Microsoft เผยแพร่ Patch Tuesday ประจำเดือนมิถุนายน 2024 แก้ไขช่องโหว่ 51 รายการ และเป็นช่องโหว่ RCE 18 รายการ

Microsoft ได้เผยแพร่ Patch Tuesday ประจำเดือนมิถุนายน 2024 ซึ่งประกอบด้วยการอัปเดตแพตซ์ความปลอดภัยสำหรับช่องโหว่ 51 รายการ ซึ่งในจำนวนนี้เป็นช่องโหว่การเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกล (RCE) 18 รายการ และเป็นช่องโหว่ Zero-day 1 รายการ คือช่องโหว่การเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกล (RCE) ใน Microsoft Message Queuing (MSMQ)

จำนวนช่องโหว่ในแต่ละหมวดหมู่มีดังต่อไปนี้ :

ช่องโหว่การยกระดับสิทธิ์ (privilege escalation) 25 รายการ
ช่องโหว่การเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกล (Remote Code Execution) 18 รายการ
ช่องโหว่ในการเปิดเผยข้อมูล (Information Disclosure) 3 รายการ
ช่องโหว่การปฏิเสธการให้บริการ (Denial of Service) 5 รายการ

ทั้งนี้ช่องโหว่ทั้ง 51 รายการ ยังไม่รวมช่องโหว่ของ Microsoft Edge 7 รายการที่ได้รับแก้ไขไปแล้วเมื่อวันที่ 3 มิถุนายน 2024

ช่องโหว่ Zero-day

ทั้งนี้ Patch Tuesday ประจำเดือนมิถุนายน 2024 มีช่องโหว่ Zero-day หนึ่งรายการหมายเลข CVE-2023-50868 NSEC3 closest encloser proof can exhaust CPU ซึ่งเป็นช่องโหว่ในการตรวจสอบความถูกต้องของ DNSSEC ซึ่งทำให้ Hacker สามารถใช้ประโยชน์จาก standard DNSSEC protocol ที่มีจุดประสงค์เพื่อความสมบูรณ์ของ DNS โดยการใช้ resources ที่มากเกินไปบน resolver ทำให้เกิด denial of service(DoS) กับผู้ใช้งาน

โดยช่องโหว่ดังกล่าวถูกเปิดเผยมาก่อนหน้านี้ในเดือนกุมภาพันธ์ 2024 และได้รับการแก้ไขไปแล้วใน DNS อื่น ๆ เช่น BIND, PowerDNS, Unbound, Knot Resolver และ Dnsmasq

นอกจากนี้ Patch Tuesday ประจำเดือนมิถุนายน 2024 ยังมีการแก้ไขช่องโหว่อื่น ๆ ที่น่าสนใจ ได้แก่ ช่องโหว่การเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกลของ Microsoft Office หลายรายการ รวมถึง Microsoft Outlook RCEs ที่สามารถใช้ประโยชน์ได้จากช่องโหว่ใน preview pane รวมถึงช่องโหว่ในการยกระดับสิทธิ์ Windows Kernel 7 รายการที่อาจทำให้ Hacker ที่เข้าถึงเครื่องได้ ได้รับสิทธิ์ SYSTEM

การแก้ไขช่องโหว่ของบริษัทอื่น ๆ

นอกจากนี้ยังมีการออกแพตซ์แก้ไขช่องโหว่ของบริษัทอื่น ๆ ในเดือนมิถุนายน 2024 ได้แก่ :

Apple แก้ไขช่องโหว่ด้านความปลอดภัย 21 รายการในรุ่น VisionOS 1.2
ARM แก้ไขช่องโหว่ที่ถูกโจมตีอย่างต่อเนื่องใน Mali GPU kernel drivers
Cisco แก้ไขช่องโหว่ความปลอดภัยสำหรับ Cisco Finesse และ Webex
Cox แก้ไขช่องโหว่ API auth bypass ที่ส่งผลกระทบต่อ modem หลายล้านอุปกรณ์
F5 อัปเดตความปลอดภัยสำหรับช่องโหว่ BIG-IP Next Central Manager API ที่มีระดับความรุนแรงสูง 2 รายการ
PHP แก้ไขช่องโหว่ RCE ระดับ Critical ซึ่งกำลังถูกใช้ในการโจมตีด้วยแรนซัมแวร์
TikTok แก้ไขช่องโหว่ Zero-day และ Zero-Click ที่ถูกโจมตีในฟีเจอร์ Direct Message
VMware แก้ไขช่องโหว่ Zero-day 3 รายการ ที่ถูกโจมตีที่ Pwn2Own 2024
Zyxel ออกอัปเดตแก้ไขช่องโหว่ RCE ฉุกเฉินสำหรับอุปกรณ์ NAS ที่หมดอายุการใช้งานไปแล้ว (EoL)

ที่มา : www.

Check Point แก้ไขช่องโหว่ Zero-Day ของ VPN ที่กำลังถูกใช้ในการโจมตี

Check Point ออกแพตซ์อัปเดตเพื่อแก้ไขช่องโหว่ Zero-Day ของ VPN ที่กำลังถูกใช้ในการโจมตีเพื่อเข้าถึงไฟร์วอลล์จากระยะไกล และพยายามเข้าถึงเครือข่ายของเป้าหมาย

โดยก่อนหน้านี้ทาง Check Point ได้แจ้งเตือนการพบการโจมตีซึ่งมุ่งเป้าหมายไปยังอุปกรณ์ VPN ที่สูงขึ้นอย่างมีนัยสำคัญ และได้เผยแพร่คำแนะนำในการป้องกัน ต่อมาทาง Check Point ได้ค้นพบสาเหตุของปัญหาดังกล่าว ซึ่งเป็นช่องโหว่ Zero-Day ที่กำลังถูกใช้โดย Hacker เพื่อโจมตีเป้าหมาย

CVE-2024-24919 (คะแนน CVSS 8.6/10 ความรุนแรงระดับ High) ช่องโหว่ information disclosure ที่ทำให้ Hacker สามารถอ่านข้อมูลบน Check Point Security Gateways ที่เข้าถึงได้จากอินเทอร์เน็ต ที่มีการเปิดใช้งาน VPN หรือ Mobile Access Software Blades ซึ่งส่งผลกระทบต่ออุปกรณ์ CloudGuard Network, Quantum Maestro, Quantum Scalable Chassis, Quantum Security Gateways, และ Quantum Spark Appliancesในเวอร์ชัน R80.20.x, R80.20SP (EOL), R80.40 (EOL), R81, R81.10, R81.10.x และ R81.20

ทั้งนี้ทาง Check Point ได้ออกอัปเดตแพตซ์เพื่อแก้ไขช่องโหว่ดังกล่าวแล้ว ในเวอร์ชันดังต่อไปนี้ :
**

Quantum Security Gateway and CloudGuard Network Security: R81.20, R81.10, R81, R80.40

Quantum Maestro and Quantum Scalable Chassis: R81.20, R81.10, R80.40, R80.30SP, R80.20SP

Quantum Spark Gateways: R81.10.x, R80.20.x, R77.20.x

หากผู้ดูแลระบบต้องการอัปเดตด้วยตนเอง สามารถเข้าไปที่ Security Gateway > Software Updates > Available Updates > Hotfix Updates และคลิก 'Install' โดยจะใช้เวลาในการดำเนินงานประมาณ 10 นาที และจำเป็นต้องทำการ reboot อุปกรณ์

หลังจากที่ทำการอัปเดตแล้ว การพยายามโจมตีเพื่อเข้าสู่ระบบโดยใช้ข้อมูล weak credentials จะถูกบล็อคโดยอัตโนมัติ และถูก logging ในระบบ ซึ่งการอัปเดตดังกล่าวครอบคลุมถึงเวอร์ชันที่ end-of-life (EOL) ไปแล้ว

ทั้งนี้ผู้ดูแลระบบที่ยังไม่สามารถทำการอัปเดตได้ ควรปรับปรุงด้านความปลอดภัยโดยการอัปเดตรหัสผ่าน Active Directory (AD) ที่ Security Gateway ใช้สำหรับการตรวจสอบสิทธิ์

รวมถึง Check Point ได้สร้างสคริปต์ สำหรับตรวจสอบการเข้าถึงระยะไกลที่สามารถอัปโหลดไปยัง 'SmartConsole' และดำเนินการเพื่อตรวจสอบผลลัพธ์ และวิธีการดำเนินการที่เหมาะสม

ที่มา : bleepingcomputer

Google Chrome ปล่อยอัปเดตฉุกเฉินเพื่อแก้ไขช่องโหว่ Zero-day ครั้งที่ 6 ในปี 2024

Google ออกแพตซ์อัปเดตความปลอดภัยฉุกเฉินสำหรับเบราว์เซอร์ Chrome เพื่อแก้ไขช่องโหว่ Zero-day ที่มีระดับความรุนแรงสูงซึ่งกำลังถูกนำมาใช้ในการโจมตี

(more…)

ช่องโหว่ Zero-day RCE ในฟีเจอร์ Share ของ QNAP QTS กำลังถูกนำมาใช้ในการโจมตี

ผลลัพธ์จากการตรวจสอบด้านความปลอดภัยทั้งหมดของ QNAP QTS ซึ่งเป็นระบบปฏิบัติการสำหรับผลิตภัณฑ์ NAS ของบริษัท QNAP พบว่ามีช่องโหว่ 15 รายการที่มีระดับความรุนแรงแตกต่างกัน โดยมีช่องโหว่ 11 รายการที่ยังไม่ได้รับการแก้ไข

หนึ่งในนั้นคือ CVE-2024-27130 ซึ่งเป็นช่องโหว่ stack buffer overflow ในฟังก์ชัน 'No_Support_ACL' ของ 'share.

Apple แก้ไขช่องโหว่ Zero-Day ที่กำลังถูกใช้ในการโจมตี iPhone รุ่นเก่า

Apple ออกแพตช์อัปเดตด้านความปลอดภัยสำหรับช่องโหว่ Zero-Day ที่ถูกพบในเดือนมีนาคม 2024 ใน iPhone และ iPad รุ่นเก่า โดยแจ้งว่าช่องโหว่ดังกล่าวอาจกำลังถูกนำไปใช้ในการโจมตี

CVE-2024-23296 หรือช่องโหว่ RTKit เป็นช่องโหว่จากปัญหา memory corruption ใน Apple's RTKit real-time operating system ทำให้สามารถอ่าน และเขียน kernel ได้ รวมถึงสามารถหลีกเลี่ยงการตรวจจับของ kernel memory protection ทั้งนี้ทาง Apple ยังไม่ได้ระบุว่าช่องโหว่ดังกล่าวเป็นการค้นพบของนักวิจัยด้านความปลอดภัย

โดย Apple ได้ออกแพตซ์อัปเดตเพื่อแก้ไขช่องโหว่ดังกล่าวแล้วใน iOS 16.7.8, iPadOS 16.7.8 และ macOS Ventura 13.6.7 พร้อม input validation ที่ได้รับการปรับปรุงบนอุปกรณ์ iPhone 8, iPhone 8 Plus, iPhone X, iPad รุ่นที่ 5, iPad Pro 9.7 นิ้ว และ iPad Pro 12.9 นิ้ว รุ่นที่ 1

โดยก่อนหน้านี้ในเดือนมีนาคม 2024 ทาง Apple ได้ออกอัปเดตเพื่อแก้ไขช่องโหว่ดังกล่าว สำหรับ iPhone, iPad และ Mac รุ่นใหม่ไปแล้ว

ช่องโหว่ Zero-Day 3 รายการที่ถูกแก้ไขในปี 2024

Apple ยังไม่เปิดเผยว่าใครเป็นผู้คนพบช่องโหว่ รวมถึงไม่ได้ให้ข้อมูลที่เกี่ยวข้องกับลักษณะการโจมตีช่องโหว่ แต่ช่องโหว่ Zero-Day ที่พบใน iOS มักถูกใช้ในการโจมตีแบบ spyware ที่คาดว่าได้รับการสนับสนุนจากรัฐบาล โดยกำหนดเป้าหมายไปที่บุคคลที่มีความเสี่ยงสูง รวมถึงนักข่าว ผู้เห็นต่างทางการเมือง และนักการเมืองฝ่ายค้าน

โดยตั้งแต่ต้นปี 2024 Apple ได้แก้ไขช่องโหว่ 3 รายการ ได้แก่ CVE- 2024-23222 ในเดือนมกราคม 2024, CVE-2024-23225 และ CVE-2024-23296 ในเดือนมีนาคม 2024

รวมถึงออกอัปเดตเพื่อแก้ไขช่องโหว่บนอุปกรณ์รุ่นเก่าสำหรับ WebKit Zero-Day จำนวน 2 รายการ (CVE-2023-42916 และ CVE-2023-42917) ในเดือนมกราคม 2023

แม้ว่าช่องโหว่ดังกล่าวจะส่งผลกระทบต่อเป้าหมายเฉพาะกลุ่ม แต่ผู้ใช้งานก็ควรที่จะทำการอัปเดตให้เร็วที่สุด เพื่อป้องกันการโจมตีที่อาจเกิดขึ้นหากใช้ iPhone หรือ iPad รุ่นเก่า

นอกจากนี้ ในการอัปเดต iOS 17.5 ทาง Apple ได้เพิ่มการแจ้งเตือน tracking alerts ที่ไม่ต้องการ (Google เปิดตัวความสามารถเดียวกันนี้บนอุปกรณ์ Android 6.0+ ) ซึ่งการแจ้งเตือนเหล่านี้จะแจ้งเตือนผู้ใช้ หากมีการใช้อุปกรณ์ Bluetooth tracking (AirTag, อุปกรณ์เสริม Find My หรือ Bluetooth tracker เพื่อติดตามตำแหน่งของผู้ใช้งาน)

ที่มา : bleepingcomputer

CrushFTP แจ้งเตือนผู้ใช้งานเร่งอัปเดตแพตซ์ช่องโหว่ Zero-day โดยด่วน

CrushFTP แจ้งเตือนผู้ใช้งานให้เร่งอัปเดตแพตซ์เพื่อแก้ไขช่องโหว่ Zero-day หมายเลข CVE-2024-4040 ซึ่งเป็นช่องโหว่ Sandbox Escape ของ CrushFTP VFS โดยด่วน หลังจากพบว่ากลุ่ม Hacker กำลังใช้ช่องโหว่ดังกล่าวในการโจมตีเป้าหมาย

CVE-2024-4040 (คะแนน CVSS 9.8 ความรุนแรงระดับ Critical) เป็นช่องโหว่ที่ทำให้ Hacker ที่ไม่จำเป็นต้องผ่านการยืนยันตัวตน สามารถเข้าถึง virtual file system (VFS) ของผู้ใช้ และดาวน์โหลดไฟล์ระบบได้

อย่างไรก็ตามผู้ที่ใช้เครือข่าย DMZ (demilitarized zone) ในหน้าหลักของ CrushFTP instance จะได้รับการป้องกันจากการโจมตี โดยช่องโหว่ดังกล่าวถูกการรายงานโดย Simon Garrelou จาก Airbus CERT ซึ่งขณะนี้ได้รับการแก้ไขช่องโหว่ไปแล้วใน CrushFTP เวอร์ชัน 10.7.1 และ 11.1.0

CrushFTP ได้แจ้งเตือนให้ผู้ใช้งาน CrushFTP เวอร์ชัน 9 ทำการอัปเดตเป็น CrushFTP เวอร์ชัน11 หรืออัปเดต instance ผ่านหน้า dashboard โดยด่วนหลังจากที่พบว่าช่องโหว่ดังกล่าวกำลังถูก Hacker นำไปใช้ในการโจมตีแล้ว

รวมถึงจากข้อมูลของ Shodan พบว่ามี CrushFTP instance อย่างน้อย 2,700 รายการ ที่มี web interface ที่สามารถถูกโจมตีทางออนไลน์ได้ แต่ยังไม่สามารถที่จะระบุได้ว่ามีกี่รายการที่ยังไม่ได้อัปเดตแพตซ์ช่องโหว่

การโจมตีช่องโหว่ CVE-2024-4040

CrowdStrike บริษัทรักษาความปลอดภัยทางไซเบอร์ ได้ยืนยันการพบการโจมตีช่องโหว่ดังกล่าวในรายงานข่าวกรอง พร้อมข้อมูลเพิ่มเติมเกี่ยวกับกลยุทธ์ เทคนิค และวัตถุประสงค์ (TTP) ของ Hacker

ทั้งนี้ทางทีม Falcon OverWatch และ Falcon Intelligence พบว่า Hacker ได้นำช่องโหว่ Zero-Day ใน CrushFTP ไปใช้ในการโจมตีแบบกำหนดเป้าหมายไปที่ CrushFTP servers ที่องค์กรหลายแห่งในสหรัฐฯ และมีหลักฐานว่าเป็นแคมเปญที่ใช้สำหรับรวบรวมข่าวกรองทางด้านการเมือง

ในเดือนพฤศจิกายน 2023 ลูกค้า CrushFTP ได้รับคำเตือนให้แก้ไขช่องโหว่การเรียกใช้คำสั่งที่เป็นอันตรายจากระยะไกล (CVE-2023-43177) หลังจากที่นักวิจัยด้านความปลอดภัยของ Converge ที่รายงานช่องโหว่ดังกล่าวได้เผยแพร่ชุดสาธิตการโจมตี หรือ PoC ออกมา

ที่มา : bleepingcomputer.

Palo Alto Networks ออก Hotfix แก้ไขช่องโหว่ Zero-day บนไฟร์วอลล์

Palo Alto Networks เริ่มออก hotfixes เพื่อแก้ไขช่องโหว่ Zero-day ที่กำลังถูกใช้ในการโจมตีมาตั้งแต่วันที่ 26 มีนาคม 2024 เพื่อติดตั้งแบ็คดอร์บน PAN-OS ไฟร์วอลล์

ช่องโหว่ดังกล่าว (CVE-2024-3400) มีระดับความรุนแรงสูงสุด (CVSSv3: 10.0) ส่งผลต่อไฟร์วอลล์ PAN-OS 10.2, PAN-OS 11.0 และ PAN-OS 11.1 ที่เปิดใช้งาน telemetry และ GlobalProtect (เกตเวย์ หรือพอร์ทัล)

โดยผู้โจมตีที่ไม่จำเป็นต้องผ่านการยืนยันตัวตน สามารถใช้ประโยชน์จากช่องโหว่เพื่อเรียกใช้โค้ดที่เป็นอันตรายด้วยสิทธิ์ root ผ่าน command injection โดยไม่จำเป็นต้องมีการโต้ตอบจากผู้ใช้

ปัจจุบัน Palo Alto ได้แก้ไขช่องโหว่ดังกล่าวด้วย hotfix ที่ออกสำหรับ PAN-OS 10.2.9-h1, PAN-OS 11.0.4-h1 และ PAN-OS 11.1.2-h3 โดย hotfixes อื่น ๆ เพิ่มเติมจะถูกเผยแพร่สำหรับ PAN-OS เวอร์ชันถัด ๆ ไปในอีกไม่กี่วันข้างหน้า

ตามคำแนะนำของ Palo Alto Networks อุปกรณ์ Cloud NGFW, อุปกรณ์ Panorama และ Prisma Access จะไม่ได้รับผลกระทบจากช่องโหว่นี้

ผู้ดูแลระบบที่ยังไม่สามารถอัปเดตได้ในทันที สามารถปิดใช้งานฟีเจอร์ device telemetry บนอุปกรณ์ที่มีช่องโหว่จนกว่าจะสามารถอัปเดตแพตซ์ได้ หากอุปกรณ์มีการใช้งาน 'Threat Prevention' สามารถบล็อกการโจมตีได้ด้วยการเปิดใช้งาน 'Threat ID 95187'

คำเตือนของ Palo Alto Networks เกี่ยวกับการโจมตี ได้รับการยืนยันโดยบริษัทรักษาความปลอดภัย Volexity ซึ่งเป็นผู้ค้นพบช่องโหว่ และตรวจพบผู้โจมตีที่ใช้มันเพื่อติดตั้งแบ็คดอร์บน PAN-OS โดยใช้มัลแวร์ Upstyle ในการโจมตีเครือข่าย และขโมยข้อมูล

Volexity กำลังติดตามพฤติกรรมดังกล่าวภายใต้ชื่อผู้โจมตี UTA0218 และคาดว่าผู้โจมตีเป็นกลุ่มที่ได้รับการสนับสนุนจากรัฐ ซึ่งมีแนวโน้มที่จะอยู่เบื้องหลังการโจมตีที่กำลังดำเนินอยู่เหล่านี้

นักวิจัยด้านภัยคุกคาม ยูทากะ เซจิยามะ เปิดเผยเมื่อวันศุกร์ที่ผ่านมาว่าพบอุปกรณ์ PAN-OS มากกว่า 82,000 เครื่องที่เปิดให้เข้าถึงได้บนอินเทอร์เน็ต และเสี่ยงต่อการโจมตีจากช่องโหว่ CVE-2024-34000 โดย 40% อยู่ในสหรัฐอเมริกา

CISA ได้เพิ่ม CVE-2024-3400 ลงในแค็ตตาล็อก Known Exploited Vulnerabilities (KEV) โดยสั่งให้หน่วยงานของรัฐบาลกลางจัดการด้านความปลอดภัยอุปกรณ์ของตน โดยใช้ mitigation rule หรือปิดใช้งาน telemetry ภายในหนึ่งสัปดาห์ หรือภายในวันที่ 19 เมษายน 2024

ที่มา : https://www.

Palo Alto Networks ออก Hotfix แก้ไขช่องโหว่ Zero-day บนไฟร์วอลล์

Palo Alto Networks เริ่มออก hotfixes เพื่อแก้ไขช่องโหว่ Zero-day ที่กำลังถูกใช้ในการโจมตีมาตั้งแต่วันที่ 26 มีนาคม 2024 เพื่อติดตั้งแบ็คดอร์บน PAN-OS ไฟร์วอลล์

ช่องโหว่ดังกล่าว (CVE-2024-3400) มีระดับความรุนแรงสูงสุด (CVSSv3: 10.0) ส่งผลต่อไฟร์วอลล์ PAN-OS 10.2, PAN-OS 11.0 และ PAN-OS 11.1 ที่เปิดใช้งาน telemetry และ GlobalProtect (เกตเวย์ หรือพอร์ทัล)

โดยผู้โจมตีที่ไม่จำเป็นต้องผ่านการยืนยันตัวตน สามารถใช้ประโยชน์จากช่องโหว่เพื่อเรียกใช้โค้ดที่เป็นอันตรายด้วยสิทธิ์ root ผ่าน command injection โดยไม่จำเป็นต้องมีการโต้ตอบจากผู้ใช้

ปัจจุบัน Palo Alto ได้แก้ไขช่องโหว่ดังกล่าวด้วย hotfix ที่ออกสำหรับ PAN-OS 10.2.9-h1, PAN-OS 11.0.4-h1 และ PAN-OS 11.1.2-h3 โดย hotfixes อื่น ๆ เพิ่มเติมจะถูกเผยแพร่สำหรับ PAN-OS เวอร์ชันถัด ๆ ไปในอีกไม่กี่วันข้างหน้า

ตามคำแนะนำของ Palo Alto Networks อุปกรณ์ Cloud NGFW, อุปกรณ์ Panorama และ Prisma Access จะไม่ได้รับผลกระทบจากช่องโหว่นี้

ผู้ดูแลระบบที่ยังไม่สามารถอัปเดตได้ในทันที สามารถปิดใช้งานฟีเจอร์ device telemetry บนอุปกรณ์ที่มีช่องโหว่จนกว่าจะสามารถอัปเดตแพตซ์ได้ หากอุปกรณ์มีการใช้งาน 'Threat Prevention' สามารถบล็อกการโจมตีได้ด้วยการเปิดใช้งาน 'Threat ID 95187'

คำเตือนของ Palo Alto Networks เกี่ยวกับการโจมตี ได้รับการยืนยันโดยบริษัทรักษาความปลอดภัย Volexity ซึ่งเป็นผู้ค้นพบช่องโหว่ และตรวจพบผู้โจมตีที่ใช้มันเพื่อติดตั้งแบ็คดอร์บน PAN-OS โดยใช้มัลแวร์ Upstyle ในการโจมตีเครือข่าย และขโมยข้อมูล

Volexity กำลังติดตามพฤติกรรมดังกล่าวภายใต้ชื่อผู้โจมตี UTA0218 และคาดว่าผู้โจมตีเป็นกลุ่มที่ได้รับการสนับสนุนจากรัฐ ซึ่งมีแนวโน้มที่จะอยู่เบื้องหลังการโจมตีที่กำลังดำเนินอยู่เหล่านี้

นักวิจัยด้านภัยคุกคาม ยูทากะ เซจิยามะ เปิดเผยเมื่อวันศุกร์ที่ผ่านมาว่าพบอุปกรณ์ PAN-OS มากกว่า 82,000 เครื่องที่เปิดให้เข้าถึงได้บนอินเทอร์เน็ต และเสี่ยงต่อการโจมตีจากช่องโหว่ CVE-2024-34000 โดย 40% อยู่ในสหรัฐอเมริกา

CISA ได้เพิ่ม CVE-2024-3400 ลงในแค็ตตาล็อก Known Exploited Vulnerabilities (KEV) โดยสั่งให้หน่วยงานของรัฐบาลกลางจัดการด้านความปลอดภัยอุปกรณ์ของตน โดยใช้ mitigation rule หรือปิดใช้งาน telemetry ภายในหนึ่งสัปดาห์ หรือภายในวันที่ 19 เมษายน 2024

ที่มา : https://www.

Exploit สำหรับช่องโหว่ Zero Day บน Palo Alto PAN-OS ถูกปล่อยออกสู่สาธารณะ อัปเดตแพตซ์ด่วน!

Exploit code สำหรับการโจมตีช่องโหว่ระดับความรุนแรงสูงสุด (CVE-2024-3400, CVSSv3: 10.0) ใน PAN-OS ไฟร์วอลล์ของ Palo Alto Networks ถูกปล่อยออกสู่สาธารณะเรียบร้อยแล้ว

โดยช่องโหว่นี้สามารถทำให้ผู้โจมตีที่ไม่จำเป็นต้องผ่านการยืนยันตัวตน สามารถใช้ประโยชน์จากช่องโหว่เพื่อเรียกใช้โค้ดที่เป็นอันตรายด้วยสิทธิ์ root ผ่าน command injection บนไฟร์วอลล์ PAN-OS 10.2, PAN-OS 11.0 และ PAN-OS 11.1 ที่มีช่องโหว่ หากอุปกรณ์ดังกล่าวเปิดใช้งาน telemetry และ GlobalProtect (เกตเวย์ หรือพอร์ทัล)

ในขณะที่ Palo Alto Networks ได้เริ่มปล่อย hotfixes ในวันจันทร์ที่ผ่านมา เพื่อแก้ไขช่องโหว่ที่คาดว่ากำลังถูกใช้ในการโจมตีมาตั้งแต่วันที่ 26 มีนาคม รวมถึงการติดตั้งแบ็คดอร์ Upstyleเพื่อใช้ในการโจมตีต่อไปยังภายในเครือข่าย และขโมยข้อมูล โดยกลุ่มผู้โจมตีที่คาดว่าได้รับการสนับสนุนจากรัฐบาลในชื่อ UTA0218

Shadowserver แพลตฟอร์มตรวจสอบภัยคุกคามความปลอดภัยระบุว่า พบอินสแตนซ์ไฟร์วอลล์ PAN-OS มากกว่า 156,000 รายการบนอินเทอร์เน็ต อย่างไรก็ตามยังไม่ได้ให้ข้อมูลว่าในจำนวนี้มีความเสี่ยงจากการโจมตีโดยช่องโหว่ดังกล่าวจำนวนเท่าใด

เมื่อวันศุกร์ที่ผ่านมา ยูทากะ เซจิยามะ เปิดเผยว่าพบอุปกรณ์ PAN-OS มากกว่า 82,000 ระบบที่เปิดให้เข้าถึงได้บนอินเทอร์เน็ต และเสี่ยงต่อการโจมตีจากช่องโหว่ CVE-2024-34000 โดย 40% อยู่ในสหรัฐอเมริกา (ประเทศไทยราว ๆ 907 ระบบ อ้างอิงจาก https://twitter.

พบช่องโหว่ Zero-Day การเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกลบน Paloalto GlobalProtect

พบช่องโหว่ Zero-Day การเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกลบน Paloalto GlobalProtect

เมื่อวันที่ 10 เมษายน 2024 Volexity ตรวจพบการโจมตีโดยใช้ช่องโหว่ Zero-Day ของ GlobalProtect ซึ่งเป็นฟีเจอร์หนึ่งของ Palo Alto Networks PAN-OS จากหนึ่งในลูกค้าของพวกเขา โดย Volexity พบการแจ้งเตือนที่น่าสงสัยบนเครือข่าย ซึ่งมาจากไฟร์วอลล์ของลูกค้า

จากการตรวจสอบเพิ่มเติมพบว่าอุปกรณ์ดังกล่าวน่าจะถูก compromised ไปเรียบร้อยแล้ว วันถัดมาวันที่ 11 เมษายน 2024 Volexity พบการโจมตีโดยใช้งานช่องโหว่เดียวกันนี้กับลูกค้ารายอื่นของพวกเขา โดยมาจากผู้โจมตีรายเดียวกัน ผู้โจมตีซึ่ง Volexity เรียกว่า UTA0218 สามารถโจมตีช่องโหว่บนอุปกรณ์ไฟร์วอลล์จากระยะไกลได้ โดยพบการสร้าง reverse shell และดาวน์โหลดเครื่องมืออื่น ๆ ลงบนอุปกรณ์

(more…)