กลุ่ม Lazarus ใช้ช่องโหว่ Zero-Day ใน Windows เพื่อรับสิทธิ์ Kernel

กลุ่ม Lazarus ใช้ช่องโหว่ Zero-Day ใน Windows เพื่อรับสิทธิ์ Kernel

กลุ่ม Hacker ชาวเกาหลีเหนือกลุ่ม Lazarus Group ได้ใช้ช่องโหว่ Zero-Day ในไดรเวอร์ Windows AppLocker (appid.

CISA แจ้งเตือนช่องโหว่ RCE ใหม่ของ Fortinet กำลังถูกใช้ในการโจมตี

CISA ออกมาแจ้งเตือนการพบกลุ่ม Hacker ได้ใช้ช่องโหว่การเรียกใช้คำสั่งจากระยะไกล (RCE) ความรุนแรงระดับ Critical ที่ได้รับการแก้ไขไปแล้วในวันที่ 8 กุมภาพันธ์ 2024 จากทาง Fortinet

CVE-2024-21762 (คะแนน CVSS 9.6/10 ความรุนแรงระดับ Critical) เป็นช่องโหว่ out-of-bounds write ใน FortiOS ที่ช่วยให้ Hacker สามารถเรียกใช้คำสั่งที่เป็นอันตรายจากระยะไกล โดยใช้ HTTP request ที่ออกแบบมาเพื่อการโจมตีโดยเฉพาะ

Fortinet แนะนำว่าหากผู้ดูแลระบบยังไม่สามารถทำการการอัปเดตความปลอดภัยเพื่อแก้ไขช่องโหว่ได้ในทันที สามารถป้องกันการโจมตีจากช่องโหว่ดังกล่าวชั่วคราวได้โดยการปิดใช้งาน SSL VPN บนอุปกรณ์ไปก่อน โดยขณะนี้ทาง Fortinet ยังไม่ได้เปิดเผยรายละเอียดเพิ่มเติมเกี่ยวกับข้อมูลของช่องโหว่ดังกล่าว

การประกาศของ CISA เกิดขึ้นหนึ่งวันหลังจากที่ Fortinet เผยแพร่การอัปเดตช่องโหว่ดังกล่าว โดยระบุว่ามีความเป็นไปได้ที่ช่องโหว่ CVE-2024-21762 จะถูกนำไปใช้ในการโจมตีแล้ว รวมถึงได้เพิ่มช่องโหว่ดังกล่าวไปยังรายการ Known Exploited Vulnerabilities Catalog หรือช่องโหว่ที่พบว่าถูกใช้ในการโจมตีอยู่ในปัจจุบัน

รวมถึง CISA ได้แจ้งเตือนให้หน่วยงานรัฐบาลกลางของสหรัฐอเมริกาทำการอัปเดตอุปกรณ์ FortiOS ภายในเจ็ดวัน ให้เสร็จสิ้นภายในวันที่ 16 กุมภาพันธ์ 2024 โดยคำสั่งการปฏิบัติงานที่มีผลผูกพัน (BOD 22-01) ที่ออกมาในเดือนพฤศจิกายน 2021

การประกาศช่องโหว่อื่น ๆ ของ Fortinet

นอกจากนี้ทาง Fortinet ยังได้แก้ไขช่องโหว่ RCE ที่สำคัญอีก 2 รายการ (CVE-2024-23108 และ CVE-2024-23109) ในโซลูชัน FortiSIEM ในสัปดาห์เดียวกัน ซึ่งในตอนแรกทาง Fortinet ได้ปฏิเสธช่องโหว่ดังกล่า วและอ้างว่าเป็นช่องโหว่ที่ซ้ำกันกับ CVE-2023-34992 ซึ่งได้รับการแก้ไขไปแล้วในเดือนตุลาคม 2023 แต่ทาง Zach Hanley ผู้เชี่ยวชาญด้านช่องโหว่ Horizon3 ซึ่งเป็นผู้ที่ค้นพบ และรายงานช่องโหว่ดังกล่าวได้รายงานว่าช่องโหว่ CVE 2 รายการที่เพิ่งค้นพบนั้นแตกต่างจากช่องโหว่เดิมของ CVE-2023-34992 เนื่องจาก Hacker ที่ไม่จำเป็นผ่านการยืนยันตัวตนจากภายนอก สามารถใช้ช่องโหว่เหล่านี้เพื่อเรียกใช้คำสั่งบนอุปกรณ์ที่มีช่องโหว่ได้

ทั้งนี้แนะนำให้ผู้ดูแลระบบทำการอัปเดตอุปกรณ์ Fortinet ทั้งหมดโดยเร็วที่สุดในทันที เนื่องจากช่องโหว่ของ Fortinet ซึ่งส่วนใหญ่เป็น zero-day มักตกเป็นเป้าหมายการโจมตีของเหล่า Hacker เพื่อเข้าถึงเครือข่ายองค์กรเพื่อโจมตีด้วยแรนซัมแวร์ และขโมยข้อมูลออกไป

ที่มา : bleepingcomputer

Ivanti แจ้งเตือนช่องโหว่ Zero-Day ใหม่ใน Connect Secure ที่กำลังถูกใช้ในการโจมตี

Ivanti แจ้งเตือนช่องโหว่ Zero-Day ใหม่ใน Connect Secure ที่กำลังถูกใช้ในการโจมตี

Ivanti แจ้งเตือนพบช่องโหว่ Zero-Day ใหม่ 2 รายการที่ส่งผลกระทบต่อ Connect Secure, Policy Secure และ ZTA gateway ซึ่งหนึ่งในช่องโหว่ Zero-Day ดังกล่าวได้ตกเป็นเป้าหมายของการโจมตีอยู่ในปัจจุบัน

(more…)

Apple ออกอัปเดตเพื่อแก้ไขช่องโหว่ Zero-Day ที่พบการโจมตีครั้งแรกในปี 2024

Apple ออกอัปเดตเพื่อแก้ไขช่องโหว่ Zero-Day แรกของปี 2024 หลังจากที่พบว่ากำลังถูกใช้ในการโจมตี ซึ่งอาจส่งผลกระทบต่อ iPhone, Mac และ Apple TV

CVE -2024-23222 เป็นช่องโหว่ที่อยู่ใน WebKit ที่ทำให้ผู้โจมตีสามารถเรียกใช้คำสั่งที่เป็นอันตรายจากระยะไกลบนอุปกรณ์เป้าหมายได้ เช่น iOS, macOS และ tvOS หลังจากที่เป้าหมายเปิดหน้าเว็บที่เป็นอันตราย (more…)

พบช่องโหว่ Zero-Day ใน Ivanti Connect Secure ถูกใช้เพื่อติดตั้ง Malware

พบ Hacker ใช้ช่องโหว่ Zero-Day 2 รายการใน Ivanti Connect Secure ที่ถูกเปิดเผยในเดือนธันวาคม 2023 เพื่อติดตั้ง custom malware หลายชนิดในการโจมตีเป้าหมาย

โดยช่องโหว่ Zero-Day ที่ถูกใช้ในการโจมตีได้แก่ CVE-2023-46805 และ CVE-2024-21887
ที่ทำให้ผู้โจมตีสามารถ bypass การยืนยันตัวตน และแทรกคำสั่งที่ต้องการบนระบบที่มีช่องโหว่ได้ ซึ่งทาง Ivanti พบว่า Hacker ได้มุ่งเป้าหมายการโจมตีไปยังเป้าหมายเพียงไม่กี่ราย (more…)

Ivanti แจ้งเตือนช่องโหว่ระดับ Critical ใน EPM ที่ทำให้ผู้โจมตีสามารถเข้าควบคุมเครื่องได้

Ivanti แก้ไขช่องโหว่การเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกล (RCE) ระดับ Critical ใน Endpoint Management software (EPM) ที่ทำให้ Hacker สามารถเข้าควบคุมเครื่อง enrolled devices หรือ core server ได้

Ivanti EPM เป็นซอฟต์แวร์ช่วยจัดการอุปกรณ์ไคลเอนต์ที่ใช้แพลตฟอร์มที่หลากหลาย ตั้งแต่ Windows และ macOS ไปจนถึง Chrome OS และระบบปฏิบัติการ IoT โดย Ivanti เป็นบริษัทจัดการสินทรัพย์ และระบบไอที ที่มีบริษัทใช้งานมากกว่า 40,000 แห่งทั่วโลก

ช่องโหว่ CVE-2023-39336 (คะแนน CVSS 9.6/10 ความรุนแรงระดับ Critical) ส่งผลกระทบต่อ Ivanti EPM ทุกเวอร์ชัน และได้รับการแก้ไขไปแล้วในเวอร์ชัน 2022 Service Update 5

โดยผู้โจมตีที่สามารถเข้าถึงเครือข่ายภายในของเป้าหมาย สามารถใช้ประโยชน์จากช่องโหว่ในการโจมตีที่มีความซับซ้อนต่ำ รวมถึงไม่ต้องการสิทธิ์ที่สูง หรือการโต้ตอบจากผู้ใช้งาน

โดย Ivanti ระบุว่า “ผู้โจมตีที่สามารถเข้าถึงเครือข่ายภายใน สามารถใช้ประโยชน์จากการโจมตีแบบ SQL injection เพื่อสั่งการ SQL queries และดึงข้อมูลออกมาได้โดยไม่จำเป็นต้องผ่านการตรวจสอบสิทธิ์ รวมถึงอาจทำให้ผู้โจมตีสามารถเข้าควบคุมเครื่องที่มีการติดตั้ง EPM agent ได้ หาก core server ได้รับการกำหนดค่าให้ใช้ SQL express ซึ่งเป็นสาเหตุให้สามารถเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกล (RCE) บน core server ได้”

(more…)

พบช่องโหว่ Zero-Day ระดับ Critical ใน Apache OfBiz ERP System

พบช่องโหว่ zero-day ใหม่ใน Apache OfBiz ซึ่งเป็นระบบ Enterprise Resource Planning (ERP) แบบ open-source ที่อาจถูกนำไปใช้ประโยชน์ในการโจมตีเพื่อหลีกเลี่ยงการตรวจสอบสิทธิ์

ช่องโหว่ CVE-2023-51467 อยู่ในฟังก์ชันการเข้าสู่ระบบ และเป็นผลมาจากแพตซ์ที่ไม่สมบูรณ์สำหรับช่องโหว่ระดับ critical อีกรายการหนึ่ง (CVE-2023-49070, คะแนน CVSS: 9.8) ที่เปิดตัวเมื่อต้นเดือนธันวาคมที่ผ่านมา

“มาตรการรักษาความปลอดภัยที่ใช้ในแพตซ์ CVE-2023-49070 ยังไม่สามารถแก้ปัญหาได้ ดังนั้นการ bypass authentication ยังสามารถทำได้อยู่” ทีมวิจัยด้านภัยคุกคามจาก SonicWall Capture Labs ซึ่งเป็นผู้ค้นพบช่องโหว่ดังกล่าวระบุในแถลงการณ์

CVE-2023-49070 เป็นช่องโหว่ pre-authenticated สำหรับการเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกล ซึ่งส่งผลกระทบต่อเวอร์ชัน 18.12.10 ซึ่งหากสามารถโจมตีได้สำเร็จ อาจทำให้ผู้โจมตีสามารถเข้าควบคุมเซิร์ฟเวอร์ได้อย่างเต็มรูปแบบ และสามารถนำข้อมูลออกไปได้ โดยสาเหตุมาจากคอมโพเนนต์ XML-RPC ที่เลิกใช้แล้วภายใน Apache OFBiz

จากข้อมูลของ SonicWall พบว่าช่องโหว่ CVE-2023-51467 สามารถถูก triggered ได้โดยใช้ USERNAME และ PASSWORD parameters ที่ไม่ถูกต้อง หรือเป็นค่าว่างใน HTTP request เพื่อแสดงข้อความการตรวจสอบสิทธิ์สำเร็จ และทำให้ผู้โจมตีสามารถเข้าถึงข้อมูลภายในที่ไม่ได้รับอนุญาตได้

การโจมตีขึ้นอยู่กับพารามิเตอร์ "requirePasswordChange" ถูกตั้งค่าเป็น "Y" ใน URL ทำให้การ authentication ถูก bypass โดยไม่คำนึงถึงค่าที่ใส่ใน username และ password fields

คำอธิบายของช่องโหว่ในฐานข้อมูลช่องโหว่แห่งชาติ NIST (NVD) ระบุว่า “ช่องโหว่ดังกล่าวทำให้ผู้โจมตีสามารถ bypass authentication สำหรับการโจมตีแบบ Server-Side Request Forgery (SSRF)”

โดยล่าสุด Shadowserver Foundation ระบุว่าได้สังเกตเห็นความพยายามโจมตีโดยใช้ช่องโหว่ CVE-2023-49070 แล้ว ทำให้ผู้ใช้งานจำเป็นต้องอัปเดต Apache OFbiz เป็นเวอร์ชัน 18.12.11 หรือใหม่กว่าโดยเร็วที่สุดเพื่อป้องกันภัยคุกคามที่อาจเกิดขึ้น

ที่มา : thehackernews.

แฮ็กเกอร์อัปเดต backdoor ใน Cisco IOS XE เพื่อซ่อนอุปกรณ์ที่ถูกติดตั้งมัลแวร์

นักวิจัยพบว่าจำนวนอุปกรณ์ Cisco IOS XE ที่ถูกโจมตี โดย backdoor ได้ลดลงอย่างลึกลับ โดยพบว่าอุปกรณ์ที่ได้รับผลกระทบจากช่องโหว่มากกว่า 50,000 เครื่อง ได้ลดลงเหลือเพียงไม่กี่ร้อยเครื่อง โดยนักวิจัยยังไม่สามารถบอกได้ว่าอะไรเป็นสาเหตุของการลดลงอย่างรวดเร็วนี้

โดยในเดือนตุลาคม 2023 ทาง Cisco ได้แจ้งเตือนการพบ Hacker ได้ใช้ช่องโหว่ Zero-day สองช่องโหว่ได้แก่ CVE-2023-20198 และ CVE-2023-20273 ในการโจมตีอุปกรณ์ Cisco IOS XE มากกว่า 50,000 เครื่องเพื่อสร้าง privileged user accounts และติดตั้ง LUA backdoor ที่เป็นอันตรายบนเครื่องที่ถูกโจมตี ซึ่งการฝัง LUA backdoor ไปในระบบทำให้ Hacker สามารถเรียกใช้คำสั่งจากระยะไกล ด้วยสิทธิ์ privilege level 15 ซึ่งเป็นระดับสิทธิ์สูงสุดบนอุปกรณ์

แต่การฝัง LUA backdoor ไว้ในเครื่อง ไม่สามารถทำให้ LUA อยู่ตลอดไปได้ เนื่องจากการรีบูตจะทำให้ backdoor ถูกลบออกไป แต่อย่างไรก็ตาม privileged user accounts ที่ถูกสร้างขึ้นในการโจมตีจะยังคงอยู่

นับตั้งแต่มีการเปิดเผยช่องโหว่ Zero-day บริษัท และนักวิจัยด้านความปลอดภัยทางไซเบอร์พบว่าอุปกรณ์ Cisco ISO XE ประมาณ 60,000 เครื่องจากทั้งหมด 80,000 เครื่องที่เข้าถึงได้จากอินเทอร์เน็ตถูกโจมตีไปแล้วด้วยช่องโหว่ดังกล่าว

การลดลงอย่างแปลกประหลาดของ Cisco IOS XE ที่ถูกโจมตี

ในวันที่ 21 ตุลาคม 2023 บริษัทด้านความปลอดภัยทางไซเบอร์หลายแห่งรายงานว่าจำนวนอุปกรณ์ Cisco IOS XE ที่มีการฝัง backdoor จากช่องโหว่ ได้ลดลงอย่างอย่างแปลกประหลาดจากที่พบประมาณ 60,000 เครื่อง ลดเหลือเพียง 100-1,200 เครื่อง โดยขึ้นอยู่กับพฤติกรรมการสแกนที่แตกต่างกัน

Patrice Auffret ผู้ก่อตั้ง และ CTO ของ Onyphe ให้ข้อมูลกับ BleepingComputer ว่า เขาเชื่อว่า Hacker ที่อยู่เบื้องหลังการโจมตีกำลังทำการอัปเดตบางอย่าง เพื่อซ่อนการโจมตี ส่งผลให้ไม่เห็นพฤติกรรมของการติดมัลแวร์ในการสแกนอีกต่อไป

"เป็นวันที่สองติดต่อกันแล้ว ที่พบว่าจำนวนเครื่องที่มีการติดมัลแวร์ลดลงอย่างมากในช่วงเวลาสั้น ๆ โดยอาจจะเกิดจากการรีบูต (เนื่องจากพบว่าก่อนหน้านี้การรีบูตจะทำให้ backdoor ถูกลบออกไป) หรือมัลแวร์อาจได้รับการปรับปรุงแล้ว แต่พวกเขาเชื่อว่าเป็นการกระทำจากผู้โจมตีที่พยายามแก้ไขปัญหาที่ไม่ควรเกิดขึ้นตั้งแต่แรก ที่เครื่องที่มีการติดมัลแวร์นั้นตรวจพบได้ง่ายจากการสแกน ซึ่งคาดว่าเป็นความผิดพลาดจากฝั่งของผู้โจมตีเอง ทำให้ปัจจุบันผู้โจมตีอาจมีการอัปเดตเพื่อซ่อนสถานะการติดมัลแวร์มากกว่า”

สอดคล้องกับ Piotr Kijewski CEO ของ The Shadowserver Foundation ที่ให้ข้อมูลกับ BleepingComputer ว่า พบว่าเครื่องที่ถูกโจมตีจากช่องโหว่ได้ลดลงอย่างมากนับตั้งแต่วันที่ 21 ตุลาคม 2023 โดยการสแกนพบอุปกรณ์เพียง 107 เครื่องที่ถูกโจมตีจากช่องโหว่ ซึ่งเป็นไปได้ว่าอุปกรณ์ที่ถูกโจมตีจะถูกลบมัลแวร์ออก หรือได้รับการอัปเดตเช่นเดียวกัน

รวมไปถึงยังมีอีกทฤษฎีหนึ่งก็คือ Grey-Hat Hacker กำลังรีบูตอุปกรณ์ Cisco IOS XE ที่ถูกโจมตีเพื่อลบมัลแวร์ในอุปกรณ์โดยอัตโนมัติ โดยแคมเปญที่คล้ายกันเคยเกิดขึ้นในปี 2018 เมื่อ Hacker ได้อ้างว่าได้ทำการอัปเดต MikroTik routers กว่า 100,000 ตัว เพื่อให้ไม่สามารถถูกนำไปใช้ในการโจมตีแบบ cryptojacking และ DDoS ได้

แต่อย่างไรก็ตาม Orange Cyberdefense CERT ได้ให้ข้อมูลกับ BleepingComputer ว่า พวกเขาไม่เชื่อว่า Grey-Hat Hacker จะเป็นผู้อยู่เบื้องหลังการลดจำนวนของเครื่องที่ถูกโจมตีในครั้งนี้ แต่นี่อาจเป็นการแก้ไข และเริ่มทำการโจมตีครั้งใหม่ หรือซ่อนเป้าหมายจากการโจมตีที่แท้จริง

โดย Orange Cyberdefense CERT ได้แจ้งเตือนให้ผู้ดูและระบบดำเนินการตรวจสอบเพื่อให้แน่ใจว่าไม่มีการเพิ่มชื่อผู้ใช้ที่เป็นอันตราย และไม่ได้ถูกแก้ไข Configuration ถึงแม้ว่าจะทำการปิดการใช้งาน WebUI ของ Cisco IOS XE แล้วก็ตาม

เช่นเดียวกับ Daniel Card นักวิจัยด้านความปลอดภัยที่คาดว่า อุปกรณ์จำนวนมากที่ถูกโจมตีด้วยช่องโหว่นั้นเป็นเพียงตัวล่อเพื่อซ่อนเป้าหมายที่แท้จริงในการโจมตี
ซึ่งขณะนี้ยังไม่มีหลักฐาน หรือข้อมูลเพิ่มเติมจากนักวิจัย และ Cisco ที่จะสามารถตรวจสอบอุปกรณ์ Cisco IOS XE ที่ถูกโจมตีก่อนหน้านี้ เพื่อดูว่าอุปกรณ์ดังกล่าวเพิ่งทำการรีบูต หรือมีการเปลี่ยนแปลงใหม่หรือไม่

อัปเดต 23/10/23

บริษัทรักษาความปลอดภัยทางไซเบอร์ Fox-IT อธิบายว่าสาเหตุของการลดลงอย่างกะทันหันของการติดมัลแวร์ที่ตรวจพบนั้นเกิดจากการที่ผู้โจมตีอัปเดตแบ็คดอร์เวอร์ชันใหม่บนอุปกรณ์ Cisco IOS XE

โดยจากข้อมูลของ Fox-IT มัลแวร์เวอร์ชันใหม่จะตรวจสอบ Authorization HTTP header ก่อนที่จะมีการตอบสนอง อ้างอิงจาก LinkedIn post เนื่องจากวิธีการสแกนก่อนหน้านี้ไม่ได้ใช้ Authorization header จึงไม่มีการตอบสนองจากเครื่องที่ติดมัลแวร์ ทำให้ดูเหมือนว่ามันถูกลบออกไปแล้ว

Cisco Talos ยืนยันการเปลี่ยนแปลงในคำแนะนำที่อัปเดต 1, 2 ซึ่งแชร์คำสั่ง curl ใหม่ที่สามารถตรวจจับการติดมัลแวร์บนอุปกรณ์ Cisco ISO XE โดยคำสั่งนี้เหมือนกับวิธีที่แชร์ก่อนหน้า แต่ตอนนี้มีส่วน 'Authorization' header เพื่อทำให้อุปกรณ์ที่ติดมัลแวร์ตอบสนองต่อ Request
curl -k -H "Authorization: 0ff4fbf0ecffa77ce8d3852a29263e263838e9bb" -X POST "https[:]//DEVICEIP/webui/logoutconfirm.

Cisco เปิดเผยอีก 1 ช่องโหว่ Zero-Day ใหม่บน IOS XE ที่อาจถูกใช้ในการฝังมัลแวร์ไปแล้วกว่า 40,000 เครื่อง

Cisco เปิดเผยการพบช่องโหว่ zero-day ระดับความรุนแรงสูง (CVE-2023-20273) ซึ่งคาดว่ากำลังถูกนำไปใช้ในการฝังมัลแวร์บนอุปกรณ์ IOS XE ที่มีช่องโหว่ ซึ่งถูกโจมตีด้วยช่องโหว่ zero-day (CVE-2023-20198) ที่ถูกพบไปก่อนหน้านี้

โดยทาง Cisco จะทำการออกแพตซ์อัปเดตเพื่อแก้ไขช่องโหว่ zero-day ทั้ง 2 รายการนี้ในช่วงสุดสัปดาห์ โดยจะเริ่มตั้งแต่วันที่ 22 ตุลาคม 2023 ให้กับลูกค้าผ่านทางศูนย์ดาวน์โหลดซอฟต์แวร์ของ Cisco

ทั้งนี้เมื่อวันที่ 16 ตุลาคม 2023 Cisco ได้เผยแพร่รายงานการค้นพบ Hacker ใช้ช่องโหว่ zero-day (CVE-2023-20198) ในการ bypass authentication เพื่อเข้าสู่อุปกรณ์ IOS XE และสร้าง local user account ด้วยชื่อ "cisco_tac_admin" และ "cisco_support" โดยคาดว่า Hacker ได้เริ่มโจมตีมาตั้งแต่วันที่ 18 กันยายน 2023
**

CVE-2023-20273 (คะแนน CVSS 10/10 ความรุนแรงระดับ Critical ) เป็นช่องโหว่การยกระดับสิทธิ์ (privilege escalation) เพื่อเข้าถึงสิทธิ์ Root และเข้าควบคุมอุปกรณ์ Cisco IOS XE ได้อย่างสมบูรณ์ รวมถึงทำการติดตั้งมัลแวร์ที่ทำให้สามารถเรียกใช้คำสั่งบนระบบได้

Censys และ LeakIX พบว่ามีอุปกรณ์ Cisco ที่ใช้ซอฟต์แวร์ IOS XE ซึ่งถูกโจมตีด้วยช่องโหว่ zero-day 2 รายการนี้ไปแล้วกว่า 40,000 เครื่อง

โดยอุปกรณ์เครือข่ายที่ใช้ Cisco IOS XE ประกอบไปด้วย enterprise switches, access points, industrial wireless controllers และ branch routers

แม้ว่าการหาตัวเลขที่แน่นอนของจำนวนอุปกรณ์ Cisco IOS XE ที่สามารถเข้าถึงจากอินเทอร์เน็ตได้นั้นเป็นเรื่องยาก แต่จากการค้นหาของ Shodan พบว่ามีระบบ Cisco IOS XE ที่มีช่องโหว่มากกว่า 146,000 รายการ ที่เสี่ยงต่อการถูกโจมตีด้วยช่องโหว่ zero-day ดังกล่าว

โดย Cisco ประกาศว่าในขณะที่กำลังรอแพตซ์อัปเดตเพื่อแก้ไขช่องโหว่ zero-day ดังกล่าว แนะนำให้ผู้ใช้งานปิดการใช้งานฟีเจอร์ HTTP server ที่มีช่องโหว่ บนระบบที่เชื่อมต่อกับอินเทอร์เน็ตทั้งหมด

รวมถึงทำการตรวจสอบอุปกรณ์ Cisco IOS XE ที่มีช่องโหว่ของตน ว่าถูกฝังมัลแวร์ไปแล้วหรือยัง โดยใช้เรียกใช้คำสั่งต่อไปนี้บนอุปกรณ์ โดยที่ "DEVICEIP" แสดงถึง IP address ที่อยู่ภายใต้การตรวจสอบ :
curl -k -X POST "https[:]//DEVICEIP/webui/logoutconfirm.

Google พบกลุ่ม Hacker ชาวรัสเซีย และจีนเกี่ยวข้องกับการโจมตีช่องโหว่ของ WinRAR

Google เผยแพร่รายงานการพบกลุ่ม Hacker ที่ได้รับการสนับสนุนจากรัฐบาลหลายกลุ่ม ได้ทำการโจมตีโดยใช้ช่องโหว่ที่มีระดับความรุนแรงสูงใน WinRAR (CVE-2023-38831) อย่างต่อเนื่อง โดยมีเป้าหมายในการเรียกใช้คำสั่งที่เป็นอันตรายบนระบบของเป้าหมาย

WinRAR เป็นซอฟต์แวร์บีบอัด และจัดเก็บไฟล์ยอดนิยมสำหรับ Windows ที่มีผู้ใช้งานในปัจจุบันมากกว่า 500 ล้านคน (more…)