การอัปเดตความปลอดภัยของ Android ประจำเดือนกุมภาพันธ์ 2025 ได้แก้ไขช่องโหว่ 48 รายการ รวมถึงช่องโหว่ Zero-day ใน Kernel ที่กำลังถูกใช้ในการโจมตี

(more…)

Apple ออกอัปเดตด้านความปลอดภัยเพื่อแก้ไขช่องโหว่ Zero-Day รายการแรกของปี 2025 ซึ่งถูกระบุว่ากำลังถูกใช้ในการโจมตีอย่างต่อเนื่องโดยกำหนดเป้าหมายไปที่ผู้ใช้ iPhone (more…)

นักวิจัยในงาน Pwn2Own Automotive ปีนี้ สามารถแฮ็กเครื่องชาร์จรถยนต์ไฟฟ้า (EV) รุ่น Wall Connector ของ Tesla ได้สำเร็จ (more…)

RealHome theme และปลั๊กอิน Easy Real Estate สำหรับ WordPress มีช่องโหว่ระดับ Critical สองรายการที่สามารถทำให้ผู้ใช้งานที่ไม่ได้ผ่านการยืนยันตัวตนสามารถเข้าถึงสิทธิ์ผู้ดูแลระบบได้

แม้ว่าช่องโหว่ทั้งสองรายการนี้จะถูกค้นพบในเดือนกันยายน 2024 โดย Patchstack และมีความพยายามหลายครั้งในการติดต่อผู้พัฒนา (InspiryThemes) แต่นักวิจัยระบุว่ายังไม่ได้รับการตอบกลับใด ๆ จากผู้พัฒนา

นอกจากนี้ Patchstack ยังระบุว่า ผู้พัฒนาได้ปล่อยเวอร์ชันใหม่มาแล้วสามครั้งตั้งแต่เดือนกันยายน แต่ไม่มีการแก้ไขช่องโหว่ด้านความปลอดภัยระดับ Critical เหล่านี้ ดังนั้นช่องโหว่ดังกล่าวจึงยังคงไม่ได้รับการแก้ไข และสามารถถูกโจมตีได้ต่อไป

RealHome theme และปลั๊กอิน Easy Real Estate ถูกออกแบบมาสำหรับเว็บไซต์อสังหาริมทรัพย์ โดยข้อมูลจาก Envanto Market ระบุว่า RealHome theme ถูกใช้งานในเว็บไซต์กว่า 32,600 แห่ง

ช่องโหว่แรก ซึ่งส่งผลกระทบต่อ RealHome theme เป็นช่องโหว่การยกระดับสิทธิ์โดยไม่ต้องผ่านการยืนยันตัวตน ที่มีหมายเลข CVE-2024-32444 (คะแนน CVSS: 9.8)

Theme ดังกล่าวอนุญาตให้ผู้ใช้งานสามารถลงทะเบียนบัญชีใหม่ได้ผ่านฟังก์ชัน inspiry_ajax_register แต่ไม่ได้ตรวจสอบการ authorization อย่างถูกต้อง หรือไม่มีการตรวจสอบเลย

หากเปิดใช้งานการลงทะเบียนบนเว็บไซต์ ผู้โจมตีสามารถระบุ role ของตนเองให้เป็น "ผู้ดูแลระบบ" ได้ โดยการส่ง HTTP request ที่ถูกสร้างขึ้นมาเป็นพิเศษไปยังฟังก์ชันการลงทะเบียน ซึ่งเป็นการ bypass การตรวจสอบความปลอดภัยโดยพื้นฐาน

เมื่อผู้โจมตีลงทะเบียนเป็นผู้ดูแลระบบได้สำเร็จ พวกเขาจะสามารถควบคุมเว็บไซต์ WordPress ได้อย่างสมบูรณ์ ซึ่งรวมถึงการแก้ไขเนื้อหา, การฝังสคริปต์ และการเข้าถึงข้อมูลผู้ใช้งาน หรือข้อมูลสำคัญอื่น ๆ

ส่วนช่องโหว่ที่ส่งผลกระทบต่อปลั๊กอิน Easy Real Estate เป็นช่องโหว่การยกระดับสิทธิ์โดยไม่ต้องผ่านการยืนยันตัวตน ผ่านฟีเจอร์ Social Login ซึ่งมีหมายเลข CVE-2024-32555 (คะแนน CVSS: 9.8)

ช่องโหว่นี้เกิดจากฟีเจอร์ Social Login ที่อนุญาตให้ผู้ใช้งานเข้าสู่ระบบด้วยที่อยู่อีเมลของตน โดยไม่มีการตรวจสอบว่าอีเมลนั้นเป็นของผู้ที่ส่ง request จริงหรือไม่

ผลลัพธ์คือ หากผู้โจมตีทราบที่อยู่อีเมลของผู้ดูแลระบบ พวกเขาสามารถเข้าสู่ระบบได้โดยไม่จำเป็นต้องใช้รหัสผ่าน ผลกระทบจากการโจมตีนี้คล้ายคลึงกับช่องโหว่ CVE-2024-32444

ข้อแนะนำในการลดความเสี่ยง

เนื่องจากทาง InspiryThemes ยังไม่ได้ปล่อยแพตช์เพื่อแก้ไขช่องโหว่ เจ้าของเว็บไซต์ และผู้ดูแลระบบที่ใช้งาน Theme หรือปลั๊กอินดังกล่าวควรปิดการใช้งานทันที

การปิดการลงทะเบียนผู้ใช้งานบนเว็บไซต์ที่ได้รับผลกระทบจะช่วยป้องกันการสร้างบัญชีโดยไม่ได้รับอนุญาต ซึ่งจะลดโอกาสที่ช่องโหว่จะถูกใช้งาน

เนื่องจากปัญหาช่องโหว่ในปลั๊กอิน และ Theme ทั้งสองรายการนี้ได้รับการเปิดเผยออกสู่สาธารณะแล้ว ผู้ไม่หวังดีอาจเริ่มสำรวจความเป็นไปได้ และสแกนหาเว็บไซต์ที่มีช่องโหว่ ดังนั้นการตอบสนองอย่างรวดเร็วเพื่อป้องกันภัยคุกคามจึงมีความสำคัญอย่างยิ่ง

 

ที่มา : bleepingcomputer.

Microsoft ออก Patch Tuesday ประจำเดือนมกราคม 2025 โดยแก้ไขช่องโหว่ 159 รายการ และช่องโหว่ zero-days 8 รายการ โดยมีช่องโหว่ zero-days 3 รายการ ที่พบหลักฐานว่ากำลังถูกนำมาใช้ในการโจมตี (more…)

Fortinet แจ้งเตือนการพบกลุ่ม Hacker กำลังมุ่งเป้าโจมตีช่องโหว่ Zero-Day ใหม่ใน FortiOS และ FortiProxy เพื่อเข้าควบคุม FortiGate Firewall และเข้าถึงระบบเครือข่ายขององค์กร

CVE-2024-55591 (คะแนน CVSS 9.8/10 ความรุนแรงระดับ Critical) เป็นช่องโหว่ authentication bypass ที่ส่งผลกระทบต่อ FortiOS 7.0.0 ถึง 7.0.16, FortiProxy 7.0.0 ถึง 7.0.19 และ FortiProxy 7.2.0 ถึง 7.2.12 ซึ่งหากสามารถโจมตีได้สำเร็จ อาจทำให้ผู้โจมตีได้รับสิทธิ์ super-admin โดยการส่ง requests ที่เป็นอันตรายไปยังโมดูล Node.

Microsoft ออก Patch Tuesday ประจำเดือนธันวาคม 2024 โดยแก้ไขช่องโหว่ 71 รายการ รวมถึงช่องโหว่ zero-days 1 รายการ ที่พบว่ากำลังถูกนำมาใช้ในการโจมตีอีกด้วย

Patch Tuesday ประจำเดือนพฤศจิกายน 2024 ได้แก้ไขช่องโหว่ระดับ Critical จำนวน 16 รายการ ซึ่งเป็นช่องโหว่การเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกล (remote code execution)

ช่องโหว่ในแต่ละประเภทมีดังต่อไปนี้ :

ช่องโหว่การยกระดับสิทธิ์ (Privilege Escalation) 27 รายการ
ช่องโหว่การเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกล (Remote Code Execution) 30 รายการ
ช่องโหว่ในการเปิดเผยข้อมูล (Information Disclosure) 7 รายการ
ช่องโหว่ที่ทำให้เกิด DoS (Denial of Service) 5 รายการ
ช่องโหว่ของการปลอมแปลง (Spoofing) 1 รายการ
ทั้งนี้ไม่ได้รวมช่องโหว่ของ Edge จำนวน 2 รายการที่ได้รับการแก้ไขไปก่อนหน้านี้เมื่อวันที่ 5 และ 6 ธันวาคม 2024

ช่องโหว่ Zero-Days ที่ได้รับการเปิดเผยออกสู่สาธารณะ

Patch Tuesday ประจำเดือนธันวาคม 2024 ได้แก้ไขช่องโหว่ zero-days โดยเป็นช่องโหว่ที่กำลังถูกใช้ในการโจมตี และได้รับการเปิดเผยออกสู่สาธารณะแล้ว 1 รายการ แต่ยังไม่ได้รับการแก้ไข

ช่องโหว่ Zero-Days ที่กำลังถูกใช้ในการโจมตี 1 รายการใน Patch Tuesday ประจำเดือนธันวาคม 2024 :

CVE-2024-49138 - Windows Common Log File System Driver Elevation of Privilege Vulnerability

Microsoft ได้แก้ไขช่องโหว่ zero-day ที่กำลังถูกใช้ในการโจมตีอย่างต่อเนื่อง ซึ่งทำให้ Hacker สามารถได้รับสิทธิ์ SYSTEM บน Windows ได้ โดยช่องโหว่ดังกล่าวถูกค้นพบโดย Advanced Research Team ของ CrowdStrike

ทั้งนี้ยังไม่มีการเปิดเผยข้อมูลว่าช่องโหว่ดังกล่าวถูกนำไปใช้ในการโจมตีได้อย่างไร

การอัปเดตด้านความปลอดภัยจากบริษัทอื่น ๆ

นอกจาก Microsoft ได้ออกแพตซ์อัปเดต Patch Tuesday ประจำเดือนธันวาคม 2024 แล้ว ยังมีบริษัทอื่น ๆ ที่ออกแพตซ์อัปเดตด้านความปลอดภัยเช่นกัน ได้แก่ :

Adobe ออกแพตซ์อัปเดตด้านความปลอดภัยสำหรับผลิตภัณฑ์ต่าง ๆ มากมาย รวมถึง Photoshop, Commerce, Illustrator, InDesign, After Effects, Bridge และอื่น ๆ อีกมากมาย
CISA ออกคำแนะนำเกี่ยวกับช่องโหว่ของระบบควบคุมอุตสาหกรรมใน MOBATIME, Schneider Electric, National Instruments, Horner Automation, Rockwell Automation และ Ruijie
Cleo security file transfer ได้รับผลกระทบจากการโจมตีจากช่องโหว่ zero-day เพื่อขโมยข้อมูล
Cisco ออกแพตซ์อัปเดตด้านความปลอดภัยสำหรับผลิตภัณฑ์หลายรายการ รวมถึง Cisco NX-OS และ Cisco ASA
พบช่องโหว่ zero-day บน router ของ IO-Data กำลังถูกใช้ในการโจมตีเพื่อเข้าควบคุมอุปกรณ์
0patch เปิดตัวแพตช์ที่ไม่เป็นทางการสำหรับช่องโหว่ zero-day ของ Windows ที่ทำให้ Hacker สามารถขโมยข้อมูล NTLM credentials ได้
OpenWrt ออกแพตซ์อัปเดตด้านความปลอดภัยสำหรับช่องโหว่ Sysupgrade ที่ทำให้ผู้ Hacker สามารถเผยแพร่ firmware images ที่เป็นอันตรายได้
SAP ออกแพตซ์อัปเดตด้านความปลอดภัยสำหรับผลิตภัณฑ์หลายรายการซึ่งเป็นส่วนหนึ่งของ Patch Day เดือนธันวาคม 2024
Veeam ออกแพตซ์อัปเดตด้านความปลอดภัยสำหรับช่องโหว่ RCE ที่สำคัญใน Service Provider Console
ที่มา : bleepingcomputer

Cleo ออกแพตซ์อัปเดตด้านความปลอดภัยสำหรับช่องโหว่แบบ Zero-Day ใน LexiCom, VLTransfer และ Harmony software ที่กำลังถูกใช้ในการโจมตีเพื่อขโมยข้อมูลอยู่ในปัจจุบัน

ในเดือนตุลาคม 2024 ทาง Cleo ได้แก้ไขช่องโหว่ CVE-2024-50623 (คะแนน CVSS 8.8/10 ความรุนแรงระดับ High) ซึ่งเป็นช่องโหว่การเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกลก่อนการยืนยันตัวตนใน managed file transfer software และแจ้งเตือนให้ผู้ใช้งานอัปเดตเพื่อแก้ไขช่องโหว่โดยด่วน

นักวิจัยด้านความปลอดภัยของ Huntress ได้พบหลักฐานการโจมตี Cleo software ที่ติดตั้ง fully patch 5.8.0.21 เป็นครั้งแรกเมื่อวันที่ 3 ธันวาคม 2024 ตามมาด้วยการเพิ่มขึ้นอย่างเห็นได้ชัดของการโจมตีในวันอาทิตย์ที่ 8 ธันวาคม 2024 หลังจากที่ Hacker ค้นพบวิธี Bypass CVE-2024-50623 ได้อย่างรวดเร็ว (โดยยังไม่มี CVE-ID) ทำให้สามารถนำเข้า และดำเนินการคำสั่ง bash หรือ PowerShell ที่ต้องการได้โดยใช้ประโยชน์จากการตั้งค่า default Autorun folder

ทาง Huntress แนะนำให้ทำการย้ายระบบ Cleo ที่เชื่อมอินเทอร์เน็ตทั้งหมดไปไว้หลังไฟร์วอลล์จนกว่าจะมีการอัปเดตแพตช์ใหม่

โดยปัจจุบันช่องโหว่ Zero-Day ดังกล่าว กำลังถูกใช้ในการโจมตีอย่างต่อเนื่อง โดยผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์อย่าง Kevin Beaumont เชื่อมโยงการโจมตีเข้ากับกลุ่ม Ransomware ในชื่อ Termite ซึ่งเพิ่งอ้างสิทธิ์ในการโจมตีผู้ให้บริการ software as a service (SaaS) ชื่อ Blue Yonder

รวมถึง Shodan ได้ติดตาม Cleo servers ทั่วโลก 421 แห่ง ซึ่ง 327 แห่งอยู่ในสหรัฐอเมริกา Yutaka Sejiyama นักวิจัยด้านภัยคุกคามของ Macnica ยังพบ Cleo servers 743 แห่งที่สามารถเข้าถึงได้ทางออนไลน์ (379 แห่งใช้ Harmony, 124 แห่งใช้ VLTrader และ 240 แห่งใช้ LexiCom)

การออกอัปเดตสำหรับป้องกันการโจมตีจากมัลแวร์ Malichus

ปัจจุบัน Cleo ได้ออกอัปเดตเพื่อป้องกันการโจมตีที่เกิดขึ้น และแนะนำให้ลูกค้าทำการอัปเดตเป็นเวอร์ชัน 5.8.0.24 โดยเร็วที่สุด เพื่อป้องกัน Cleo servers ที่เปิดให้เข้าถึงได้จากอินเทอร์เน็ตจากการถูกโจมตี

Cleo แนะนำให้ลูกค้าทุกคนอัปเดต instances ของ Harmony, VLTrader และ LexiCom เป็นเวอร์ชันล่าสุด (เวอร์ชัน 5.8.0.24) ทันทีเพื่อแก้ไขช่องโหว่ หลังจากทำการอัปเดต ระบบจะบันทึกข้อผิดพลาด สำหรับไฟล์ใด ๆ ที่พบเมื่อเริ่มต้นใช้งานที่เกี่ยวข้องกับช่องโหว่ดังกล่าว และลบไฟล์เหล่านั้นออก

ทั้งนี้ Cleo แนะนำให้ผู้ที่ไม่สามารถอัปเดตได้ทันที ให้ทำการปิดการใช้งานคุณสมบัติ Autorun โดยไปที่ Options และเลือก Autorun directory ออก (วิธีนี้จะไม่ป้องกันการโจมตีขาเข้า แต่จะช่วยลด attack surface)

โดยล่าสุดพบว่า Hacker ใช้ประโยชน์จากแพตช์ที่ได้รับการอัปเดต ในการเรียกใช้เพย์โหลด Java Archive (JAR) ที่ถูกเข้ารหัส ซึ่งเป็นส่วนหนึ่งของ Java-based post-exploitation framework โดยที่ Rapid7 เป็นผู้ค้นพบขณะทำการสืบสวนการโจมตี

Huntress ยังได้วิเคราะห์มัลแวร์ในชื่อ Malichus โดยระบุว่ามัลแวร์นี้กำลังถูกนำไปใช้โจมตีเฉพาะบนอุปกรณ์ Windows เท่านั้น แม้ว่าจะรองรับ Linux ก็ตาม ตามรายงานของ Binary Defense ARC Labs ผู้โจมตีสามารถใช้ Malichus สำหรับการถ่ายโอนไฟล์ การเรียกใช้คำสั่ง และการสื่อสารบนเครือข่าย

จนถึงขณะนี้ Huntress ค้นพบบริษัทอย่างน้อย 10 แห่งที่ Cleo servers ถูกควบคุมภายหลังการโจมตีที่กำลังดำเนินอยู่นี้ และระบุว่ายังมีเหยื่อรายอื่น ๆ ที่อาจตกเป็นเหยื่อได้ รวมถึง Sophos ยังพบ IOCs บน Cleo hosts มากกว่า 50 แห่งอีกด้วย โดยส่วนใหญ่อยู่ในสหรัฐอเมริกา ที่เป็นองค์กรค้าปลีก

การโจมตีเหล่านี้คล้ายคลึงกับการโจมตีเพื่อขโมยข้อมูลของ Clop ที่กำหนดเป้าหมายการโจมตีไปยังช่องโหว่ zero-day ใน MOVEit Transfer, GoAnywhere MFT และ Accellion FTA ในช่วงไม่กี่ปีที่ผ่านมา

ที่มา : bleepingcomputer

พบช่องโหว่ Zero-day ใหม่ที่ทำให้ผู้ไม่หวังดีสามารถขโมยข้อมูล NTLM credentials ได้ โดยการหลอกให้เป้าหมายเปิดไฟล์อันตรายใน Windows Explorer

ช่องโหว่ดังกล่าวถูกพบโดยทีม 0patch ซึ่งเป็นแพลตฟอร์มที่ให้การสนับสนุนอย่างไม่เป็นทางการสำหรับ Windows เวอร์ชันที่สิ้นสุดการสนับสนุน และได้รายงานให้ Microsoft ทราบแล้ว อย่างไรก็ตาม ยังไม่มีการออกแพตช์อย่างเป็นทางการในขณะนี้

(more…)

นักวิจัยพบช่องโหว่ Zero-day บนแพลตฟอร์ม Mitel MiCollab ที่ช่วยให้ผู้โจมตีสามารถอ่านไฟล์ใด ๆ บนระบบไฟล์ของเซิร์ฟเวอร์ได้
(more…)