และคอยเฝ้าระวังการพยายามโจมตีอย่างสม่ำเสมอ"

ช่องโหว่ของ Web Help Desk

SolarWinds ไม่ได้ให้รายละเอียดใด ๆ เกี่ยวกับเครื่องมือ หรือเทคนิคที่ใช้ในการโจมตี แต่ก็เคยมีช่องโหว่ด้านความปลอดภัยอย่างน้อยสี่ช่องโหว่ ที่พบว่าผู้โจมตีใช้โจมตีไปที่ instances WHD ได้ หากผู้ใช้งานยังไม่ได้อัพเดทแพตช์ :

Access Restriction Bypass Via Referrer Spoof - Business Logic Bypass Vulnerability (CVE-2021-32076) - Fixed in WHD 12.7.6
Enabled HTTP PUT & DELETE Methods (CVE-2021-35243) - Fixed in WHD 12.7.7 Hotfix 1
Hard-coded credentials allowing arbitrary HSQL queries execution (CVE-2021-35232) - Fixed in WHD 12.7.7 Hotfix 1
Sensitive Data Disclosure Vulnerability (CVE-2021-35251) - Fixed in WHD 12.7.8

จากรายละเอียดใน CVE-2921-35251 ผู้โจมตีสามารถใช้ประโยชน์จาก instances WHD ที่ยังไม่ได้แพตช์ เพื่อเข้าถึงข้อมูลรายละเอียดของระบบที่ติดตั้ง Web Help Desk ไว้ ซึ่งอาจจะทำให้สามารถโจมตีด้วยอีก 3 ช่องโหว่ที่เหลือได้ง่ายขึ้นอีกด้วย

ที่มา : bleepingcomputer

พบปลั้กอิน WordPress ที่มีการติดตั้งมากกว่าหนึ่งล้านครั้งมีช่องโหว่ที่ร้ายแรง อาจส่งให้ผลให้ผู้โจมตีสามารถสั่งรันโค้ดที่เป็นอันตรายบนเว็ปไซต์ได้

ปลั๊กอินที่เป็นปัญหาคือ Essential Addons เป็นปลั๊กอินส่วนเสริมของ Elementor ที่มีไลบรารี่ และ extension มากกว่า 80 รายการที่ช่วยในการออกแบบปรับแต่ง pages และ posts

Patchstack กล่าวในรายงานว่า "ช่องโหว่นี้สามารถเข้าถึงไฟล์ เช่น /etc/password โดยไม่สนการตรวจสอบสิทธิ์ หรือการอนุญาตการใช้งาน และวางไฟล์ที่อันตรายอย่าง PHP บนเว็บไซต์ จากนั้นจะทำการสั่งรันโค้ดที่เป็นอันตรายจากระยะไกลได้ (RCE)"

ช่องโหว่นี้จะเกิดขึ้นได้ก็ต่อเมื่อมีการใช้งาน widgets อย่าง dynamic gallery และ product gallery

ช่องโหว่นี้ส่งผลกระทบตั้งแต่เวอร์ชัน 5.0.4 รวมถึงเวอร์ชันก่อนหน้านี้ โดยช่องโหว่นี้ถูกค้นพบโดยนักวิจัย Wai Yan Myo Thet และช่องโหว่นี้ได้ถูกแก้ไขแล้วในเวอร์ชัน 5.0.5 ที่ปล่อยมาในวันที่ 28 มกราคม หลังจากไม่สามารถแก้ไขได้ในเวอร์ชันก่อนหน้านี้

การออกอัพเดทนี้เกิดขึ้นหลายสัปดาห์หลังจากที่มีผู้ใช้งานไม่ทราบชื่อทำการดัดแปลงธีม และปลั๊กอินของ WordPress หลายรายการที่โฮสต์บนเว็บไซต์ของนักพัฒนาเพื่อแทรกโค้ดที่อันตรายเข้าสู่ระบบหลังบ้าน (inject a backdoor) โดยมีเป้าหมายที่จะโจมตีต่อไปยังเว็บไซต์อื่นๆ

ที่มา : thehackernews

เมื่อวันที่ 15 กุมภาพันธ์ ที่ผ่านมา VMware ได้ทำการออกแพตช์แก้ไขช่องโหว่ที่มีความรุนแรงสูงหลายช่องโหว่ ซึ่งส่งผลกระทบต่อ ESXi, Workstation, Fusion, Cloud Foundation และ NSX Data Center สำหรับ vSphere ที่อาจทำให้ผู้โจมตีสามารถใช้เพื่อสั่งรันโค้ดที่เป็นอันตรายโดยไม่ได้รับอนุญาตได้ และยังสามารถทำให้เป็นสาเหตุของเหตุการณ์ Denial-of-Service (DoS) ได้

(more…)

Google ได้ออกอัพเดท Chrome เวอร์ชัน 98.0.4758.102 สำหรับ Windows, Mac และ Linux เพื่อแก้ไขช่องโหว่ Zero-day

Google แจ้งว่าการอัปเดตตามปกติของ Chrome จะมาในไม่กี่สัปดาห์ข้างหน้า แต่อย่างไรก็ตามเนื่องจากช่องโหว่ CVE-2022-0609 เริ่มถูกใช้ในการโจมตีเป็นวงกว้าง ผู้ใช้งานสามารถทำการติดตั้งการอัปเดตได้ทันทีโดยไปที่ Chrome menu > Help > About Google Chrome เบราว์เซอร์จะตรวจสอบการอัปเดตใหม่โดยอัตโนมัติ และติดตั้งในครั้งต่อไปหลังจากที่มีการปิดและเปิด Google Chrome ใหม่อีกครั้ง

(more…)