Mandiant พบช่องโหว่ใหม่ใน Fortinet ซึ่งกำลังถูกใช้ในการโจมตีมาตั้งแต่เดือนมิถุนายน

รายงานจาก Mandiant ระบุว่า ช่องโหว่ใหม่ใน Fortinet FortiManager ที่เรียกว่า FortiJump และมีหมายเลข CVE-2024-47575 กำลังถูกใช้ในการโจมตีแบบ zero-day มาตั้งแต่เดือนมิถุนายน 2024 โดยใช้โจมตีเป้าหมายที่เป็นเซิร์ฟเวอร์กว่า 50 เครื่อง

ในช่วง 10 วันที่ผ่านมา มีข่าวลือเกี่ยวกับการโจมตีแบบ zero-day ของ FortiManager ที่กำลังถูกโจมตีอย่างต่อเนื่อง ซึ่งเกิดขึ้นหลังจากที่ Fortinet ได้แจ้งเตือนไปยังลูกค้าแบบส่วนตัว โดยเป็นการแจ้งเตือนด้านความปลอดภัยล่วงหน้า

วันนี้ Fortinet ได้เปิดเผยช่องโหว่ของ FortiManager โดยระบุว่าเป็นช่องโหว่ missing authentication flaw ใน API ของ "FortiGate to FortiManager Protocol" (FGFM) ที่ Fortinet สร้างขึ้น ซึ่งจะทำให้ผู้โจมตีที่ไม่ได้ผ่านการยืนยันตัวตนสามารถใช้คำสั่งตามที่ต้องการบนเซิร์ฟเวอร์ และสามารถควบคุมอุปกรณ์ FortiGate ได้

กลุ่มผู้โจมตีจะสามารถใช้ประโยชน์จากช่องโหว่นี้ได้ โดยการใช้ FortiManager และ FortiGate ที่ถูกควบคุมโดยผู้โจมตี และมี certificates ที่ถูกต้อง เพื่อใช้ในการลงทะเบียนกับเซิร์ฟเวอร์ FortiManager ที่ถูกเปิดเผยได้

เมื่ออุปกรณ์ของพวกเขาเชื่อมต่อแล้ว แม้ว่าจะอยู่ในสถานะที่ไม่ได้รับอนุญาต พวกเขาก็สามารถใช้ช่องโหว่นี้เพื่อเรียกใช้คำสั่ง API บน FortiManager และขโมยข้อมูลการตั้งค่าของอุปกรณ์ได้

Fortinet ได้ออกแพตช์สำหรับ CVE-2024-47575 และเสนอวิธีการลดความเสี่ยง เช่น อนุญาตเฉพาะบาง IP address ที่มีความจำเป็นเท่านั้นให้สามารถเชื่อมต่อได้ หรือการป้องกันไม่ให้อุปกรณ์ FortiGate ที่ไม่รู้จักลงทะเบียนโดยใช้คำสั่ง fgfm-deny-unknown enable

ช่องโหว่ถูกใช้โจมตีแบบ zero-day มาตั้งแต่เดือนมิถุนายน

Mandiant ระบุว่า กลุ่มผู้โจมตีชื่อว่า UNC5820 ได้เริ่มโจมตีอุปกรณ์ FortiManager ตั้งแต่วันที่ 27 มิถุนายน 2024

ตามรายงานจาก Mandiant ระบุว่ากลุ่ม UNC5820 ได้จัดเก็บ และขโมยข้อมูลการตั้งค่าของอุปกรณ์ FortiGate ที่มีการควบคุมโดย FortiManager ที่ถูกโจมตี

ข้อมูลนี้ประกอบด้วยรายละเอียดการตั้งค่าของอุปกรณ์ที่ถูกควบคุมโดย FortiManager รวมถึงผู้ใช้ และรหัสผ่านที่ถูกแฮชด้วย FortiOS256

ข้อมูลเหล่านี้อาจถูกใช้โดยกลุ่ม UNC5820 เพื่อใช้โจมตี FortiManager เพิ่มเติม และแพร่กระจายมัลแวร์ไปยังอุปกรณ์ Fortinet ที่อยู่ในการควบคุม และสุดท้ายก็โจมตีเข้าไปยัง environment ขององค์กร

การโจมตีครั้งแรกที่ถูกตรวจพบมาจาก IP 45[.]32[.]41[.]202 ซึ่งผู้โจมตีได้ลงทะเบียนไว้ใน FortiManager-VM ที่ไม่ได้รับอนุญาตจากเซิร์ฟเวอร์ FortiManager ที่ถูกเปิดเผย

อุปกรณ์นี้ถูกระบุชื่อว่า "localhost" และใช้ Serial Number "FMG-VMTM23017412" ดังที่แสดงด้านล่าง

จากการโจมตีครั้งนี้ Mandiant ระบุว่ามีการสร้างไฟล์ 4 ไฟล์ ได้แก่

/tmp/.tm เป็นไฟล์เก็บข้อมูลที่ถูกบีบอัดด้วย gzip ซึ่งประกอบด้วยข้อมูลที่ถูกขโมยเกี่ยวกับอุปกรณ์ FortiGate ที่ถูกควบคุม และข้อมูลเกี่ยวกับเซิร์ฟเวอร์ FortiManager รวมถึงฐานข้อมูลทั่วโลก
/fds/data/unreg_devices.

Google เผย 70% ของการโจมตีทางไซเบอร์ในปี 2023 มาจากช่องโหว่ Zero-Days

นักวิเคราะห์ด้านความปลอดภัยของ Google Mandiant เผยแพร่แนวโน้มใหม่ที่น่ากังวลของกลุ่ม Hacker ที่แสดงให้เห็นถึงความสามารถที่มากขึ้นในการค้นหาช่องโหว่ และการโจมตีช่องโหว่ zero-day ในซอฟต์แวร์

โดยเฉพาะอย่างยิ่งจากช่องโหว่จำนวน 138 รายการที่ถูกเปิดเผยว่าถูกใช้ในการโจมตีในปี 2023 Mandiant ระบุว่ามีช่องโหว่จำนวน 97 รายการ (70.3%) ที่เป็นช่องโหว่ zero-day (more…)

Qualcomm แก้ไขช่องโหว่ Zero-day ที่มีระดับความรุนแรงระดับสูง ที่กำลังถูกใช้ในการโจมตี

Qualcomm ได้เผยแพร่แพตช์ความปลอดภัยสำหรับช่องโหว่ Zero-day ในบริการ Digital Signal Processor (DSP) ซึ่งส่งผลกระทบต่อ chipsets หลายสิบรายการ

CVE-2024-43047 (คะแนน CVSS 7.8/10 ความรุนแรงระดับ High) เป็นช่องโหว่ use-after-free (UAF) ซึ่งสามารถนำไปสู่ความเสียหายของ memory ได้เมื่อผู้โจมตีที่สามารถเข้าถึงระบบในระดับ local ด้วยสิทธิ์ต่ำ สามารถทำการโจมตีได้สำเร็จ ถูกรายงานโดย Seth Jenkins จาก Google Project Zero และ Conghui Wang จาก Amnesty International Security Lab (more…)

พบช่องโหว่ “spaces” ในอักษรเบรลล์ของ Windows กำลังถูกนำมาใช้ในการโจมตีแบบ Zero-Day attack

พบช่องโหว่ Windows MSHTML spoofing หมายเลข CVE-2024-43461 กำลังถูกกลุ่ม APT Void Banshee นำไปใช้ในการโจมตีแบบ Zero-Day attack (more…)

Adobe แก้ไขช่องโหว่ Zero-Day ใน Acrobat Reader ที่มี POC ออกมาแล้ว

นักวิจัยความปลอดภัยทางไซเบอร์แนะนำให้ผู้ใช้ทำการอัปเกรด Adobe Acrobat Reader หลังจากเมื่อวันที่ 10 กันยายน 2024 มีการออกแพตช์แก้ไขช่องโหว่ zero-day ในการเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกล พร้อมกันกับการพบ proof-of-concept exploit (POC)

ช่องโหว่ดังกล่าวมีหมายเลข CVE-2024-41869 ระดับ Critical โดยเป็นช่องโหว่ที่ทำให้สามารถเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกลได้ เมื่อเปิดไฟล์ PDF ที่ถูกสร้างขึ้นมาเป็นพิเศษ

หลังจากเปิดไฟล์แล้ว อาจจะเกิด bug "use after free" บางอย่าง เมื่อโปรแกรมพยายามเข้าถึงข้อมูลภายในหน่วยความจำที่ไม่ได้มีการตรวจสอบ ซึ่งทำให้เกิดพฤติกรรมผิดปกติ เช่น โปรแกรมหยุดทำงาน หรือค้าง

อย่างไรก็ตาม หากผู้โจมตีสามารถทำการจัดเก็บโค้ดที่เป็นอันตรายไว้ในตำแหน่งหน่วยความจำนั้น และโปรแกรมเข้าถึงโค้ดนั้นในภายหลัง ก็สามารถใช้เพื่อรันโค้ดที่เป็นอันตรายบนอุปกรณ์เป้าหมายได้

ช่องโหว่หมายเลข CVE-2024-41869 ได้รับการแก้ไขแล้วใน Acrobat Reader และ Adobe Acrobat เวอร์ชันล่าสุด

PoC exploit ถูกพบในเดือนมิถุนายน

ช่องโหว่ Zero-day ของ Acrobat Reader ถูกค้นพบโดย EXPMON ในเดือนมิถุนายนผ่านมา ซึ่งเป็นแพลตฟอร์มในรูปแบบ sandbox ที่สร้างขึ้นโดยนักวิจัยความปลอดภัยทางไซเบอร์ Haifei Li เพื่อตรวจจับช่องโหว่ที่มีระดับความรุนแรงสูง เช่น zero-day หรือช่องโหว่ที่อาจตรวจจับได้ยาก

โดย Haifei Li ระบุกับ BleepingComputer ว่าได้สร้าง EXPMON ขึ้นมาเพราะสังเกตเห็นว่าไม่มีระบบการตรวจจับ และวิเคราะห์โดยใช้ sandbox-based ที่มุ่งเน้นการตรวจจับภัยคุกคามจากมุมมองของช่องโหว่ หรือช่องโหว่โดยเฉพาะ

ระบบอื่น ๆ จะตรวจจับจากรูปแบบของมัลแวร์ ซึ่งการตรวจจับแบบ exploit หรือ vulnerability perspective มีความจำเป็นอย่างยิ่งหากต้องการตรวจจับการโจมตีในระดับสูง (หรือในระยะเริ่มต้น)

ตัวอย่างเช่น หากไม่มีมัลแวร์ที่ถูก dropped หรือถูกเรียกใช้เนื่องจากเงื่อนไขบางอย่าง และการโจมตีไม่ได้มีการใช้มัลแวร์เลย ระบบเหล่านั้นจะไม่สามารถตรวจจับการโจมตีเหล่านี้ได้ ซึ่งช่องโหว่มีการทำงานที่ต่างจากมัลแวร์มาก ดังนั้นจึงต้องใช้วิธีอื่นในการตรวจจับช่องโหว่เหล่านี้

ช่องโหว่แบบ Zero-day ถูกค้นพบหลังจากมีการส่งตัวอย่างจำนวนมากจากแหล่งข้อมูลสาธารณะไปยัง EXPMON เพื่อทำการวิเคราะห์ ตัวอย่างเหล่านี้ รวมถึง PDF proof-of-concept ซึ่งส่งผลทำให้ระบบหยุดทำงานดังกล่าว

แม้ว่าการโจมตีอาจจะยังอยู่ในระหว่างการทดสอบ และยังไม่มี malicious payloads ที่เป็นอันตราย แต่ก็มีการยืนยันออกมาว่าสามารถใช้ประโยชน์จากช่องโหว่นี้ในการโจมตีได้ ซึ่งอาจเป็นการโจมตีแบบการเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกล

หลังจากที่ Haifei Li เปิดเผยช่องโหว่ดังกล่าวกับทาง Adobe ก็ได้มีการการอัปเดตแก้ไขช่องโหว่ในเดือนสิงหาคม อย่างไรก็ตามการอัปเดตไม่ได้แก้ไขช่องโหว่ดังกล่าว และยังคงสามารถเรียกใช้งานได้อยู่หลังจากมีการปิด dialogs ต่าง ๆ

บัญชี EXPMON ใน X ระบุว่าได้มีการทดสอบตัวอย่าง (ที่เหมือนกันทุกประการ) บน Adobe Reader เวอร์ชันที่แก้ไขแล้ว โดยยังพบ dialogs อื่น ๆ เพิ่มเติม แต่ถ้าผู้ใช้มีการคลิก หรือปิด dialogs เหล่านั้น แอปก็ยังคงหยุดการทำงานเหมือนเดิม

เมื่อวันที่ 10 กันยายน 2024 ทาง Adobe ได้ออกแพตช์แก้ไขช่องโหว่หมายเลข CVE-2024-41869 อีกครั้ง

Haifei Li จะเปิดเผยรายละเอียดเกี่ยวกับวิธีการตรวจจับช่องโหว่บน EXPMON blog และข้อมูลทางเทคนิคเพิ่มเติมในรายงานการวิจัยของ Check Point ที่จะออกในเร็ว ๆ นี้

ที่มา : www.

Adobe แก้ไขช่องโหว่ Zero-Day ใน Acrobat Reader ที่มี POC ออกมาแล้ว

นักวิจัยความปลอดภัยทางไซเบอร์แนะนำให้ผู้ใช้ทำการอัปเกรด Adobe Acrobat Reader หลังจากเมื่อวันที่ 10 กันยายน 2024 มีการออกแพตช์แก้ไขช่องโหว่ zero-day ในการเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกล พร้อมกันกับการพบ proof-of-concept exploit (POC)

ช่องโหว่ดังกล่าวมีหมายเลข CVE-2024-41869 ระดับ Critical โดยเป็นช่องโหว่ที่ทำให้สามารถเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกลได้ เมื่อเปิดไฟล์ PDF ที่ถูกสร้างขึ้นมาเป็นพิเศษ

หลังจากเปิดไฟล์แล้ว อาจจะเกิด bug "use after free" บางอย่าง เมื่อโปรแกรมพยายามเข้าถึงข้อมูลภายในหน่วยความจำที่ไม่ได้มีการตรวจสอบ ซึ่งทำให้เกิดพฤติกรรมผิดปกติ เช่น โปรแกรมหยุดทำงาน หรือค้าง

อย่างไรก็ตาม หากผู้โจมตีสามารถทำการจัดเก็บโค้ดที่เป็นอันตรายไว้ในตำแหน่งหน่วยความจำนั้น และโปรแกรมเข้าถึงโค้ดนั้นในภายหลัง ก็สามารถใช้เพื่อรันโค้ดที่เป็นอันตรายบนอุปกรณ์เป้าหมายได้

ช่องโหว่หมายเลข CVE-2024-41869 ได้รับการแก้ไขแล้วใน Acrobat Reader และ Adobe Acrobat เวอร์ชันล่าสุด

PoC exploit ถูกพบในเดือนมิถุนายน

ช่องโหว่ Zero-day ของ Acrobat Reader ถูกค้นพบโดย EXPMON ในเดือนมิถุนายนผ่านมา ซึ่งเป็นแพลตฟอร์มในรูปแบบ sandbox ที่สร้างขึ้นโดยนักวิจัยความปลอดภัยทางไซเบอร์ Haifei Li เพื่อตรวจจับช่องโหว่ที่มีระดับความรุนแรงสูง เช่น zero-day หรือช่องโหว่ที่อาจตรวจจับได้ยาก

โดย Haifei Li ระบุกับ BleepingComputer ว่าได้สร้าง EXPMON ขึ้นมาเพราะสังเกตเห็นว่าไม่มีระบบการตรวจจับ และวิเคราะห์โดยใช้ sandbox-based ที่มุ่งเน้นการตรวจจับภัยคุกคามจากมุมมองของช่องโหว่ หรือช่องโหว่โดยเฉพาะ

ระบบอื่น ๆ จะตรวจจับจากรูปแบบของมัลแวร์ ซึ่งการตรวจจับแบบ exploit หรือ vulnerability perspective มีความจำเป็นอย่างยิ่งหากต้องการตรวจจับการโจมตีในระดับสูง (หรือในระยะเริ่มต้น)

ตัวอย่างเช่น หากไม่มีมัลแวร์ที่ถูก dropped หรือถูกเรียกใช้เนื่องจากเงื่อนไขบางอย่าง และการโจมตีไม่ได้มีการใช้มัลแวร์เลย ระบบเหล่านั้นจะไม่สามารถตรวจจับการโจมตีเหล่านี้ได้ ซึ่งช่องโหว่มีการทำงานที่ต่างจากมัลแวร์มาก ดังนั้นจึงต้องใช้วิธีอื่นในการตรวจจับช่องโหว่เหล่านี้

ช่องโหว่แบบ Zero-day ถูกค้นพบหลังจากมีการส่งตัวอย่างจำนวนมากจากแหล่งข้อมูลสาธารณะไปยัง EXPMON เพื่อทำการวิเคราะห์ ตัวอย่างเหล่านี้ รวมถึง PDF proof-of-concept ซึ่งส่งผลทำให้ระบบหยุดทำงานดังกล่าว

แม้ว่าการโจมตีอาจจะยังอยู่ในระหว่างการทดสอบ และยังไม่มี malicious payloads ที่เป็นอันตราย แต่ก็มีการยืนยันออกมาว่าสามารถใช้ประโยชน์จากช่องโหว่นี้ในการโจมตีได้ ซึ่งอาจเป็นการโจมตีแบบการเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกล

หลังจากที่ Haifei Li เปิดเผยช่องโหว่ดังกล่าวกับทาง Adobe ก็ได้มีการการอัปเดตแก้ไขช่องโหว่ในเดือนสิงหาคม อย่างไรก็ตามการอัปเดตไม่ได้แก้ไขช่องโหว่ดังกล่าว และยังคงสามารถเรียกใช้งานได้อยู่หลังจากมีการปิด dialogs ต่าง ๆ

บัญชี EXPMON ใน X ระบุว่าได้มีการทดสอบตัวอย่าง (ที่เหมือนกันทุกประการ) บน Adobe Reader เวอร์ชันที่แก้ไขแล้ว โดยยังพบ dialogs อื่น ๆ เพิ่มเติม แต่ถ้าผู้ใช้มีการคลิก หรือปิด dialogs เหล่านั้น แอปก็ยังคงหยุดการทำงานเหมือนเดิม

เมื่อวันที่ 10 กันยายน 2024 ทาง Adobe ได้ออกแพตช์แก้ไขช่องโหว่หมายเลข CVE-2024-41869 อีกครั้ง

Haifei Li จะเปิดเผยรายละเอียดเกี่ยวกับวิธีการตรวจจับช่องโหว่บน EXPMON blog และข้อมูลทางเทคนิคเพิ่มเติมในรายงานการวิจัยของ Check Point ที่จะออกในเร็ว ๆ นี้

ที่มา : https://www.

Google แก้ไขช่องโหว่ Zero-day ใน Chrome ที่ถูกกำลังถูกใช้ในการโจมตีเป็นครั้งที่ 9 ในปีนี้

วันที่ 21 สิงหาคม 2024 ที่ผ่านมา Google ออกแพตซ์อัปเดตความปลอดภัยฉุกเฉินสำหรับ Chrome เพื่อแก้ไขช่องโหว่ zero-day ที่กำลังถูกใช้ในการโจมตี

โดย Google ระบุว่า "Google ได้รับข้อมูลว่ากำลังมีการโจมตีโดยใช้ประโยชน์จากช่องโหว่ CVE-2024-7971"

(more…)

แฮ็กเกอร์ชาวจีนใช้ช่องโหว่ Zero-Day ใน Cisco Switch เพื่อเข้าควบคุมระบบเป้าหมาย

มีการเปิดเผยรายละเอียดเกี่ยวกับกลุ่มแฮ็กเกอร์ชาวจีน ที่ได้โจมตีช่องโหว่ด้านความปลอดภัยที่เพิ่งถูกเปิดเผย และได้รับการแก้ไขไปแล้วในสวิตช์ของ Cisco โดยการใช้ช่องโหว่ zero-day เพื่อเข้าควบคุมอุปกรณ์ และหลบเลี่ยงการตรวจจับ

(more…)

Microsoft ออกอัปเดต Patch Tuesday ประจำเดือนสิงหาคม 2024 แก้ไขช่องโหว่ Zero-Days 9 รายการ และช่องโหว่ที่กำลังถูกใช้ในการโจมตี 6 รายการ

Microsoft ออกอัปเดต Patch Tuesday ประจำเดือนสิงหาคม 2024 โดยได้แก้ไขช่องโหว่ 89 รายการ รวมถึงช่องโหว่ที่กำลังถูกใช้ในการโจมตี 6 รายการ และช่องโหว่ Zero-day ที่ถูกเปิดเผยต่อสาธารณะ 3 รายการ

(more…)

Cisco แจ้งเตือนช่องโหว่ RCE Zero-days ระดับ Critical ใน IP phones ที่หมดอายุการสนับสนุน

Cisco ออกมาแจ้งเตือนถึงช่องโหว่ Zero-days การเรียกใช้คำสั่งที่เป็นอันตรายจากระยะไกล (RCE) ระดับ Critical ซึ่งเป็นช่องโหว่ในอินเตอร์เฟซการจัดการผ่านเว็บของ IP phones รุ่น Small Business SPA 300 และ SPA 500 ที่หมดอายุการสนับสนุนไปแล้ว (end-of-life)

(more…)