แจ้งเตือน IoT Botnet ใหม่ “Ttint” ที่ใช้ประโยชน์จากช่องโหว่ Zero-day ใน Tenda Router ในการเเพร่กระจาย

Netlab ทีมนักวิจัยด้านความปลอดภัยของบริษัท Qihoo 360 จากจีนได้รายงานถึงการตรวจพบบ็อตเน็ตใหม่ที่มีชื่อว่า “Ttint” ที่กำลังใช้ประโยชน์จากช่องโหว่แบบ zero-day ในเราท์เตอร์ Tenda เพื่อทำการเเพร่กระจาย โดยการติดตั้งมัลแวร์บนเราท์เตอร์ Tenda เพื่อทำการสร้างบอทเน็ต IoT (Internet of Things)

จากรายงานของ Netlab ได้ระบุว่าบ็อตเน็ต Ttint เป็นบ็อตเน็ตสายพันธุ์เดียวกับ Mirai เนื่องจากถูกสร้างด้วยโค้ดเบสเดียวกัน โดยทั่วไปแล้วบ็อตเน็ตชนิดนี้จะถูกนำมาใช้เพื่อทำการโจมตี DDoS แต่ด้วยการพัฒนาฟังก์ชั่นการทำงานเพิ่มจึงทำให้ปัจจุบัน Ttint มีความสามารถเพิ่มเติมที่นอกเหนือจากการเเพร่กระจายบนเราเตอร์อีก 12 ฟังก์ชั่น โดยในการเเพร่กระจายนั้นบ็อตเน็ต Ttin จะใช้ประโยชน์จากช่องโหว่แบบ zero-day จำนวน 2 ช่องโหว่ถูกติดตามด้วยรหัส CVE-2020-10987 และ CVE-2018-14558 เป็นช่องโหว่ในเราท์เตอร์ Tenda

Netlab ได้เเนะนำให้ผู้ใช้เราเตอร์ Tenda ตรวจสอบเฟิร์มแวร์และทำการอัปเดตเฟิร์มแวร์ให้เป็นเวอร์ชันล่าสุดเพื่อป้องกันการตกเป็นเหยื่อของบ็อตเน็ต Ttint

ที่มา : Zdnet

Cisco warns of actively exploited IOS XR zero-day

Cisco เเจ้งเตือนช่องโหว่ Zero-day ใหม่ในอุปกรณ์ที่ใช้งานซอฟเเวร์ Cisco IOS XR ที่อาจส่งผลต่อหน่วยความจำของอุปกรณ์

Cisco ออกเตือนถึงช่องโหว่ Zero-day ใหม่ที่ถูกพบในฟีเจอร์ Distance Vector Multicast Routing Protocol (DVMRP) ของซอฟต์แวร์ในระบบปฏิบัติการ Cisco IOS XR ซึ่งอาจทำให้ผู้โจมตีจากระยะไกลที่ไม่ได้รับการรับรองความถูกต้องสามารถโจมตีการประมวลผลหน่วยความจำของอุปกรณ์ที่ได้รับผลกระทบ

ช่องโหว่ถูกติดตามด้วยรหัส CVE-2020-3566 (CVSS: 8.6) ช่องโหว่เกิดจากการจัดการคิวไม่เพียงพอสำหรับแพ็กเก็ต Internet Group Management Protocol (IGMP) ในฟีเจอร์ DVMRP ผู้โจมตีสามารถใช้ประโยชน์จากช่องโหว่ได้โดยการส่งทราฟิก IGMP ที่สร้างขึ้นไปยังอุปกรณ์ที่ได้รับผลกระทบ ซึ่งการโจมตีในลักษณะอาจทำให้ผู้โจมตีทำให้เกิด memory exhaustion ในอุปกรณ์และอาจส่งผลให้กระบวนการอื่น ๆ ในอุปกรณ์ไม่เสถียร

ช่องโหว่นี้มีผลกับอุปกรณ์ที่ใช้ระบบปฏิบัติการ Cisco IOS XR ที่ทำงานบนแพลตฟอร์มเราเตอร์หลายตระกูลเช่น NCS 540 และ 560, NCS 5500, 8000 และ ASR 9000

ในขณะนี้ยังไม่มีเเพตซ์การเเก้ไขช่องโหว่ Cisco ได้ออกคำเเนะนำให้ผู้ดูแลระบบทำการบรรเทาภัยจากช่องโหว่ดังนี้

จำกัด Rate limiting เพื่อลดอัตราการรับส่งข้อมูลทราฟฟิก IGMP
ผู้ดูแลระบบสามารถปรับการใช้งาน Access Control Entry (ACE) ไปยังการควบคุมอินเตอร์เฟสของ Access Control List (ACL) ที่มีอยู่หรืออีกวิธีหนึ่งคือผู้ดูแลระบบสามารถสร้าง ACL เฉพาะอินเทอร์เฟซโดยการ deny inbound DVRMP ทราฟิกบนอินเทอร์เฟซนั้น
ปิดใช้งาน IGMP routing บนอินเทอร์เฟซที่ไม่จำเป็น

ที่มา : tools.

นักวิจัยทำการเผยเเพร่ PoC ช่องโหว่ Zero-day ในฟอรั่มยอดนิยม vBulletin

นักวิจัยด้านความปลอดภัย Amir Etemadieh จาก Austin-based ได้ทำการเผยแพร่รายละเอียดทางเทคนิคและโค้ด Proof-of-Concept (PoC) สำหรับช่องโหว่ Zero-day การเรียกใช้รหัสระยะไกลใน vBulletin

ช่องโหว่ที่ได้รับการเปิดเผยนี้เป็นช่องโหว่ใหม่ใช้สำหรับทำการ Bypass เเพตซ์ความปลอดภัยช่องโหว่ CVE-2019-16759 ที่ได้รับการเปิดเผยมาแล้วในเดือนกันยายน 2019 ซึ่งช่องโหว่ CVE-2019-16759 จะอนุญาตให้ผู้โจมตีใช้ประโยชน์จากจุดบกพร่องในระบบเทมเพลตของ vBulletin เพื่อเรียกใช้โค้ดที่เป็นอันตรายและเข้ายึดฟอรั่มโดยไม่จำเป็นต้องตรวจสอบสิทธิ์และได้รับการเเพตซ์เเก้ไขช่องโหว่ไปแล้ว

Etemadieh อธิบายว่าช่องโหว่ที่เขาได้ทำการเผยเเพร่ต่อสาธารณะนี้เกิดจากการล้มเหลวและการเเก้ไขช่องโหว่ไม่ถูกจุดของ vBulletin และใช้เวลาในการเเก้ไขช่องโหว่นี้นานกว่าหนึ่งปี สิ่งนี้จึงทำให้เขารู้สึกการเปิดเผยข้อมูลทั้งหมดเป็นทางออกที่ดีเพื่อจะช่วยให้เร่งสู่การเเก้ไข ซึ่ง PoC ที่ได้รับเปิดเผยนี้จะกระทบกับ vBulletin เวอร์ชั่นก่อน 5.6.2

ทีมงาน vBulletin ได้เเนะนำให้ผู้ใช้งานและผู้ดูแลระบบควรรีบทำการอัปเกรด vBulletin เป็นเวอร์ชั่น 5.6.2 โดยเร็วที่สุดเพื่อป้องกันการใช้ประโยชน์จาก PoC ที่ถูกเปิดเผยทำการโจมตีระบบ ส่วนสำหรับผู้ดูแลที่ไม่สามารถทำการอัปเกรด vBulletin ได้ในขณะนี้ให้ทำการบรรเทาการใช้ช่องโหว่โดยการตั้งค่าดังนี้

ไปที่ vBulletin administrator control panel
คลิก "Setting" ในเมนูทางด้านซ้ายจากนั้นคลิก "Option" ในเมนู Drop down
จากนั้นเลือก “General Setting” จากนั้นคลิก “Edit Setting”
จากนั้นมองหา “Disable PHP, Static HTML และ Ad Module rendering” ให้ทำการเซตเป็น “Yes”
กด “Save”

ที่มา:

bleepingcomputer.

ช่องโหว่ Zero-Day ใหม่ที่อยู่ใน Vanity URL ของ Zoom ที่อาจทำให้ผู้โจมตีสามารถเลียนเเบบองค์กรได้

นักวิจัยของ Check Point ได้ทำการเปิดเผยช่องโหว่ Zero-Day ใหม่ในแอปพลิเคชันยอดนิยม Zoom ซึ่งช่องโหว่จะเปิดทางให้ผู้โจมตีสามารถปลอมเเปลงเป็นองค์กรเพื่อหลอกพนักงานหรือหุ้นส่วนธุรกิจให้เปิดเผยข้อมูลส่วนบุคคลหรือข้อมูลลับอื่น ๆ โดยใช้กลวิธีทาง Social-engineering

นักวิจัยของ Check Point กล่าวว่าช่องโหว่นี้อยู่ในฟีเจอร์ Vanity URL ของ Zoom ซึ่งฟีเจอร์นี้ได้เปิดให้ผู้ใช้งานในรูปเเบบบริษัทสามารถทำการกำหนดโดเมน Zoom meeting ที่เชื่อมโยงไปยังห้องการประชุม Zoom ได้เช่น https://organization_name.

Zoom working on patching zero-day disclosed in Windows client

พบ Zero-day ใหม่ใน Zoom รันโค้ดอันตรายผ่านการกระทำของผู้ใช้ กระทบกับ Windows 7 และ Windows Server 2008 R2

บริษัทรักษาความปลอดภัยทางด้านไซเบอร์ ACROS Security ได้เปิดเผยถึงช่องโหว่ Zero-day ใหม่ในแอปพลิเคชัน Zoom ซึ่งช่องโหว่นี้กระทบไคลเอนต์ Zoom ที่ใช้งานบน Windows 7 และ Windows Server 2008 R2 และรุ่นก่อนหน้า

Mitja Kolsek ซีอีโอของบริษัท ACROS Security ได้กล่าวว่าช่องโหว่ Zero-day นี้ทำให้ผู้โจมตีสามารถโจมตีจากระยะไกลสามารถโดยการสั่งรันโปรแกรมบนคอมพิวเตอร์ของเหยื่อที่ติดตั้ง Zoom Client สำหรับ Windows ได้โดยให้ผู้ใช้ดำเนินการบางอย่างเพื่อเป็นการเริ่มโจมตีช่องโหว่ เช่น เปิดไฟล์เอกสาร

Kolsek ยังกล่าวอีกว่าช่องโหว่ Zero-day นี้จะไม่มีผลกับไคลเอนต์ Zoom ที่ใช้งานบน Windows 8 หรือ Windows 10 และทาง ACROS ได้ทำการเเจ้งให้ทาง Zoom ถึงช่องโหว่ดังกล่าวแล้ว ซึ่งทางโฆษกของ Zoom ได้ออกยืนยันช่องโหว่และความถูกต้องของรายงาน

บริษัท ACROS Security ไม่ได้ทำการเผยเเพร่เทคนิคใดๆ ของช่องโหว่ Zero-day เเก่สาธารณะ ซึ่งทาง ACROS ได้ทำการเเก้ไขช่องโหว่และทำการอัปเดตแพตซ์ใน 0patch เพื่อป้องกันผู้ใช้งานตกเป็นเหยื่อของผู้ประสงค์ร้ายในระหว่างที่ Zoom ทำการอัปเดตไคลเอนต์เป็นเวอร์ชั่นใหม่

ที่มา: zdnet

แฮกเกอร์ใช้ช่องโหว่ ‘Zero-day’ โจมตี Sophos XG Firewall

Sophos ได้ทำการเผยแพร่แพตช์ความปลอดภัยฉุกเฉินเพื่อแก้ไขช่องโหว่ Zero-day ในผลิตภัณฑ์ XG Firewall ที่ถูกแฮกเกอร์ใช้ประโยช์จากช่องโหว่ขโมยรหัสผ่านบนอุปกรณ์ XG Firewall

Sophos กล่าวว่าพวกเขาได้รับรายงานจากลูกค้ารายหนึ่ง ในวันพุธที่ 22 เมษายนหลังจากลูกค้าพบค่าฟิลด์ที่น่าสงสัยปรากฏในระบบการจัดการ หลังจากทำการตรวจสอบพวกเขาระบุว่าค่าฟิลด์ที่น่าสงสัยนั้นเป็นการโจมตีที่ใช้ช่องโหว่ SQL injection เพื่อขโมยรหัสผ่านบนอุปกรณ์ XG Firewall

Sophos กล่าวว่าแฮกเกอร์ได้ใช้ช่องโหว่ดังกล่าวเพื่อโจมตีอุปกรณ์ XG Firewall ในส่วนการจัดการ Administration หรือ User Portal control panel ที่เปิดให้ทำการจัดการผ่านอินเตอร์เน็ต และยอมรับว่าแฮกเกอร์ใช้ช่องโหว่ SQL injection เพื่อดาวน์โหลดข้อมูลบนอุปกรณ์และคาดว่าข้อมูลที่ถูกขโมยออกไปนั้นอาจมีชื่อบัญชีผู้ใช้และรหัสผ่านที่ถูกเข้าด้วยฟังก์ชั่นแฮชของผู้ดูแลอุปกรณ์ไฟร์วอลล์, บัญชีผู้ใช้ผู้ดูแลระบบพอร์ทัลไฟร์วอลล์และบัญชีผู้ใช้ที่ใช้สำหรับการเข้าถึงอุปกรณ์จากระยะไกล

การอัพเดตความปลอดภัย

Sophos ได้ทำการส่งแพตช์อัพเดตความปลอดภัยฉุกเฉินนี้ไปยังอุปกรณ์ XG Firewalls ของผู้ใช้แล้ว โดยผู้ใช้ที่ตั้งค่า "Allow automatic installation of hotfixes" บนอุปกรณ์จะได้รับการอัพเดตอัตโนมัติ สำหรับผู้ใช้ที่ปิดใช้งานการตั้งค่านี้ผู้ใช้งานสามารถทำตามคำแนะนำดังต่อไปนี้ community.

Zero-click, zero-day flaws in iOS Mail ‘exploited to hijack’ VIP smartphones. Apple rushes out beta patch

ผู้ใช้ iOS โปรดระวัง! พบช่องโหว่ ‘Zero-day’ ในแอปพลิเคชัน Mail บน iOS ที่จะอนุญาติให้ผู้โจมตีสามารถทำการโจมตีเครื่องได้เมื่อเปิดอ่านอีเมล

ผู้เชี่ยวชาญจากบริษัทรักษาความปลอดภัยทางไซเบอร์ ZecOps ได้เปิดเผยถึงช่องโหว่ ‘Zero-day’ ใหม่จำนวนสองรายการในอุปกรณ์ iPhone และ iPad มีผลกระทบกับผู้ใช้ iOS ตั้งเเต่ iOS เวอร์ชัน 6 จนถึง iOS เวอร์ชัน 13.4.1

ช่องโหว่ทั้งสองมีผลกระทบต่อแอปพลิเคชันเมลบน iPhone และ iPad อาจส่งผลทำให้ถูกโจมตีโดยผู้ไม่หวังดีที่ทำการโจมตีจากระยะไกล โดยใน iOS 12 ผู้โจมตีสามารถใช้วิธีการส่งอีเมลที่มีโค้ดอันตรายฝังอยู่ไปหาเหยื่อเพียงแค่เหยื่อคลิกเปิดอ่านอีเมลที่ถูกส่งมา ผู้โจมตีก็จะสามารถเข้าควบคุมระบบได้ แต่ในกรณี iOS 13 การโจมตีสามารถสำเร็จได้โดยที่เหยื่อไม่จำเป็นต้องกดเปิดอ่านอีเมลแต่อย่างใด

ZecOps ได้ทำการตรวจพบว่าการโจมตีนี้มีบุคคลสำคัญตกเป็นเป้าหมายในการโจมตีแล้วหลายคน เช่น บุคคลที่มีชื่อเสียงจาก Fortune 500 ในอเมริกาเหนือ, ผู้บริหารเครือข่ายโทรศัพท์ในญี่ปุ่น, บุคคลสำคัญในเยอรมัน, นักข่าวในยุโรป, MSSP จากซาอุดิอาระเบียและอิสราเอล

Apple ได้รับทราบปัญหาแล้วตั้งเเต่เมื่อวันที่ 19 กุมภาพันธ์ และ Apple ได้ทำการเผยแพร่แพตช์การแก้ไขสำหรับช่องโหว่นี้ในวันที่ 15 เมษายนด้วยการเปิดตัว iOS 13.4.5 เบต้า แนะนำให้ผู้ใช้ ควรงดใช้แอปพลิเคชันเมลที่ติดตั้งมาพร้อมเครื่อง โดยเปลี่ยนไปใช้แอปพลิเคชันเมลอื่นๆ เช่น Gmail หรือ Outlook ก่อนจนกว่าจะมีแพตช์การแก้ไขเพื่อความปลอดภัยจากการถูกโจมตีจากผู้ไม่หวังดี

ที่มา: zdnet

Microsoft ทำการแก้ไข 3 ช่องโหว่ ‘Zero-day’ และ 15 ช่องโหว่ระดับ ‘Critical’ ในรายงานแพตช์ประจำเดือนเมษายน

Microsoft ทำการแก้ไข 3 ช่องโหว่ ‘Zero-day’ และ 15 ช่องโหว่ระดับ ‘Critical’ ในรายงานแพตช์ประจำเดือนเมษายน

Microsoft ได้เปิดตัวแพตช์อัปเดตความปลอดภัยเดือนเมษายน 2020 โดย Microsoft แจ้งว่าได้ทำการแก้ไขช่องโหว่ 113 รายการในผลิตภัณฑ์ Microsoft โดยแบ่งออกเป็นช่องโหว่ระดับ Critical 15 รายการ, ช่องโหว่ระดับ Important 93 รายการ, ช่องโหว่ระดับ Moderate 3 รายการและช่องโหว่ระดับ Low อีก 2 รายการ

ทั้งนี้ Microsoft ได้ทำการแก้ไขช่องโหว่ ‘Zero-day’ ด้วยกัน 3 รายการโดยพบว่ามีช่องโหว่ 2 รายการถูกใช้ในการโจมตีระบบแล้ว

รายละเอียดของช่องโหว ‘Zero-day’

CVE-2020-1020 (CVSS 7.8) - ช่องโหว่การรันโค้ดโจมตีระยะไกลของ Adobe Font Manager Library ผู้โจมตีสามารถใช้ช่องโหว่เพื่อลอบรันโค้ดจากทางไกลได้ (RCE) แต่สำหรับ Windows 10 ผู้โจมตีจะสามารถเข้าโจมตีใน AppContainer Sandbox ด้วยสิทธิ์จำกัดและจะสามารถติดตั้งโปรแกรม, เรียกดู, เปลี่ยนแปลงหรือลบข้อมูลได้ รวมถึงสร้างบัญชีผู้ใช้ใหม่ที่มีสิทธิ์เต็มของผู้ใช้งาน อย่างไรก็ดีมีหลายทางที่ผู้โจมตีจะใช้ช่องโหว่ได้ เช่น หลอกให้เหยื่อเปิดไฟล์เอกสารที่สร้างขึ้นแบบพิเศษหรือดูผ่าน Windows Preview
CVE-2020-0938 (CVSS 7.8) - ช่องโหว่การรันโค้ดโจมตีระยะไกลของ Adobe Font Manager Library เช่นเดียวกันกับ CVE-2020-1020
CVE-2020-1027 (CVSS 7.8) - เป็นช่องโหว่ยกระดับสิทธิ์ที่เกิดขึ้นใน Windows Kernel
Microsoft ยังได้เปิดเผยว่าช่องโหว่ Zero-day ทั้ง 3 ได้รับการรายงานจากทีมความปลอดภัยของกูเกิลทั้งจาก Project Zero และ Threat Analysis Group (TAG) นอกจากนี้ยังมีช่องโหว่ระดับรายแรงและช่องโหว่อื่นๆ กว่า 100 รายการถูกแพตช์ในครั้งนี้เช่นกัน ผู้สนใจสามารถดูรายละเอียดเพิ่มเติมได้
แพตช์ความปลอดภัยที่เปิดให้อัพเดตคือ KB4549951 และ KB4549949 ผู้ใช้ควรติดตั้งการอัพเดตแพตช์ความปลอดภัยเพื่อลดความเสี่ยงของข้อมูลและระบบ

ที่มา: www.

Microsoft เตือนภัยผู้ใช้ Windows ระวังตกเป็นเป้าหมายการโจมตีด้วยช่องโหว่ Zero-day

Microsoft ได้ออกประกาศเตือนความปลอดภัยในระบบปฏิบัติการ Windows หลังพบผู้บุกรุกใช้ 2 ช่องโหว่ zero-day ใหม่สามารถเรียกใช้การโจมตีระยะไกล (RCE) ในไลบรารี Adobe Manager

รายละเอียดช่องโหว่โดยย่อ
2 ช่องโหว่ zero-day ใหม่นี้อยู่ใน Adobe Type Manager Library (atmfd.

Microsoft warns about Internet Explorer zero-day, but no patch yet

Microsoft เผยแพร่คำแนะนำด้านความปลอดภัยเกี่ยวกับช่องโหว่ Zero-day ใน Internet Explorer (IE) ที่กำลังถูกโจมตีในช่วงนี้

เบื้องต้นทาง Microsoft ระบุว่าการโจมตีดังกล่าวไม่ได้โจมตีเป็นวงกว้าง จำกัดแค่ผู้ใช้งานส่วนหนึ่ง แต่ได้ทำการออกวิธีการแก้ไขปัญหาและการลดผลกระทบที่สามารถนำไปใช้เพื่อป้องกันระบบที่มีช่องโหว่จากการโจมตีเท่านั้น แล้วจะออก Patch สำหรับแก้ไขช่องโหว่ดังกล่าวตามมาในอนาคต

Microsoft อธิบายถึงช่องโหว่ Zero-day ใน IE ซึ่งได้รับ CVE-2020-0674 ว่าเป็นช่องโหว่ที่ทำให้ผู้โจมตีสามารถรันคำสั่งที่เป็นอันตรายจากระยะไกลเพื่อเข้าถึงระบบ (remote code execution หรือ RCE ) โดยเกิดจากข้อผิดพลาดของหน่วยความจำเสียหายใน IE's scripting engine องค์ประกอบของเบราว์เซอร์ที่จัดการ JavaScript (Jscript9.dll) ช่องโหว่ดังกล่าวส่งผลกระทบกับ IE9 ถึง IE11 บน Windows desktop และ Windows Server

ผู้โจมตีสามารถออกแบบเว็บไซต์เป็นพิเศษเพื่อใช้ประโยชน์จากช่องโหว่ดังกล่าวแล้วโน้มน้าวให้ผู้ใช้ดูเว็บไซต์ดังกล่าว เช่น การส่งอีเมล

วิธีการแก้ไขปัญหาและการลดผลกระทบของช่องโหว่ดังกล่าวคือตั้งค่าเพื่อจำกัดการเข้าถึง Jscript9.dll โดยสามารถอ่านวิธีได้จาก www.