Apple แก้ไขช่องโหว่ Zero-day 2 รายการที่ใช้ในการโจมตี Macs ที่ใช้ Intel-based

Apple ได้ออกอัปเดตแพตซ์ความปลอดภัยฉุกเฉินเพื่อแก้ไขช่องโหว่ Zero-Day 2 รายการที่ถูกนำไปใช้ในการโจมตีระบบ Mac ที่ใช้ Intel-based (more…)

Hacker ชาวจีนใช้ช่องโหว่ Zero-Day ใน Fortinet VPN เพื่อขโมยข้อมูล Credentials

พบ Hacker ชาวจีน ใช้ชุดเครื่องมือ post-exploitation toolkit ในชื่อ "DeepData" เพื่อโจมตีช่องโหว่ Zero-Day ใน FortiClient Windows VPN client เพื่อโมยข้อมูล credentials (more…)

FBI, CISA และ NSA เปิดเผยช่องโหว่ที่ถูกโจมตีมากที่สุดในปี 2023

หน่วยงานด้านความปลอดภัยทางไซเบอร์ของ FBI, NSA และ Five Eyes ได้เผยแพร่รายชื่อช่องโหว่ที่ถูกใช้ในการโจมตีอยู่อย่างต่อเนื่อง 15 อันดับแรกตลอดทั้งปีที่ผ่านมา ซึ่งส่วนใหญ่ถูกโจมตีครั้งแรกในลักษณะ zero-day (more…)

Microsoft แก้ไขช่องโหว่ Zero-Day บน Windows ที่ถูกนำมาใช้ในการโจมตียูเครน

Hacker ที่คาดว่าเป็นชาวรัสเซีย ถูกพบว่ากำลังใช้ช่องโหว่บน Windows ที่เพิ่งได้รับการแก้ไขในการโจมตีที่มุ่งเป้าไปที่หน่วยงานของยูเครน (more…)

ช่องโหว่ Zero-Day รวมกว่า 70 รายการทำให้แฮ็กเกอร์ได้รับเงิน 1 ล้านดอลลาร์ที่งาน Pwn2Own Ireland

วันที่สี่ของงาน Pwn2Own Ireland 2024 ถือว่าเป็นวันสุดท้ายของการแข่งขันแฮ็ก โดยมีเงินรางวัลมากกว่า 1 ล้านดอลลาร์จากการค้นพบช่องโหว่ Zero-Day กว่า 70 รายการในอุปกรณ์ที่ได้รับการอัปเดตล่าสุด

การแข่งขันแฮ็กนี้เป็นความท้าทายให้เหล่านักวิจัยด้านความปลอดภัยเจาะระบบในซอฟต์แวร์ และฮาร์ดแวร์หลายประเภท เพื่อชิงตำแหน่ง "Master of Pwn" โดยมีเป้าหมายให้เจาะระบบใน 8 หมวดหมู่ ตั้งแต่โทรศัพท์มือถือ, แอปพลิเคชันส่งข้อความ, ระบบอัตโนมัติที่ใช้ในบ้าน, ลำโพงอัจฉริยะ, เครื่องพิมพ์, ระบบเฝ้าระวัง, อุปกรณ์จัดเก็บข้อมูลเครือข่าย (NAS) ไปจนถึงอุปกรณ์สำนักงานขนาดเล็ก (SOHO Smash-up)

Pwn2Own ครั้งนี้นับเป็นปีที่สี่ติดต่อกันที่เหล่า white-hat แฮ็กเกอร์สามารถคว้ารางวัลรวมเกินหนึ่งล้านดอลลาร์ โดยทำยอดรวมทั้งหมดได้ถึง 1,066,625 ดอลลาร์

ในวันสุดท้ายของการแข่งขัน นักวิจัยด้านความปลอดภัยสามารถโจมตีอุปกรณ์ Lexmark, True NAS และ QNAP ได้สำเร็จ

Team Smoking Barrels ใช้ช่องโหว่สองรายการใน TrueNAS X แม้ว่าหนึ่งในช่องโหว่จะเคยถูกใช้มาก่อนในการแข่งขัน แต่ยังคงได้รับเงินรางวัล 20,000 ดอลลาร์ และ 2 คะแนนสำหรับตำแหน่ง Master of Pwn
Team Cluck ใช้ช่องโหว่ทั้งหมด 6 รายการเพื่อย้ายจากอุปกรณ์ QNAP QHora-322 ไปยัง Lexmark CX331adwe แม้ว่าจะมีหนึ่งช่องโหว่ที่เคยถูกนำมาใช้แล้ว แต่ยังคงได้รับเงินรางวัล 23,000 ดอลลาร์ และคะแนน Master of Pwn สำหรับการแฮ็กที่สำเร็จครั้งนี้
Viettel Cyber Security ทำการโจมตี TrueNAS Mini X ด้วยการใช้ช่องโหว่ 2 รายการในการแฮ็ก แม้ว่าจะมีช่องโหว่หนึ่งรายการที่เคยปรากฏในการแข่งขันก่อนหน้านี้ แต่การสาธิตนี้ยังได้รับเงินรางวัล 20,000 ดอลลาร์ และ 2 คะแนน Master of Pwn
PHP Hooligans / Midnight Blue ใช้ช่องโหว่แบบ integer overflow ในการโจมตี Lexmark printer ซึ่งทำให้พวกเขาได้รับเงินรางวัล 10,000 ดอลลาร์ และ 2 คะแนน Master of Pwn

Viettel Cyber Security ได้รับรางวัล "Master of Pwn" หลังจากสะสมคะแนน Master of Pwn รวม 33 คะแนน พวกเขาได้รับเงินรางวัล 205,000 ดอลลาร์สำหรับช่องโหว่ใน QNAP NAS, Sonos speakers และ Lexmark printers

งาน Pwn2Own ครั้งถัดไปมีกำหนดจัดขึ้นในวันที่ 22 มกราคม 2025 ที่กรุงโตเกียว ประเทศญี่ปุ่น

โดยงานนี้มุ่งเน้นไปที่อุตสาหกรรมยานยนต์ และมีสี่หมวดหมู่สำหรับผู้เข้าร่วม ได้แก่ Tesla, ระบบความบันเทิงภายในรถ (IVI), เครื่องชาร์จรถยนต์ไฟฟ้า และระบบปฏิบัติการรถยนต์

Zero Day Initiative (ZDI) ได้เผยแพร่รายละเอียดเกี่ยวกับหมวดหมู่ และเงินรางวัลสำหรับการโจมตีที่ประสบความสำเร็จ กฎของการแข่งขันสามารถดูได้ที่นี่

ที่มา : bleepingcomputer

Mandiant พบช่องโหว่ใหม่ใน Fortinet ซึ่งกำลังถูกใช้ในการโจมตีมาตั้งแต่เดือนมิถุนายน

รายงานจาก Mandiant ระบุว่า ช่องโหว่ใหม่ใน Fortinet FortiManager ที่เรียกว่า FortiJump และมีหมายเลข CVE-2024-47575 กำลังถูกใช้ในการโจมตีแบบ zero-day มาตั้งแต่เดือนมิถุนายน 2024 โดยใช้โจมตีเป้าหมายที่เป็นเซิร์ฟเวอร์กว่า 50 เครื่อง

ในช่วง 10 วันที่ผ่านมา มีข่าวลือเกี่ยวกับการโจมตีแบบ zero-day ของ FortiManager ที่กำลังถูกโจมตีอย่างต่อเนื่อง ซึ่งเกิดขึ้นหลังจากที่ Fortinet ได้แจ้งเตือนไปยังลูกค้าแบบส่วนตัว โดยเป็นการแจ้งเตือนด้านความปลอดภัยล่วงหน้า

วันนี้ Fortinet ได้เปิดเผยช่องโหว่ของ FortiManager โดยระบุว่าเป็นช่องโหว่ missing authentication flaw ใน API ของ "FortiGate to FortiManager Protocol" (FGFM) ที่ Fortinet สร้างขึ้น ซึ่งจะทำให้ผู้โจมตีที่ไม่ได้ผ่านการยืนยันตัวตนสามารถใช้คำสั่งตามที่ต้องการบนเซิร์ฟเวอร์ และสามารถควบคุมอุปกรณ์ FortiGate ได้

กลุ่มผู้โจมตีจะสามารถใช้ประโยชน์จากช่องโหว่นี้ได้ โดยการใช้ FortiManager และ FortiGate ที่ถูกควบคุมโดยผู้โจมตี และมี certificates ที่ถูกต้อง เพื่อใช้ในการลงทะเบียนกับเซิร์ฟเวอร์ FortiManager ที่ถูกเปิดเผยได้

เมื่ออุปกรณ์ของพวกเขาเชื่อมต่อแล้ว แม้ว่าจะอยู่ในสถานะที่ไม่ได้รับอนุญาต พวกเขาก็สามารถใช้ช่องโหว่นี้เพื่อเรียกใช้คำสั่ง API บน FortiManager และขโมยข้อมูลการตั้งค่าของอุปกรณ์ได้

Fortinet ได้ออกแพตช์สำหรับ CVE-2024-47575 และเสนอวิธีการลดความเสี่ยง เช่น อนุญาตเฉพาะบาง IP address ที่มีความจำเป็นเท่านั้นให้สามารถเชื่อมต่อได้ หรือการป้องกันไม่ให้อุปกรณ์ FortiGate ที่ไม่รู้จักลงทะเบียนโดยใช้คำสั่ง fgfm-deny-unknown enable

ช่องโหว่ถูกใช้โจมตีแบบ zero-day มาตั้งแต่เดือนมิถุนายน

Mandiant ระบุว่า กลุ่มผู้โจมตีชื่อว่า UNC5820 ได้เริ่มโจมตีอุปกรณ์ FortiManager ตั้งแต่วันที่ 27 มิถุนายน 2024

ตามรายงานจาก Mandiant ระบุว่ากลุ่ม UNC5820 ได้จัดเก็บ และขโมยข้อมูลการตั้งค่าของอุปกรณ์ FortiGate ที่มีการควบคุมโดย FortiManager ที่ถูกโจมตี

ข้อมูลนี้ประกอบด้วยรายละเอียดการตั้งค่าของอุปกรณ์ที่ถูกควบคุมโดย FortiManager รวมถึงผู้ใช้ และรหัสผ่านที่ถูกแฮชด้วย FortiOS256

ข้อมูลเหล่านี้อาจถูกใช้โดยกลุ่ม UNC5820 เพื่อใช้โจมตี FortiManager เพิ่มเติม และแพร่กระจายมัลแวร์ไปยังอุปกรณ์ Fortinet ที่อยู่ในการควบคุม และสุดท้ายก็โจมตีเข้าไปยัง environment ขององค์กร

การโจมตีครั้งแรกที่ถูกตรวจพบมาจาก IP 45[.]32[.]41[.]202 ซึ่งผู้โจมตีได้ลงทะเบียนไว้ใน FortiManager-VM ที่ไม่ได้รับอนุญาตจากเซิร์ฟเวอร์ FortiManager ที่ถูกเปิดเผย

อุปกรณ์นี้ถูกระบุชื่อว่า "localhost" และใช้ Serial Number "FMG-VMTM23017412" ดังที่แสดงด้านล่าง

จากการโจมตีครั้งนี้ Mandiant ระบุว่ามีการสร้างไฟล์ 4 ไฟล์ ได้แก่

/tmp/.tm เป็นไฟล์เก็บข้อมูลที่ถูกบีบอัดด้วย gzip ซึ่งประกอบด้วยข้อมูลที่ถูกขโมยเกี่ยวกับอุปกรณ์ FortiGate ที่ถูกควบคุม และข้อมูลเกี่ยวกับเซิร์ฟเวอร์ FortiManager รวมถึงฐานข้อมูลทั่วโลก
/fds/data/unreg_devices.

Google เผย 70% ของการโจมตีทางไซเบอร์ในปี 2023 มาจากช่องโหว่ Zero-Days

นักวิเคราะห์ด้านความปลอดภัยของ Google Mandiant เผยแพร่แนวโน้มใหม่ที่น่ากังวลของกลุ่ม Hacker ที่แสดงให้เห็นถึงความสามารถที่มากขึ้นในการค้นหาช่องโหว่ และการโจมตีช่องโหว่ zero-day ในซอฟต์แวร์

โดยเฉพาะอย่างยิ่งจากช่องโหว่จำนวน 138 รายการที่ถูกเปิดเผยว่าถูกใช้ในการโจมตีในปี 2023 Mandiant ระบุว่ามีช่องโหว่จำนวน 97 รายการ (70.3%) ที่เป็นช่องโหว่ zero-day (more…)

Qualcomm แก้ไขช่องโหว่ Zero-day ที่มีระดับความรุนแรงระดับสูง ที่กำลังถูกใช้ในการโจมตี

Qualcomm ได้เผยแพร่แพตช์ความปลอดภัยสำหรับช่องโหว่ Zero-day ในบริการ Digital Signal Processor (DSP) ซึ่งส่งผลกระทบต่อ chipsets หลายสิบรายการ

CVE-2024-43047 (คะแนน CVSS 7.8/10 ความรุนแรงระดับ High) เป็นช่องโหว่ use-after-free (UAF) ซึ่งสามารถนำไปสู่ความเสียหายของ memory ได้เมื่อผู้โจมตีที่สามารถเข้าถึงระบบในระดับ local ด้วยสิทธิ์ต่ำ สามารถทำการโจมตีได้สำเร็จ ถูกรายงานโดย Seth Jenkins จาก Google Project Zero และ Conghui Wang จาก Amnesty International Security Lab (more…)

พบช่องโหว่ “spaces” ในอักษรเบรลล์ของ Windows กำลังถูกนำมาใช้ในการโจมตีแบบ Zero-Day attack

พบช่องโหว่ Windows MSHTML spoofing หมายเลข CVE-2024-43461 กำลังถูกกลุ่ม APT Void Banshee นำไปใช้ในการโจมตีแบบ Zero-Day attack (more…)

Adobe แก้ไขช่องโหว่ Zero-Day ใน Acrobat Reader ที่มี POC ออกมาแล้ว

นักวิจัยความปลอดภัยทางไซเบอร์แนะนำให้ผู้ใช้ทำการอัปเกรด Adobe Acrobat Reader หลังจากเมื่อวันที่ 10 กันยายน 2024 มีการออกแพตช์แก้ไขช่องโหว่ zero-day ในการเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกล พร้อมกันกับการพบ proof-of-concept exploit (POC)

ช่องโหว่ดังกล่าวมีหมายเลข CVE-2024-41869 ระดับ Critical โดยเป็นช่องโหว่ที่ทำให้สามารถเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกลได้ เมื่อเปิดไฟล์ PDF ที่ถูกสร้างขึ้นมาเป็นพิเศษ

หลังจากเปิดไฟล์แล้ว อาจจะเกิด bug "use after free" บางอย่าง เมื่อโปรแกรมพยายามเข้าถึงข้อมูลภายในหน่วยความจำที่ไม่ได้มีการตรวจสอบ ซึ่งทำให้เกิดพฤติกรรมผิดปกติ เช่น โปรแกรมหยุดทำงาน หรือค้าง

อย่างไรก็ตาม หากผู้โจมตีสามารถทำการจัดเก็บโค้ดที่เป็นอันตรายไว้ในตำแหน่งหน่วยความจำนั้น และโปรแกรมเข้าถึงโค้ดนั้นในภายหลัง ก็สามารถใช้เพื่อรันโค้ดที่เป็นอันตรายบนอุปกรณ์เป้าหมายได้

ช่องโหว่หมายเลข CVE-2024-41869 ได้รับการแก้ไขแล้วใน Acrobat Reader และ Adobe Acrobat เวอร์ชันล่าสุด

PoC exploit ถูกพบในเดือนมิถุนายน

ช่องโหว่ Zero-day ของ Acrobat Reader ถูกค้นพบโดย EXPMON ในเดือนมิถุนายนผ่านมา ซึ่งเป็นแพลตฟอร์มในรูปแบบ sandbox ที่สร้างขึ้นโดยนักวิจัยความปลอดภัยทางไซเบอร์ Haifei Li เพื่อตรวจจับช่องโหว่ที่มีระดับความรุนแรงสูง เช่น zero-day หรือช่องโหว่ที่อาจตรวจจับได้ยาก

โดย Haifei Li ระบุกับ BleepingComputer ว่าได้สร้าง EXPMON ขึ้นมาเพราะสังเกตเห็นว่าไม่มีระบบการตรวจจับ และวิเคราะห์โดยใช้ sandbox-based ที่มุ่งเน้นการตรวจจับภัยคุกคามจากมุมมองของช่องโหว่ หรือช่องโหว่โดยเฉพาะ

ระบบอื่น ๆ จะตรวจจับจากรูปแบบของมัลแวร์ ซึ่งการตรวจจับแบบ exploit หรือ vulnerability perspective มีความจำเป็นอย่างยิ่งหากต้องการตรวจจับการโจมตีในระดับสูง (หรือในระยะเริ่มต้น)

ตัวอย่างเช่น หากไม่มีมัลแวร์ที่ถูก dropped หรือถูกเรียกใช้เนื่องจากเงื่อนไขบางอย่าง และการโจมตีไม่ได้มีการใช้มัลแวร์เลย ระบบเหล่านั้นจะไม่สามารถตรวจจับการโจมตีเหล่านี้ได้ ซึ่งช่องโหว่มีการทำงานที่ต่างจากมัลแวร์มาก ดังนั้นจึงต้องใช้วิธีอื่นในการตรวจจับช่องโหว่เหล่านี้

ช่องโหว่แบบ Zero-day ถูกค้นพบหลังจากมีการส่งตัวอย่างจำนวนมากจากแหล่งข้อมูลสาธารณะไปยัง EXPMON เพื่อทำการวิเคราะห์ ตัวอย่างเหล่านี้ รวมถึง PDF proof-of-concept ซึ่งส่งผลทำให้ระบบหยุดทำงานดังกล่าว

แม้ว่าการโจมตีอาจจะยังอยู่ในระหว่างการทดสอบ และยังไม่มี malicious payloads ที่เป็นอันตราย แต่ก็มีการยืนยันออกมาว่าสามารถใช้ประโยชน์จากช่องโหว่นี้ในการโจมตีได้ ซึ่งอาจเป็นการโจมตีแบบการเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกล

หลังจากที่ Haifei Li เปิดเผยช่องโหว่ดังกล่าวกับทาง Adobe ก็ได้มีการการอัปเดตแก้ไขช่องโหว่ในเดือนสิงหาคม อย่างไรก็ตามการอัปเดตไม่ได้แก้ไขช่องโหว่ดังกล่าว และยังคงสามารถเรียกใช้งานได้อยู่หลังจากมีการปิด dialogs ต่าง ๆ

บัญชี EXPMON ใน X ระบุว่าได้มีการทดสอบตัวอย่าง (ที่เหมือนกันทุกประการ) บน Adobe Reader เวอร์ชันที่แก้ไขแล้ว โดยยังพบ dialogs อื่น ๆ เพิ่มเติม แต่ถ้าผู้ใช้มีการคลิก หรือปิด dialogs เหล่านั้น แอปก็ยังคงหยุดการทำงานเหมือนเดิม

เมื่อวันที่ 10 กันยายน 2024 ทาง Adobe ได้ออกแพตช์แก้ไขช่องโหว่หมายเลข CVE-2024-41869 อีกครั้ง

Haifei Li จะเปิดเผยรายละเอียดเกี่ยวกับวิธีการตรวจจับช่องโหว่บน EXPMON blog และข้อมูลทางเทคนิคเพิ่มเติมในรายงานการวิจัยของ Check Point ที่จะออกในเร็ว ๆ นี้

ที่มา : www.