WordPress Site กว่า 280,000 เว็บไซต์กำลังถูกโจมตีโดยช่องโหว่ 0-Day ของ WPGateway Plugin

WPGateway นั้นเป็น Premium Plugin สำหรับช่วยผู้ดูแลไซต์เพื่อติดตั้ง สำรองข้อมูล และโคลนปลั๊กอินต่าง ๆ รวมถึง WordPress Theme จาก Dashboard ซึ่งถูกพบว่ามีช่องโหว่ 0-Day ที่กำลังถูกนำมาใช้ในการโจมตีอย่างแพร่หลาย ซึ่งมันจะอนุญาตให้ผู้ไม่หวังดีเข้าควบคุมไซต์ที่ได้รับผลกระทบได้อย่างสมบูรณ์

Wordfence กล่าวว่ามีการติดตั้ง Plugin นี้ไปแล้วมากกว่า 280,000 เว็บไซต์ และได้ blocked การโจมตีช่องโหว่จาก plugin ดังกล่าวไปแล้วกว่า 4.6 ล้านครั้ง ในช่วง 30 วันที่ผ่านมา

รายละเอียดช่องโหว่

ช่องโหว่มีหมายเลข CVE-2022-3180 (CVSS: 9.8) โดยช่องโหว่นี้กำลังถูกใช้เป็นเครื่องมือให้กับผู้ไม่หวังดีสามารถเพิ่ม Malicious administrator เข้าไปบนเว็บไซต์ที่ใช้ WPGateway plugin ได้โดยที่ไม่ต้องผ่านการตรวจสอบสิทธิ์

โดยหากพบว่ามี Administrator user ที่ชื่อว่า “rangex” อยู่บนเว็บไซต์ที่มีการใช้งาน Plugin ดังกล่าว หมายความว่าเว็ปไซต์นั้นอาจจะถูกโจมตีแล้ว หรือหากพบว่ามี request ไปที่ “//wp-content/plugins/wpgateway/wpgateway-webservice-new.

Apple ออกแพตซ์อัปเดตช่องโหว่ Zero-Day บน iOS และ macOS ที่กำลังถูกใช้ในการโจมตีอยู่ในปัจจุบัน

Apple ได้เผยแพร่อัปเดตเพื่อแก้ไขช่องโหว่ด้านความปลอดภัยหลายรายการบน iOS และ macOS รวมถึง Zero-Day ที่กำลังถูกนำมาใช้ในการโจมตีอย่างแพร่หลายในปัจจุบัน

ซึ่งช่องโหว่ดังกล่าวมีหมายเลข CVE-2022-32917 (CVSS: 8.4) เป็นข้อผิดพลาดภายใน OS kernel ที่ทำให้ malicious app สามารถรันโค้ดที่เป็นอันตรายได้ด้วยสิทธิของ Kernel privileges

และนอกจากช่องโหว่ดังกล่าว ทาง Apple ก็ยังได้มีการออกแพตช์อัปเดตความปลอดภัยของช่องโหว่อื่น ๆ อีก 7 รายการ ดังนี้

CVE-2022-22587 (IOMobileFrameBuffer) – Malicious Application สามารถรันโค้ดที่เป็นอันตรายได้ตามต้องการ
CVE-2022-22594 (WebKit Storage) - เว็บไซต์สามารถเข้าถึงข้อมูลที่มีความสำคัญของผู้ใช้งานได้
CVE-2022-22620 (WebKit) – การเข้าใช้งานเว็ปไซต์ที่เป็นอันตรายที่ถูกสร้างขึ้นเป็นพิเศษ อาจทำให้ถูกสั่งรันโค้ดที่เป็นอันตรายได้ตามต้องการ
CVE-2022-22674 (Intel Graphics Driver) – Application สามารถอ่านข้อมูลในหน่วยความจำของ Kernel ได้
CVE-2022-22675 (AppleAVD) – Application สามารถรันโค้ดได้ตามต้องการโดยใช้สิทธิ Kernel privilege
CVE-2022-32893 (WebKit) - การเข้าใช้งานเว็ปไซต์ที่เป็นอันตรายที่ถูกสร้างขึ้นเป็นพิเศษ อาจทำให้ถูกสั่งรันโค้ดที่เป็นอันตรายได้ตามต้องการ
CVE-2022-32894 (Kernel) - Application สามารถรันโค้ดได้ตามต้องการโดยใช้สิทธิ Kernel privilege

คำแนะนำ

Apple ได้ออกแพตช์อัปเดตเพื่อแก้ไขปัญหาดังกล่าวเรียบร้อยแล้ว โดยมีรายละเอียดดังนี้

Patch iOS 16 : สำหรับ iPhone 8 ขึ้นไป

Patch iOS 15.7 : สำหรับ iPhone 6s ขึ้นไป และ iPod touch 7 generation

Patch iPadOS 15.7 : สำหรับ iPad Pro ทุกรุ่น, iPad Air 2 ขึ้นไป, iPad 5th generation ขึ้นไป และ iPad mini 4 ขึ้นไป

Patch macOS Big Sur 11.7 และ macOS Monterey 12.6 : อุปกรณ์ Mac ที่มีการใช้งาน Big sur และ Monterey

ที่มา : thehackernews , cybersecurity

พบการพยายามโจมตีกว่า 5 ล้านครั้ง จากช่องโหว่ Zero-Day ของ Plugin บน WordPress

WordPress Security (Wordfence) เปิดเผยว่า พบช่องโหว่ Zero-Day จาก Plugin ใน WordPress ที่มีชื่อว่า BackupBuddy กำลังถูกนำมาใช้ในการโจมตีอย่างแพร่หลาย โดยช่องโหว่ถูกพบครั้งแรกเมื่อวันที่ 26 สิงหาคม 2565 และมีการพยายามที่จะโจมตีกว่า 5 ล้านครั้งแต่ถูก Block ไว้ได้ทั้งหมด

BackupBuddy เป็น Plugin ที่ช่วยให้ผู้ใช้งานสามารถสำรองข้อมูลทั้งหมดของตัวเองใน WordPress เช่นข้อมูลการติดตั้ง WordPress ธีม เพจ โพสต์ วิดเจ็ต ข้อมูลผู้ใช้ และไฟล์มีเดียเป็นต้น

รายละเอียดของช่องโหว่

ช่องโหว่ Zero-Day BackUpBuddy มีหมายเลข CVE-2022-31474 คะแนน CVSS: 7.5 ซึ่งคาดว่ามีเว็บไซต์ที่ใช้งาน Plugin ดังกล่าวอยู่ประมาณ 140,000 เว็บไซต์

โดยช่องโหว่นี้สามารถทำให้ผู้ไม่หวังดีสามารถดาวน์โหลดไฟล์ได้ตามที่ต้องการ โดยไม่ต้องผ่านการตรวจสอบสิทธิ์จากเว็บไซต์ที่ได้รับผลกระทบ ซึ่งปัญหานี้เกิดจากฟังก์ชันที่เรียกว่า "Local Directory Copy" ที่ออกแบบมาเพื่อจัดเก็บสำเนาข้อมูลสำรองในเครื่อง Wordfence ระบุว่า ช่องโหว่เป็นผลมาจากการใช้งานที่ไม่ปลอดภัย ซึ่งช่วยให้ผู้ไม่หวังดีที่ไม่ผ่านการตรวจสอบสิทธิ์สามารถดาวน์โหลดไฟล์ใด ๆ บนเซิร์ฟเวอร์ก็ได้ตามที่ต้องการ

นอกจากนี้ยังมีการรวบรวม IP ที่มีการการโจมตีสูงสุด 10 อันดับแรกตามรายการดังนี้

195.178.120.89 with 1,960,065 attacks blocked
51.142.90.255 with 482,604 attacks blocked
51.142.185.212 with 366770 attacks blocked
52.229.102.181 with 344604 attacks blocked
20.10.168.93 with 341,309 attacks blocked
20.91.192.253 with 320,187 attacks blocked
23.100.57.101 with 303,844 attacks blocked
20.38.8.68 with 302,136 attacks blocked
20.229.10.195 with 277,545 attacks blocked
20.108.248.76 with 211,924 attacks blocked

รายละเอียดเพิ่มเติมเกี่ยวกับช่องโหว่ยังไม่มีการเปิดเผย เนื่องจากการการโจมตีอาจจะเกิดขึ้นเป็นวงกว้าง และเนื่องจากช่องโหว่ดังกล่าวอาจจะสามารถโจมตีได้ง่าย

โดยช่องโหว่อาจทำให้ผู้ไม่หวังดีสามารถเข้าดูเนื้อหาของไฟล์ใด ๆ ก็ตามบนเซิร์ฟเวอร์ที่สามารถอ่านได้จาก WordPress รวมไปถึงไฟล์ที่มีความสำคัญ ซึ่งพบว่าข้อมูลจากการโจมตีส่วนใหญ่เป็นการพยายามเข้าถึงไฟล์ตามรายการด้านล่าง

/etc/passwd
/wp-config.

Google ออกแพตช์อัปเดตแก้ไขช่องโหว่ Zero-day ครั้งที่ 5 ของ Chrome ในปีนี้

Google ได้ประกาศแพตช์อัปเดตให้กับเบราว์เซอร์ Google Chrome เพื่อแก้ไขช่องโหว่ Zero-day ที่มีระดับความรุนแรงสูง

รายละเอียดของ Zero-day

โดยปกติแล้ว Google จะไม่มีการเปิดเผยรายละเอียดเพิ่มเติมเกี่ยวกับช่องโหว่ Zero-day จนกว่าผู้ใช้งาน Chrome ส่วนใหญ่จะได้รับการอัปเดต

ซึ่งช่องโหว่ดังกล่าวมีหมายเลข CVE-2022-2856 เป็นช่องโหว่ที่มีระดับความรุนแรงสูง เนื่องจากเป็นช่องโหว่เรื่องการตรวจสอบอินพุตในฟีเจอร์ที่เรียกแอปพลิเคชัน และบริการเว็บโดยตรงจากหน้าเว็บเพจ

การตรวจสอบความถูกต้องของอินพุตที่ไม่เหมาะสมในซอฟต์แวร์สามารถนำไปสู่ buffer overflow , directory traversal , SQL injection , cross-site scripting, null byte injection และอื่นๆ

ช่องโหว่นี้ถูกค้นพบ และรายงานโดย Ashley Shen และ Christian Resell ซึ่งเป็นสมาชิกของ Google Threat Analysis Group (TAG)

การอัปเดตครั้งนี้ถือเป็นช่องโหว่ Zero-day ครั้งที่ 5 นับตั้งแต่ต้นปี โดยช่องโหว่ zero-day 4 รายการก่อนหน้านี้ที่ถูกพบ และแก้ไขไปแล้วในปี 2565 ได้แก่ :

CVE-2022-0609 - Use-after-free in Animation – February 14

CVE-2022-1096 - Type confusion in V8 – March 25

CVE-2022-1364 - Type confusion in V8 – April 14

CVE-2022-2294 - Heap buffer overflow in WebRTC – July 4

Google แนะนำให้ผู้ใช้งานอัปเดตเป็นเวอร์ชัน 104.0.5112.101 สำหรับ macOS และ Linux และเวอร์ชัน 104.0.5112.102/101 สำหรับ Windows เพื่อลดความเสี่ยงจากการถูกโจมตีที่อาจเกิดขึ้นกับผู้ใช้งานเบราว์เซอร์ที่ใช้ Chromium เช่น Microsoft Edge, Brave, Opera และ Vivaldi จึงแนะนำให้ผู้ใช้งานทำการการอัปเดตเวอร์ชันก่อนการใช้งาน

ที่มา : bleepingcomputer

Microsoft ออกแพตช์แก้ไขช่องโหว่ Zero-day ‘DogWalk’ ที่กำลังถูกใช้โจมตีอยู่ในปัจจุบัน

Microsoft ออกแพตช์อัปเดตเดือนสิงหาคม 2022 "Patch Tuesday" เพื่อแก้ไขช่องโหว่ Zero-day บน Windows ที่ถูกเผยแพร่ออกสู่สาธารณะ และกำลังถูกใช้โจมตีอยู่ในปัจจุบัน โดยช่องโหว่มีหมายเลข CVE-2022-34713 และถูกเรียกว่า DogWalk โดยช่องโหว่เป็นลักษณะ path traversal บน Windows Support Diagnostic Tool (MSDT) ที่ทำให้ผู้โจมตีสามารถใช้ประโยชน์จากช่องโหว่เพื่อสั่งรันโค้ดที่เป็นอันตรายจากระยะไกลได้ โดยผู้โจมตีอาจใช้วิธีการส่งไฟล์ .diagcab ที่ถูกสร้างขึ้น เพื่อหลอกให้ผู้ใช้งานเปิดใช้งานผ่านทางอีเมลล์ หรือดาวน์โหลดผ่านหน้าเว็ปไซต์ โดยมันจะทำงานโดยอัตโนมัติ หลังจากมีการรีสตาร์ทระบบ และทำการดาวน์โหลดเพย์โหลดของมัลแวร์อื่นๆเพิ่มเติม

DogWalk ได้รับการเผยแพร่ออกสู่สาธารณะโดย Imre Rad นักวิจัยด้านความปลอดภัยเมื่อสองปีที่แล้วในเดือนมกราคม 2020 แต่ Microsoft แจ้งว่าช่องโหว่ดังกล่าวจะไม่มีการแก้ไข เนื่องจาก Microsoft มองว่าไม่ได้เป็นปัญหาทางด้านความปลอดภัย แต่อย่างไรก็ตามช่องโหว่ Microsoft Support Diagnostics Tool ดังกล่าวถูกพบอีกครั้งเมื่อเร็วๆ นี้ และถูกรายงานโดยนักวิจัยด้านความปลอดภัย j00sean

จากข้อมูลของ Microsoft DogWalk จะมีผลกับ Windows ทุกรุ่น รวมถึงไคลเอนต์ และเซิร์ฟเวอร์เวอร์ชันล่าสุด Windows 11 และ Windows Server 2022 โดยรวมแล้ว Microsoft ได้แก้ไขช่องโหว่ 112 รายการในเดือนสิงหาคม 2022 ซึ่งรวมถึงช่องโหว่ที่สำคัญ 17 รายการ ที่สามารถสั่งรันโค้ดที่เป็นอันตรายจากระยะไกล และยกระดับสิทธิ์ได้

ที่มา : bleepingcomputer

แฮ็กเกอร์โจมตีช่องโหว่ Zero-day บน PrestaShop ขโมยข้อมูลการชำระเงินจากร้านค้าออนไลน์

PrestaShop เป็น Open-Source E-commerce Solution ที่ได้รับความนิยมในยุโรป และละตินอเมริกา ซึ่งมีผู้ค้าขายออนไลน์กว่า 300,000 รายทั่วโลกที่ใช้งาน ซึ่งผู้โจมตีได้ใช้ประโยชน์จากช่องโหว่ Zero-day บน platform ดังกล่าว เพื่อใส่โค้ด Skimmer ที่เป็นอันตราย ที่ออกแบบมาเพื่อขโมยข้อมูลที่มีความสำคัญ
เป้าหมายของการใช้ประโยชน์จากช่องโหว่นี้คือการติดตั้งโค้ดที่เป็นอันตรายที่มีความสามารถในการขโมยข้อมูลการชำระเงินจากลูกค้าที่ใส่ข้อมูลในหน้าชำระเงิน โดยเป้าหมายหลัก ๆ ส่วนใหญ่จะเป็นร้านค้าที่ใช้ software เวอร์ชั่นเก่า ๆ หรือ 3rd party module ที่มีช่องโหว่
ช่องโหว่มีหมายเลข CVE-2022-36408 ที่เกิดปัญหาจากการจัดการกับ Input ที่ผิดปกติ หรือไม่รู้จัก จนนำไปสู่การโจมตีในรูปแบบ SQL Injection ที่จะทำให้ผู้ผู้โจมตีสามารถแทรก หรือแก้ไขคำสั่ง SQL ได้

(more…)

ช่องโหว่ Zero-day บน Chrome ถูกใช้เพื่อติดตั้ง spyware บนเครื่องของนักข่าว และบุคคลที่เป็นเป้าหมายในตะวันออกกลาง

กลุ่มแฮ็กเกอร์จากอิสราเอล Candiru ใช้ช่องโหว่ Zero-day บน Google Chrome เพื่อสอดแนมนักข่าว และบุคคลที่เป็นเป้าหมายในตะวันออกกลางด้วยสปายแวร์ 'DevilsTongue' ช่องโหว่ CVE-2022-2294 เป็นช่องโหว่ heap-based buffer overflow ที่มีระดับความรุนแรงสูงใน WebRTC ซึ่งหากโจมตีได้สำเร็จ จะสามารถสั่งรันโค้ดที่เป็นอันตรายบนอุปกรณ์ที่เป็นเป้าหมายได้ โดย Google ออกอัปเดตแพตซ์ Zero-day ดังกล่าวไปแล้วในวันที่ 4 กรกฎาคม ซึ่ง Google ยอมรับว่าช่องโหว่นี้ถูกใช้ในการโจมตีอยู่จริง แต่ไม่ได้ให้รายละเอียดเพิ่มเติม โดยรายงานจากนักวิจัยจาก Avast ซึ่งค้นพบช่องโหว่ดังกล่าว และเป็นผู้รายงานไปยัง Google เปิดเผยว่าพวกเขาค้นพบช่องโหว่ดังกล่าวหลังจากตรวจสอบการโจมตีด้วยสปายแวร์บนเครื่อง clients จากข้อมูลของ Avast Candiru เริ่มโจมตีโดยใช้ช่องโหว่ CVE-2022-2294 ในเดือนมีนาคม 2022 โดยกำหนดเป้าหมายไปยังผู้ใช้ในเลบานอน, ตุรกี, เยเมน และปาเลสไตน์ โดยผู้โจมตีใช้วิธีการ watering hole ด้วยการโจมตีเพื่อเข้าไปควบคุมเว็ปไซต์ที่เป้าหมายเข้าใช้เป็นประจำ จากนั้นก็ฝัง exploit ที่ใช้สำหรับโจมตี browser ที่มีช่องโหว่ของเป้าหมายที่เข้ามาใช้งานเว็ปไซต์เพื่อติดตั้ง spyware การโจมตีลักษณะนี้ไม่จำเป็นต้องให้เหยื่อคลิกลิงก์ หรือดาวน์โหลดอะไรเลย สิ่งที่พวกเขาต้องการคือให้เหยื่อเปิดเว็บไซต์นั้นๆด้วย Google Chrome หรือ Chromium-based browser ที่มีช่องโหว่เท่านั้น ซึ่งเว็บไซต์เหล่านี้อาจเป็นเว็บไซต์ตามปกติทั่วๆไป หรือเว็บไซต์ที่ถูกสร้างขึ้นโดยผู้โจมตี และหลอกให้เหยื่อเข้าใช้งานผ่านทาง spear phishing ก็ได้ ในกรณีหนึ่ง ผู้โจมตีทำการโจมตีเว็บไซต์ที่สำนักข่าวในเลบานอนใช้งาน และฝังโค้ด JavaScript ที่เปิดใช้งานการโจมตีแบบ XXS (cross-site scripting) และเปลี่ยนเส้นทางไปยังเซิร์ฟเวอร์ใช้สำหรับโจมตีช่องโหว่บน browser ดังกล่าว

Avast ระบุในรายงานว่า "เมื่อเหยื่อเข้ามาถึงเซิร์ฟเวอร์ที่ใช้สำหรับโจมตี จะได้รับการพิสูจน์ว่าเป็นเป้าหมายจริงๆหรือไม่ด้วยการตรวจสอบข้อมูลภาษาที่ใช้, timezone, ข้อมูลบนหน้าจอ, ชนิดของอุปกรณ์, ปลั๊กอินบน browser, ข้อมูลบนหน่วยความจำ รวมไปถึงข้อมูล cookie ด้วย" ในกรณีของเลบานอน Zero-day จะช่วยทำให้ผู้โจมตีสามารถสั่งรัน shell code ได้สำเร็จ และหลบเลี่ยงการตรวจจับของแซนด์บ็อกซ์ของ chrome เนื่องจากช่องโหว่อยู่ใน WebRTC จึงส่งผลต่อ browser Safari ของ Apple ด้วย อย่างไรก็ตามการโจมตีที่ถูกตรวจพบโดย Avast สามารถทำงานได้บน Windows เท่านั้น หลังจากการติดตั้งครั้งแรก DevilsTongue จะใช้ขั้นตอน BYOVD ("bring your own driver") เพื่อยกระดับสิทธิ์ และกำหนดสิทธิ์การอ่าน และเขียนข้อมูลไปยังหน่วยความจำของอุปกรณ์ที่ถูกโจมตี

สิ่งที่น่าสนใจคือ Avast ค้นพบว่า BYOVD ที่ Candiru ใช้นั้นเป็น Zero-day เช่นเดียวกัน และแม้ว่าช่องโหว่จะได้รับการอัปเดตไปแล้ว แต่ก็ไม่สามารถป้องกันได้ เนื่องจากเวอร์ชันที่ถูกนำมาใช้กับ spyware คือเวอร์ชันที่ยังมีช่องโหว่อยู่นั่นเอง แม้ว่าจะไม่ชัดเจนว่าผู้โจมตีกำหนดเป้าหมายไปที่ข้อมูลประเภทใด แต่ Avast เชื่อว่าผู้โจมตีใช้ข้อมูลดังกล่าวเพื่อศึกษาเกี่ยวกับข่าวที่นักข่าวกำลังค้นคว้าอยู่ ผู้โจมตีเป็นที่รู้จักดีอยู่แล้วในด้านการพัฒนา หรือใช้ Zero-day เพื่อโจมตีบุคคลที่ตกเป็นเป้าหมาย แต่จากครั้งล่าสุดที่ Candiru ดำเนินการโจมตีถูกเปิดเผยโดย Microsoft และ Citizen Lab จึงทำให้กลุ่มผู้โจมตีได้พัฒนา DevilsTongue ด้วยการโจมตีจาก Zero-days รูปแบบใหม่ตามที่ Avast เปิดเผยในครั้งนี้ เพื่อแก้ไขปัญหานี้ Apple วางแผนที่จะสร้าง iOS 16 ใหม่ที่เรียกว่า 'Lockdown Mode' ซึ่งจำกัดคุณสมบัติ และการทำงานของอุปกรณ์เพื่อป้องกันการรั่วไหลของข้อมูล หรือลดผลกระทบจากการติดสปายแวร์ให้น้อยที่สุด

ที่มา: bleepingcomputer

 

Google แก้ไขช่องโหว่ Zero-day ใหม่บน Chrome

Google ได้ออกแพตซ์อัปเดตบน Chrome เวอร์ชัน 103.0.5060.114 สำหรับผู้ใช้ Windows เพื่อแก้ไขช่องโหว่ Zero-day ที่มีระดับความรุนแรงสูง ซึ่งเป็น Zero-day ตัวที่ 4 ในปี 2565

ปัจจุบัน Chrome เวอร์ชัน 103.0.5060.114 มีการอัปเดตโดยอัตโนมัติเรียบร้อยแล้ว โดย Google ระบุว่าอาจต้องใช้เวลาหลายวัน หรือหลายสัปดาห์กว่ากลุ่มผู้ใช้งานจะสามารถอัปเดตได้ครบทั้งหมด BleepingComputer ทำการตรวจสอบการอัปเดตโดยไปที่เมนู Chrome menu > Help > About Google Chrome เว็บเบราว์เซอร์จะตรวจสอบการอัปเดตใหม่ และติดตั้งโดยอัตโนมัติ

รายละเอียดการโจมตียังไม่ได้มีการเปิดเผย
ช่องโหว่ zero-day ที่ได้รับการแก้ไขในวันนี้ (CVE-2022-2294) เป็นช่องโหว่ heap-based buffer overflow ที่มีความรุนแรงสูงใน WebRTC (Web Real-Time Communications) ถูกรายงานโดย Jan Vojtesek จากทีม Avast Threat Intelligence เมื่อวันศุกร์ที่ 1 กรกฎาคม 2565

ผลกระทบจากช่องโหว่ heap overflow อาจทำให้เกิดการหยุดการทำงานของโปรแกรม และการถูกสั่งรันโค้ดที่เป็นอันตราย ไปจนถึงการหลีกเลี่ยงการตรวจจับจากอุปกรณ์ป้องกันด้านความปลอดภัยหากมีการเรียกใช้โค้ดที่เป็นอันตรายระหว่างการโจมตี แม้ว่า Google จะบอกว่าช่องโหว่ zero-day นี้เริ่มถูกใช้ในการโจมตีแล้วในปัจจุบัน แต่ก็ยังไม่ได้เปิดเผยรายละเอียดทางเทคนิค หรือข้อมูลใดๆ Google ระบุว่า “รายละเอียดช่องโหว่จะยังไม่ถูกเปิดเผยจนกว่าผู้ใช้ส่วนใหญ่จะได้รับการอัปเดต"

การแก้ไขช่องโหว่ zero-day ของ Chrome ครั้งที่ 4 ในปีนี้

การอัปเดตครั้งนี้ถือเป็นช่องโหว่ Zero-day ครั้งที่ 4 นับตั้งแต่ต้นปี โดยช่องโหว่ zero-day 3 รายการก่อนหน้านี้ที่ถูกพบ และแก้ไขไปแล้วในปี 2565 ได้แก่:

CVE-2022-1364 - April 14th
CVE-2022-1096 - March 25th
CVE-2022-0609 - February 14th

ช่องโหว่ที่ได้รับการแก้ไขในเดือนกุมภาพันธ์ CVE-2022-0609 ถูกใช้โดยแฮ็กเกอร์ที่ได้รับการสนับสนุนจากเกาหลีเหนือหลายสัปดาห์ก่อนที่จะมีแพตช์อัปเดตออกมาในเดือนกุมภาพันธ์ ตามรายงานของ Google Threat Analysis Group (TAG) โดยการโจมตีครั้งแรกถูกพบเมื่อวันที่ 4 มกราคม พ.ศ. 2565

ที่มา : bleepingcomputer

Jenkins เปิดเผยช่องโหว่ Zero-day จำนวนมากจาก plugins หลายตัว

เมื่อวันพฤหัสบดีทีมรักษาความปลอดภัยของ Jenkins ได้ประกาศช่องโหว่ 34 รายการซึ่งส่งผลกระทบต่อปลั๊กอิน 29 รายการสำหรับ open source automation server ของ Jenkins และช่องโหว่ 29 รายการยังไม่มีการอัปเดตแพตซ์

Jenkins เป็นแพลตฟอร์มที่ได้รับความนิยมอย่างสูง (รองรับปลั๊กอินมากกว่า 1,700 รายการ) ที่องค์กรทั่วโลกใช้ในการสร้าง, ทดสอบ และติดตั้งซอฟต์แวร์

CVSS ของช่องโหว่มีตั้งแต่ระดับความรุนแรงต่ำไปจนถึงระดับสูง และจากสถิติของ Jenkins ปลั๊กอินที่ได้รับผลกระทบมีการติดตั้งไปแล้วมากกว่า 22,000 ครั้ง

รายการช่องโหว่ทั้งหมดที่ยังไม่ได้แก้ไขได้แก่ XSS, Stored XSS, Cross-Site Request Forgery (CSRF) bugs, การตรวจสอบสิทธิ์ที่ไม่ถูกต้อง, รวมไปถึงการเก็บข้อมูลรหัสผ่าน API keys และ Tokens ไว้ในรูปแบบ plain text โชคดีที่ Zero-day ที่มีความรุนแรงสูงส่วนใหญ่ ยังต้องการให้ผู้ใช้งานมีการกระทำบางอย่างจึงจะสามารถโจมตีได้สำเร็จ จากข้อมูลของ Shodan ปัจจุบันมีเซิร์ฟเวอร์ Jenkins ที่เข้าถึงได้จากอินเทอร์เน็ตมากกว่า 144,000 เซิร์ฟเวอร์ ที่อาจตกเป็นเป้าหมายในการโจมตีหากมีใช้งานปลั๊กอินที่ยังไม่ได้รับการอัปเดตแพตช์

 

ในขณะที่ทีม Jenkins ได้แก้ไขปลั๊กอินไปแล้วสี่ตัว, (เช่น GitLab, requests-plugin, TestNG Results, XebiaLabs XL Release) แต่ยังมีอีกหลายรายการที่ยังไม่ได้รับการแก้ไข ซึ่งรวมถึง:

Build Notifications Plugin up to and including 1.5.0
build-metrics Plugin up to and including 1.3
Cisco Spark Plugin up to and including 1.1.1
Deployment Dashboard Plugin up to and including 1.0.10
Elasticsearch Query Plugin up to and including 1.2
eXtreme Feedback Panel Plugin up to and including 2.0.1
Failed Job Deactivator Plugin up to and including 1.2.1
GitLab Plugin up to and including 1.5.34
HPE Network Virtualization Plugin up to and including 1.0
Jigomerge Plugin up to and including 0.9
Matrix Reloaded Plugin up to and including 1.1.3
OpsGenie Plugin up to and including 1.9
Plot Plugin up to and including 2.1.10
Project Inheritance Plugin up to and including 21.04.03
Recipe Plugin up to and including 1.2
Request Rename Or Delete Plugin up to and including 1.1.0
requests-plugin Plugin up to and including 2.2.16
Rich Text Publisher Plugin up to and including 1.4
RocketChat Notifier Plugin up to and including 1.5.2
RQM Plugin up to and including 2.8
Skype notifier Plugin up to and including 1.1.0
TestNG Results Plugin up to and including 554.va4a552116332
Validating Email Parameter Plugin up to and including 1.10
XebiaLabs XL Release Plugin up to and including 22.0.0
XPath Configuration Viewer Plugin up to and including 1.1.1

แม้ว่าจะไม่มีรายการใดที่เป็นช่องโหว่ร้ายแรงที่อาจทำให้ผู้โจมตีสามารถรันโค้ด หรือคำสั่งที่เป็นอันตรายจากระยะไกลบนเซิร์ฟเวอร์ที่มีช่องโหว่เพื่อเข้าควบคุมได้ในทันที อย่างไรก็ตามผู้โจมตีก็มีแนวโน้มที่จะใช้ zero-day เพื่อทำให้พวกเขาได้ข้อมูลมากขึ้นบนระบบของเป้าหมายเพื่อใช้ในการโจมตีในรูปแบบอื่นๆต่อไป

ที่มา bleepingcomputer

ช่องโหว่ Zero-day บน Sophos Firewall ถูกใช้วาง Webshell

เมื่อวันที่ 25 มีนาคม Sophos ได้เผยแพร่คำแนะนำด้านความปลอดภัยเกี่ยวกับช่องโหว่ CVE-2022-1040 ซึ่งเป็นช่องโหว่การ Bypass การตรวจสอบสิทธิ์ที่ส่งผลต่อ User Portal และ Webadmin ของ Sophos Firewall และอาจถูกโจมตีเพื่อรันโค้ดที่เป็นอันตรายจากระยะไกล สามวันต่อมา บริษัทเตือนว่าผู้โจมตีกำลังใช้ประโยชน์จากช่องโหว่เพื่อกำหนดเป้าหมายองค์กรหลายแห่งในภูมิภาคเอเชียใต้

ล่าสุดในสัปดาห์นี้ บริษัทรักษาความปลอดภัยทางไซเบอร์ Volexity ได้ให้รายละเอียดเกี่ยวกับกลุ่มผู้โจมตีจากประเทศจีนที่รู้จักในชื่อ DriftingCloud ซึ่งใช้ประโยชน์จากช่องโหว่ CVE-2022-1040 ตั้งแต่ต้นเดือนมีนาคม ราวๆสามสัปดาห์ก่อนที่ Sophos จะออกแพตช์ ผู้โจมตีได้ใช้ช่องโหว่ Zero-day ดังกล่าวในการเข้าควบคุม firewall เพื่อติดตั้ง Webshell backdoor และมัลแวร์ที่จะเปิดใช้งานการเข้าควบคุมจากภายนอกนอกเครือข่ายที่ได้รับการป้องกันโดย Sophos Firewall

นักวิจัยตั้งข้อสังเกตว่าผู้โจมตีพยายามซ่อนการเชื่อมต่อสำหรับการเข้าถึงของ webshell ด้วยการใช้ชื่อไฟล์ที่ดูเหมือนเป็นปกติอย่าง login.