การโจมตีรูปแบบใหม่โดยใช้ MSC files และช่องโหว่ Windows XSS เพื่อเข้าถึงเครือข่ายของเป้าหมาย

พบเทคนิคการโจมตีรูปแบบใหม่ที่เรียกว่า 'GrimResource' โดยใช้ MSC ที่ถูกสร้างขึ้นมาเป็นพิเศษ (Microsoft Saved Console) และช่องโหว่ Windows XSS ที่ยังไม่ได้มีการอัปเดต เพื่อเรียกใช้คำสั่งผ่าน Microsoft Management Console

ในเดือนกรกฎาคม 2022 Microsoft ได้ปิดใช้งาน Macro เป็นค่าเริ่มต้นของ Office ทำให้ Hacker ต้องเปลี่ยนวิธีการไปใช้ไฟล์ประเภทใหม่ในการโจมตีแบบ phishing แทน

โดยพบว่า Hacker ได้เปลี่ยนมาใช้ ISO images และไฟล์ ZIP ที่มีการใส่รหัสผ่าน เนื่องจากไฟล์ประเภทดังกล่าวไม่สามารถถูกตรวจสอบได้จากฟีเจอร์ Mark of the Web (MoTW) ของ Windows

ต่อมา Microsoft ได้แก้ไขปัญหาดังกล่าวใน ISO files และ 7-Zip ทำให้ Hacker ต้องเปลี่ยนไปใช้ไฟล์แนบรูปแบบใหม่ เช่น Windows Shortcuts และ OneNote files

โดยปัจจุบัน Hacker ได้เปลี่ยนไปใช้ไฟล์ประเภทใหม่คือไฟล์ Windows MSC (.msc) ที่ถูกใช้ใน Microsoft Management Console (MMC) เพื่อจัดการแง่มุมต่าง ๆ ของระบบปฏิบัติการ หรือสร้างมุมมองที่กำหนดเองของ accessed tools

จากรายงานของ Genian บริษัทรักษาความปลอดภัยทางไซเบอร์ของเกาหลีใต้ ได้ค้นพบการใช้ไฟล์ MSC ในการโจมตีโดยการฝังมัลแวร์ไว้ในไฟล์ รวมถึงทางนักวิจัยจาก Elastic ได้ค้นพบเทคนิคใหม่ในการแพร่กระจายไฟล์ MSC และใช้ช่องโหว่ของ Windows XSS ที่ยังไม่ถูกแก้ไขใน apds.

พบช่องโหว่ใน WordPress custom field plugin ทำให้เว็บไซต์กว่า 1 ล้านรายการเสี่ยงต่อการถูกโจมตีแบบ XSS

นักวิจัยด้านความปลอดภัยจาก Patchstack แจ้งเตือนปลั๊กอิน WordPress 'Advanced Custom Fields' และ 'Advanced Custom Fields Pro' ซึ่งมีการติดตั้งไปแล้วหลายล้านครั้ง มีความเสี่ยงต่อการถูกโจมตีแบบ cross-site scripting (XSS) โดยปลั๊กอินทั้งสองนี้เป็นหนึ่งใน WordPress custom field plugin ที่ได้รับความนิยมมากที่สุดของ WordPress โดยมีการติดตั้งที่ใช้งานอยู่กว่า 2,000,000 ครั้ง บนเว็บไซต์ทั่วโลก (more…)

แจ้งเตือนช่องโหว่ใหม่บน Jenkins ทำให้ผู้โจมตีสามารถเรียกใช้งานโค้ดที่เป็นอันตรายได้

มีการเปิดเผยช่องโหว่ด้านความปลอดภัยที่มีระดับความรุนแรงสูงสองรายการบน Jenkins open source automation server ที่อาจนำไปสู่การเรียกใช้งานโค้ดที่เป็นอันตรายบนระบบของเป้าหมายได้

โดยช่องโหว่ดังกล่าวมีหมายเลข CVE-2023-27898 และ CVE-2023-27905 ส่งผลกระทบต่อกับเซิร์ฟเวอร์ Jenkins และ Update Center ทุกเวอร์ชันก่อนหน้า 2.319.2 ซึ่งบริษัทรักษาความปลอดภัยบนระบบคลาวด์ Aqua ได้ตั้งชื่อแคมเปญว่า CorePlague

โดย Aqua ระบุในรายงานว่า “การใช้ประโยชน์จากช่องโหว่นี้ทำให้ผู้โจมตีที่ไม่ผ่านการตรวจสอบสิทธิ์สามารถเรียกใช้คำสั่งที่เป็นอันตรายบนเซิร์ฟเวอร์ Jenkins ของเหยื่อ ซึ่งอาจนำไปสู่การเข้าควบคุมเซิร์ฟเวอร์ Jenkins ได้อย่างสมบูรณ์ในที่สุด"

ช่องโหว่ดังกล่าวเป็นผลมาจากวิธีการที่ Jenkins ประมวลผลปลั๊กอินที่มีใน Update Center จึงอาจทำให้ผู้ไม่หวังดีสามารถอัปโหลดปลั๊กอินที่มีเพย์โหลดที่เป็นอันตราย และทำการโจมตีแบบ cross-site scripting (XSS) ได้

"เมื่อเหยื่อเปิด 'Available Plugin Manager' บนเซิร์ฟเวอร์ Jenkins ของพวกเขา XSS จะถูกเรียกใช้งาน ทำให้ผู้โจมตีสามารถเรียกใช้โค้ดที่เป็นอันตรายบนเซิร์ฟเวอร์ Jenkins โดยใช้ Script Console API" Aqua ระบุในรายงาน

เนื่องจาก XSS นั้นจะมีการแทรกโค้ดที่เป็น JavaScript ลงในเซิร์ฟเวอร์ของเหยื่อทำให้ช่องโหว่นี้สามารถเปิดใช้งานได้โดยไม่ต้องติดตั้งปลั๊กอิน หรือไม่ต้องไปที่ URL ของปลั๊กอินตั้งแต่แรก

ปัญหาคือช่องโหว่นี้อาจส่งผลกระทบต่อ self-hosted Jenkins เซิร์ฟเวอร์ และอาจถูกโจมตีได้แม้จะเป็นเซิร์ฟเวอร์ที่ไม่สามารถเข้าถึงได้ผ่านทางอินเทอร์เน็ตก็ตาม เนื่องจาก public Jenkins Update Center อาจถูกโจมตีโดยผู้ไม่หวังดี

อย่างไรก็ตาม การโจมตีนั้นขึ้นอยู่กับข้อกำหนดเบื้องต้นว่าปลั๊กอินปลอมนั้นสามารถเข้ากันได้กับเซิร์ฟเวอร์ Jenkins ของเหยื่อหรือไม่ โดยจะมีการแจ้งเตือนขึ้นในหน้าฟีดหลักว่า "Available Plugin Manager"

Aqua ระบุว่าสิ่งนี้สามารถถูกผู้ไม่หวังดีแก้ไขได้โดยการอัปโหลดปลั๊กอินยอดนิยมที่เป็นของปลอม หรืออัปโหลดปลั๊กอินปลอมที่มี Keyword ยอดนินยมในคำอธิบายเพื่อให้เหยื่อค้นหาเจอได้ง่ายขึ้น หรือการเพิ่มยอดดาวน์โหลดปลั๊กอินปลอมเพื่อให้มีความน่าเชื่อถือ

หลังจากได้มีการออกมาแสดงความรับผิดชอบในวันที่ 24 มกราคม 2023 ทาง Jenkins ได้ออกแพตช์สำหรับ Update Center และเซิร์ฟเวอร์ แนะนำให้ผู้ใช้งานอัปเดตเซิร์ฟเวอร์ Jenkins เป็นเวอร์ชันล่าสุดที่มีอยู่เพื่อลดความเสี่ยงที่อาจเกิดขึ้น

 

ที่มา : thehackernews

นักวิจัยเผยเเพร่เทคนิคใหม่ในการติดตามผู้ใช้งานผ่าน DNS ในชื่อ “CNAME Cloaking”

นักวิจัยภายในเครือ KU Leuven ซึ่งประกอบไปด้วย Yana Dimova, Gunes Acar, Wouter Joosen, Tom Van Goethem และ Lukasz Olejnik ได้ออกเอกสารการวิจัยซึ่งได้พบว่า บริษัทเทคโนโลยีด้านการโฆษณากำลังพยายามติดตามข้อมูลการใช้งานและข้อมูลอื่น ๆ ผ่านทางเบราว์เซอร์โดยใช้เทคนิคทางด้าน DNS มาใช้เพื่อหลบเลี่ยงการป้องกันจากผู้พัฒนาเบราว์เซอร์และรุกล้ำความเป็นส่วนตัวของผู้ใช้

เทคนิคดังกล่าวถูกเรียกว่า CNAME Cloaking ซึ่งจะถูกนำเสนอในเดือนกรกฎาคมที่จะถึงนี้ในงาน Privacy Enhancing Technologies Symposium ครั้งที่ 21 (PETS 2021) เทคนิคดังกล่าวเป็นเทคนิคการติดตามผู้ใช้โดยใช้ประโยชน์จาก CNAME record บน Subdomain เพื่อให้เบราว์เซอร์มองเว็บไซต์จาก Subdomain เป็นเว็บไซต์เดียวกันเพื่อสร้างความน่าเชื่อถือและเพื่อ Bypass การป้องกันการบล็อกคุกกี้ของผู้ใช้ที่เยื่ยมชมจากแอปพลิเคชัน Third-party ที่ถูกใช้โดยผู้ใช้หรือจากเบราว์เซอร์เอง

นอกจากนี้นักวิจัยยังพบอีกว่าการติดตามผู้ใช้ด้วย CNAME ทำให้เกิดช่องโหว่ด้านความปลอดภัยสองรายการในการใช้งาน โดยผู้ประสงค์ร้ายสามารถทำให้เว็บไซต์มีความเสี่ยงต่อการโจมตีจากเทคนิค Session fixation และเทคนิค XSS กับผู้ที่เยื่ยมชมเว็บไซต์ด้วย

ทั้งนี้ผู้พัฒนาเบราว์เซอร์อย่าง Google Chrome, Firefox, Safari, Brave กำลังพยายามแก้ไขปัญหาและคาดว่าจะมีการปล่อยการแก้ไขออกมาในลักษณะของแพตช์ด้านความปลอดภัยในเร็ววันนี้

ที่มา: thehackernews, theregister

Stored XSS in WP Product Review Lite plugin allows for automated takeovers

พบช่องโหว่ XSS บน WordPress ปลั๊กอินที่จะช่วยให้ผู้โจมตีสามารถยึดครองเว็บไซต์ได้

นักวิจัยจาก Sucuri Labs ได้ทำการค้นพบช่องโหว่นี้เป็นช่องโหว่ประเภท XSS บน WordPress ปลั๊กอินที่ชื่อ ”WP Product Review Lite” ที่ทำให้ผู้โจมตีสามารถยึดครองเว็บไซต์ได้ โดยพบว่าในขณะนี้มีเว็บไซต์ติดตั้งปลั๊กอินนี้มีจำนวน 40,000 เว็บไซต์

ปลั๊กอิน “WP Product Review Lite” เป็นปลั๊กอินที่จะช่วยให้ผู้ใช้งานทำการสร้างเนื้อหาและบทความอัตโนมัติโดยใช้เทมเพลตที่กำหนดไว้

ช่องโหว่เกิดจากการบายพาสพารามิเตอร์ถูกตั้งค่าภายในแอตทริบิวต์ HTML ซึ่งจะทำให้ผู้โจมตีสามารถส่งสคริปต์ที่เป็นอันตรายไปเพื่อทำการจัดเก็บข้อมูลในฐานข้อมูลของเว็บไซต์เป้าหมายหรือเพื่อทำการรีไดเร็คผู้ใช้งานไปเว็ปไซต์ที่เป็นอันตรายเพื่อขโมยคุกกี้เซสชันและตรวจสอบสิทธิ์ เมื่อได้ข้อมูลครบแล้วผู้โจมตีสามารถยึดครองเว็บไซต์ที่เป้นเป้าหมายได้

ผู้ใช้ควรทำการอัปเดตปลั๊กอิน ”WP Product Review Lite” เป็นเวอร์ชัน 3.7.6 เพื่อป้องกันการใช้ประโยชน์จากช่องโหว่ ทำการโจมตีเพื่อเข้ายึดเว็บไซต์และการรีไดเร็คผู้เยี่ยมชมหรือผู้ดูแลระบบไปยังเว็บไซต์ที่เป็นอันตราย

ที่มา: securityaffairs

phpMyAdmin PMASA-2018-5: XSS in the import dialog

พบช่องโหว่ XSS CVE-2018-15605 ใน phpMyAdmin เป็นช่องโหว่ในส่วน file import ทำให้ผู้โจมตีสามารถใส่คำสั่ง Payload เพื่อโจมตีผู้ใช้ผ่านทางไฟล์ที่สร้างขึ้นเป็นพิเศษด้วยการ import ไฟล์นั้น โดยความความรุนแรงของช่องโหว่นี้อยู่ในระดับปานกลางและมีผลกับ phpMyAdmin เวอร์ชันเก่ากว่า 4.8.3

อัปเดตเป็น phpMyAdmin รุ่น 4.8.3 หรือใหม่กว่า หรือสามารถแพตช์ช่องโหว่นี้ได้โดยดูรายละเอียดจาก
github

ที่มา : phpmyadmin

Drupal core – Moderately critical – Cross Site Scripting – SA-CORE-2018-003

สำหรับผู้ใช้งานทั่วไป ให้ทำการตรวจสอบการดำเนินการเพื่อป้องกันการโจมตีดังนี้
- ในกรณีที่ผู้ใช้งานมีการใช้ Drupal 8 ให้ทำการดาวโหลดไปเป็น Drupal 8.5.2 ถึง 8.4.7
- สำหรับ Drupal 7.x ที่ใช้งาน CKEditor ในเวอร์ชัน 7.x-1.18 จาก CDN โดยตรงจะไม่ได้รับผลกระทบจากช่องโหว่นี้ อย่างไรก็ตามหากมีการติดตั้งไลบรารีจากช่องทางอื่น และ CKEditor ที่ติดตั้งเองนั้นอยู่ในช่องรุ่น 4.5.11 - 4.9.1 ให้ทำการอัปเดตไปเป็น CKEdit 4.9.2 โดยทันที
Recommendation Drupal ออกประกาศเตือนช่องโหว่ XSS ความรุนแรงระดับ "เกือบ" วิกฤติ

Drupal ได้มีการประกาศแพตช์ด้านความปลอดภัยรหัส SA-CORE-2018-003 ซึ่งเป็นช่องโหว่ XSS ในไลบรารี CKEditor ที่ความรุนแรงระดับสูง (moderately critical) ช่องโหว่ XSS สามารถช่วยให้ผู้โจมตีเข้าถึงข้อมูลในการยืนยันตัวตนและปลอมแปลงเป็นผู้ใช้งานอื่นได้

ที่มา:drupal

REFLECTED XSS BUG PATCHED IN POPULAR WOOCOMMERCE WORDPRESS PLUGIN

นักวิจัยด้านความปลอดภัย Logan Kipp จาก SIteLock ได้มีการรายงานการค้นพบช่องโหว่ XSS บนส่วนเสริม Product Vendors เวอร์ชัน 2.0.35 และก่อนหน้าของปลั๊กอิน WooCommerce ซึ่งถูกใช้งานในเว็บไซต์ขายของออนไลน์กว่า 28% ซึ่งส่งผลให้ผู้โจมตีอาจสามารถใช้ช่องโหว่ดังกล่าวในการเข้าถึงข้อมูลที่เป็นความลับของระบบได้

Logan Kipp กล่าวว่าช่องโหว่ในลักษณะ reflected XSS นี้อาจนำไปสู่การบังคับรันสคริปต์ที่เป็นอันตรายโดยที่ผู้ใช้งานไม่รู้ตัวได้ อีกทั้งอาจทำให้ผู้โจมตีได้รับสิทธิ์ของผู้ดูแลเว็บไซต์ที่สามารถจัดการการตั้งค่าต่างๆ ของเว็บไซต์ได้

ผู้พัฒนาเว็บไซต์สามารถลดความเสี่ยงจากช่องโหว่นี้ได้โดยการเปิดใช้งานฟีเจอร์ Automatic Updates ซึ่งจะช่วยในการอัพเดตปลั๊กอินต่างๆ ให้เป็นเวอร์ชันล่าสุดโดยอัตโนมัติ

ที่มา : threatpost

pfsense version 2.3.2-RELEASE vulnerable

Curesec Research Team บริษัทวิจัยด้านความปลอดภัย ได้มีการประกาศการค้นพบช่องโหว่จำนวน 3 ช่องโหว่บน pfsense เวอร์ชัน 2.3.2 โดยมีช่องโหว่ความร้ายแรงสูง
สำหรับช่องโหว่แรกเป็นช่องโหว่ CSRF ส่งผลให้ผู้โจมตีสามารถสร้างหรือลบการตั้งค่าของไฟร์วอลล์ได้ผ่านทางการส่งรีเควสต์ CSRF ไปที่หน้า easyrule.