ในวันพฤหัสบดีที่ 19 พฤษภาคม Threat Analysis Group (TAG) ของ Google รายงานว่า Cytrox ผู้พัฒนาสปายแวร์ ได้พัฒนาเครื่องมือที่ใช้ในการโจมตีช่องโหว่ Zero-day 5 รายการ เพื่อกำหนดเป้าหมายไปยังผู้ใช้ Android ด้วยสปายแวร์

มีการใช้งานช่องโหว่ Zero-day ร่วมกับช่องโหว่ n-day เพื่อติดตั้งสปายแวร์ โดยได้มีการพัฒนาเครื่องมือที่ใช้ในการโจมตีช่องโหว่สำหรับ Chrome Zero-day และ 1 ช่องโหว่สำหรับ Android Zero-day

CVE-2021-37973, CVE-2021-37976, CVE-2021-38000, CVE-2021-38003 in Chrome
CVE-2021-1048 in Android

นักวิจัย TAG Clement Lecigne และ Christian Resell อธิบายว่ามีการใช้งานเครื่องมือที่ใช้ในการโจมตี Zero-day ร่วมกับ n-day โดยผู้โจมตีพยายามใช้ประโยชน์จากความแตกต่างของระยะเวลาในการออกแพตช์ในระดับ Critical บางตัว ซึ่งบางครั้งแพตช์เหล่านี้ไม่ได้ถูกปล่อยออกมาพร้อมกันบนอุปกรณ์ Android ทั้งหมดจากผู้ให้บริการในแต่ละราย

ตามข้อมูลของ Google ช่องโหว่ดังกล่าวรวมอยู่ในรายการสปายแวร์ของ Cytrox ที่ขายให้กับผู้ดำเนินการที่มีส่วนเกี่ยวข้องกับภาครัฐของชาติต่างๆ เช่น อียิปต์ อาร์เมเนีย กรีซ มาดากัสการ์ โกตดิวัวร์ เซอร์เบีย สเปน และอินโดนีเซีย ซึ่งผู้โจมตีกำลังใช้สปายแวร์ Predator ใน 3 แคมเปญที่แตกต่างกันในรายงานการวิเคราะห์จาก Citizen Lab ของมหาวิทยาลัยโตรอนโต

TAG ตรวจสอบ 3 แคมเปญ และได้สรุปว่าผู้โจมตีจะทำการส่งลิงก์ไปยังผู้ใช้ Android ผ่าน spear-phishing emails ลิงก์เหล่านี้จะถูกย่อโดยใช้ URL shortener ที่ใช้ทั่วไป ซึ่งผู้โจมตีจะมุ่งเป้าไปยังเหยื่อเพียงไม่กี่ราย เมื่อเหยื่อคลิกที่ URL เหล่านี้ ก็จะทำให้ถูกเปลี่ยนเส้นทางไปยังโดเมนภายใต้การควบคุมของผู้โจมตีซึ่งใช้ในการโจมตีช่องโหว่ดังกล่าว ก่อนที่จะเปลี่ยนเส้นทางกลับไปยังเว็บไซต์ที่ถูกต้อง การกระทำดังกล่าวใช้เพื่อส่ง ALIEN Android banking Trojan ที่ทำหน้าที่เป็นตัวโหลด Cytrox's Predator

(more…)

ในวันที่ 3 ของงาน Pwn2Own งานแข่งขันของแฮ็กเกอร์ซึ่งปีนี้ถูกจัดขึ้นที่แวนคูเวอร์ประเทศแคนาดา นักวิจัยด้านความปลอดภัยได้ใช้ช่องโหว่ Zero-day 3 รายการแฮ็กระบบปฏิบัติการ Windows 11 ของ Microsoft ได้สำเร็จ

ในความพยายามครั้งแรกของทีม DoubleDragon ในการพยายามแฮ็กผ่าน Microsoft Teams ไม่สำเร็จ เนื่องจากไม่สามารถโจมตีได้สำเร็จภายในระยะเวลาที่ Microsoft กำหนด แต่ก็ยังมีผู้เข้าแข่งขันรายอื่นๆที่สามารถแฮ็ก Windows 11 ได้สำเร็จถึงสามครั้ง รวมไปถึงการแฮ็ก Ubuntu Desktop ด้วยอีกหนึ่งครั้ง ซึ่งทำให้ผู้เข้าแข่งขันได้รับเงินไปทั้งหมด $160,000

(more…)

Cybersecurity and Infrastructure Security Agency (CISA) ได้เพิ่มช่องโหว่อีก 2 รายการเข้าสุ่รายการเฝ้าระวังช่องโหว่ร้ายแรงที่กำลังถูกนำมาใช้ในการโจมตีจริง ช่องโหว่แรกคือช่องโหว่ code injection บน Spring Cloud Gateway library และอีกหนึ่งช่องโหว่ command injection ในเฟิร์มแวร์ของ Zyxel บนอุปกรณ์ไฟร์วอลล์ และ VPN

โดยช่องโหว่ Spring Framework (CVE-2022-22947) เป็นช่องโหว่ระดับ Critical ที่สามารถทำให้ผู้โจมตีสามารถสั่งรันโค้ดที่เป็นอันตรายจากระยะไกลได้บนเครื่องที่ยังไม่ได้อัปเดตแพตซ์

ซึ่งปัจจุบัน Botnet ที่รู้จักกันในชื่อ Sysrv เริ่มดำเนินการโจมตีเพื่อติดตั้งมัลแวร์ cryptomining บนเซิร์ฟเวอร์ Windows และ Linux ที่มีช่องโหว่

ผู้โจมตียังโจมตีโดยใช้ช่องโหว่ในเฟิร์มแวร์ของ Zyxel (CVE-2022-30525) ซึ่งพึ่งได้รับการแก้ไขไปเมื่อวันที่ 12 พฤษภาคม และเริ่มพบการโจมตีทันทีหลังจากวันที่ทาง Zyxel ออกแพตซ์อัปเดตออกมา

Rapid7 พบผลิตภัณฑ์ของ Zyxel ที่มีช่องโหว่มากกว่า 15,000 เครื่องที่สามารถเข้าถึงได้จากอินเทอร์เน็ต ในขณะที่ Shadowserver ตรวจพบอุปกรณ์ที่อาจได้รับผลกระทบอย่างน้อย 20,000 เครื่อง

นับตั้งแต่การโจมตีเริ่มต้นขึ้น Rob Joyce ผู้อำนวยการด้านความปลอดภัยทางไซเบอร์ของ NSA ยังเตือนผู้ดูแลระบบเกี่ยวกับการโจมตีที่เริ่มพบมากขึ้นเรื่อยๆ และแนะนำให้รีบอัปเดตเฟิร์มแวร์ของไฟร์วอลล์ Zyxel โดยเร็วที่สุด

(more…)

Apple ออกแพตช์อัปเดตด้านความปลอดภัยเพื่อแก้ไขช่องโหว่ Zero-day ที่ผู้โจมตีสามารถใช้ประโยชน์จากช่องโหว่ในการโจมตีไปยังอุปกรณ์ Mac และ Apple Watch

ในคำแนะนำด้านความปลอดภัยที่ออกมาเมื่อวันจันทร์จาก Apple มีการระบุว่าทาง Apple ได้รับทราบถึงรายงานของช่องโหว่ด้านความปลอดภัยนี้แล้ว และยังคาดว่าอาจมีการนำไปใช้ในการโจมตีจริง นักวิจัยที่ไม่ได้ระบุชื่อเป็นผู้รายงานช่องโหว่ดังกล่าว และได้รับการแก้ไขจาก Apple ใน macOS Big Sur 11.6, watchOS 8.6 และ tvOS 15.5 โดยช่องโหว่เกิดจาก out-of-bounds write issue (CVE-2022-22675) ใน AppleAVD (kernel extension สำหรับการถอดรหัสเสียง และวิดีโอ) ที่ทำให้แอปสามารถสั่งรันโค้ดได้ตามต้องการด้วยสิทธิ์ของ kernel

อุปกรณ์ที่ได้รับผลกระทบ ได้แก่ Apple Watch Series 3 หรือใหม่กว่า, Mac ที่ใช้ macOS Big Sur, Apple TV 4K, Apple TV 4K (รุ่นที่ 2) และ Apple TV HD

แม้ว่า Apple ได้เปิดเผยรายงานว่าคาดว่าน่าจะมีการโจมตีเกิดขึ้นจริงแล้ว แต่ก็ยังไม่มีข้อมูลเพิ่มเติมเกี่ยวกับการโจมตีดังกล่าว

Apple ตั้งเป้าอัปเดตด้านความปลอดภัยบน Apple Watch และ Mac ให้กับผู้ใช้งานให้ได้มากที่สุด ก่อนที่ผู้โจมตีจะรู้รายละเอียดของ Zero-day และเริ่มนำมาปรับใช้ในการโจมตีส่วนอื่นๆ แม้ว่า Zero-day นี้ส่วนใหญ่จะใช้โจมตีได้แค่บางอุปกรณ์เท่านั้น แต่ทาง Apple ก็แนะนำให้ผู้ใช้งานรีบอัปเดต macOS และ watchOS โดยเร็วที่สุดเพื่อป้องกันการโจมตีที่อาจจะเกิดขึ้น

5 Zero-days ที่ถูกแพตช์ในปี 2022

ในเดือนมกราคม Apple ได้ทำการแพตช์ Zero-days อีกสองตัวที่ถูกใช้ในการโจมตีเป็นวงกว้าง โดยผู้โจมตีสามารถเรียกใช้โค้ดด้วยสิทธิ์เคอร์เนล (CVE-2022-22587) และเก็บข้อมูลการเข้าใช้งานเว็บไซต์, ข้อมูลประจำตัวผู้ใช้แบบเรียลไทม์ (CVE-2022-22594)

หนึ่งเดือนต่อมา Apple ได้เผยแพร่การอัปเดตด้านความปลอดภัยเพื่อแก้ไขช่องโหว่ Zero-days (CVE-2022-22620) ใหม่ ซึ่งถูกใช้ในการแฮ็ก iPhone, iPad และ Mac ซึ่งสามารถทำให้เกิด OS crashes รวมถึงการสั่งรันโค้ดที่เป็นอันตรายบนอุปกรณ์ Apple ที่ถูกโจมตีได้

ในเดือนมีนาคมก็มีการพบ Zero-days อีกสองตัวใน Intel Graphics Driver (CVE-2022-22674) และ AppleAVD media decoder (CVE-2022-22675) ใน macOS เวอร์ชันเก่า, watchOS 8.6 และ tvOS 15.5

Zero-days ทั้ง 5 นี้ส่งผลกระทบต่อ iPhone (iPhone 6s ขึ้นไป), Mac ที่ใช้ macOS Monterey และ iPad หลายรุ่น

ซึ่งตลอดปีที่ผ่านมา Apple ยังได้ออกแพตซ์แก้ไขช่องโหว่ Zero-days อีกจำนวนมากที่ถูกมุ่งเป้าโจมตีไปยังอุปกรณ์ iOS, iPadOS และ macOS

ที่มา: bleepingcomputer

พบช่องโหว่ Zero-day ในแอปพลิเคชัน 7-zip โดยช่องโหว่ที่พบนี้สามารถยกระดับสิทธิ์ผู้โจมตีให้เป็นผู้ดูแลระบบได้ ช่องโหว่นี้ถูกค้นพบโดยผู้ใช้ GitHub ที่ชื่อว่า Kagancapar โดยมีหมายเลข CVE-2022-29072

7-zip เป็นแอปพลิเคชันที่สามารถใช้งานได้หลายแพลตฟอร์ม แต่ช่องโหว่นี้ส่งผลกระทบกับ Windows โดยตรง เนื่องการโจมตีต้องอาศัย Windows help application ที่ชื่อว่า hh.

Google ออกแพตซ์อัพเดทสำหรับเบราว์เซอร์ Chrome เวอร์ชัน 100.0.4896.127 สำหรับ Windows, Mac และ Linux เพื่อแก้ไขช่องโหว่ Zero-day ที่มีความรุนแรงสูง ที่กำลังถูกใช้ในการโจมตีจากผู้ไม่หวังดี

"Google ทราบดีถึงการโจมตีโดยช่องโหว่ CVE-2022-1364 ที่กำลังเกิดขึ้นอยู่ในปัจจุบัน" โดยระบุว่าการอัปเดตเบราว์เซอร์ Chrome นี้ ผู้ใช้งานสามารถอัพเดทได้ทันทีโดยไปที่ Chrome menu > Help > About Google Chrome เบราว์เซอร์จะทำการตรวจหาการอัปเดตใหม่โดยอัตโนมัติ และติดตั้งในครั้งต่อไปที่ผู้ใช้ได้ทำการปิด และเปิด Google Chrome ขึ้นมาใหม่

เนื่องจากช่องโหว่นี้เริ่มถูกนำไปใช้ในการโจมตีจำนวนมาก จึงแนะนำให้ผู้ใช้งานทำการตรวจสอบการอัปเดตเวอร์ชันด้วยตนเองทันที และทำการปิด-เปิดเบราว์เซอร์ใหม่เพื่อใช้งาน

รายละเอียดเพิ่มเติม

ช่องโหว่ zero-day ที่ได้รับการแก้ไขในครั้งนี้มีเลข CVE-2022-1364 เป็นช่องโหว่ type confusion ระดับความความรุนแรงสูง บน Chrome V8 JavaScript engine

แม้ว่าช่องโหว่ type confusion โดยทั่วไปแล้วจะทำให้เกิด browser crashes เมื่อถูกโจมตีได้สำเร็จ แต่ผู้โจมตียังสามารถโจมตีเพื่อสั่งรันโค้ดที่เป็นอันตรายได้ด้วยเช่นเดียวกัน

ช่องโหว่นี้ถูกค้นพบโดย Clément Lecigne จากกลุ่ม Google Threat Analysis ซึ่งเป็นผู้รายงานไปยังทีม Google Chrome ในขณะที่ Google กล่าวว่าพวกเขาตรวจพบการโจมตีที่ใช้ประโยชน์จากช่องโหว่นี้แล้ว แต่ไม่ได้ให้รายละเอียดเพิ่มเติมเกี่ยวกับวิธีการโจมตีที่พบ

โดย Google แจ้งล่าสุดว่า "รายละเอียดของช่องโหว่จะยังไม่ถูกเปิดเผย จนกว่าผู้ใช้งานส่วนใหญ่จะได้รับการอัปเดตและการแก้ไข" ช่องโหว่นี้เป็นช่องโหว่เดียวในการอัปเดตครั้งนี้ ซึ่งแสดงให้เห็นว่า Chrome เวอร์ชัน 100.0.4896.127 เป็นการออกอัพเดทอย่างเร่งด่วนเพื่อแก้ไขช่องโหว่นี้โดยเฉพาะ

ช่องโหว่ Zero-day บน Chrome ช่องโหว่ที่ 3 ของปีนี้

ช่องโหว่ 2 รายการก่อนหน้านี้ที่พบในปี 2565 มีดังต่อไปนี้

CVE-2022-1096 - 25 มีนาคม
CVE-2022-0609 - 14 กุมภาพันธ์

ที่มา : bleepingcomputer.

Microsoft พบมัลแวร์ตัวใหม่ซึ่งถูกใช้โดยกลุ่มแฮ็กเกอร์ Hafnium ที่คาดว่าได้รับการสนับสนุนจากจีน โดยตัวมันจะพยายามแฝงตัวอยู่บนเครื่องที่ควบคุมไว้โดยการสร้าง schedule tasks และซ่อนไว้

ก่อนหน้านี้กลุ่ม Hafnium ได้มุ่งเป้าการโจมตีไปที่บริษัทที่ทำธุรกิจด้านการป้องกันประเทศ ของสหรัฐฯ สถาบันที่มีการรวมกลุ่มผู้เชี่ยวชาญจากสาขาวิชาต่างๆทั้งภาครัฐ และเอกชน นักวิจัยผู้เชี่ยวชาญด้านการโจมตีทางไซเบอร์ นอกจากนี้ยังเป็นกลุ่มเดียวกับที่ Microsoft กล่าวหาว่าเกี่ยวข้องกับการโจมตีช่องโหว่ ProxyLogon ซึ่งส่งผลกระทบต่อ Microsoft Exchange ทุกเวอร์ชัน

พยายามแฝงตัวอยู่บนเครื่องที่ควบคุมด้วยการลบค่า Registry ของ Windows

Microsoft Detection and Response Team (DART) กล่าวว่า Microsoft ยังคงติดตามความเคลื่อนไหวกลุ่ม HAFNIUM ที่มักโจมตีโดยการใช้ช่องโหว่ Zero-day

จากข้อมูลล่าสุดพบการพยายามเชื่อมต่อไปยังเครื่องอื่นๆภายในเครือข่ายของเหยื่อ และหลีกเลี่ยงการตรวจจับโดยการซ่อน schedule tasks ที่ถูกสร้างขึ้นด้วยเครื่องมือที่เรียกว่า Tarrask

เครื่องมือที่ชื่อว่า Tarrask นี้จะใช้ช่องโหว่ของ Windows เพื่อซ่อน schedule tasks จาก "schtasks /query" และ Task Scheduler โดยการลบค่า Registry ของ Security Descriptor

กลุ่ม Hafnium จะใช้ schedule tasks ที่ถูกซ่อนเหล่านี้เพื่อเข้าถึงอุปกรณ์ที่ถูกแฮ็ก แม้ว่าจะทำการรีบูตแล้วก็ตาม มันจะทำการเชื่อมต่อใหม่ด้วยคำสั่ง cmd อีกครั้ง

วิธีป้องกันการโจมตีจาก Tarrask

schedule tasks "ที่ซ่อนอยู่" จะเห็นได้จากการตรวจสอบ Windows Registry โดยดูได้จาก Tasks ที่ไม่มีค่า SD (security descriptor)
ผู้ดูแลระบบสามารถเปิดใช้งาน Security.

Spring ได้ออกแพตซ์อัปเดตเร่งด่วนเพื่อแก้ไขช่องโหว่ Zero-day remote code execution ของ 'Spring4Shell' ซึ่งก่อนหน้านี้มีข้อมูลรายละเอียดของช่องโหว่ และโค้ดที่ใช้การโจมตีถูกปล่อยออกมา ก่อนที่จะมีแพตช์อัปเดตเพื่อแก้ไขช่องโหว่ดังกล่าว

เมื่อวานนี้ (30 มีนาคม 2022) มีการพบ exploit code ที่ใช้สำหรับโจมตีช่องโหว่ remote code execution ใน Spring Framework ที่มีชื่อว่า 'Spring4Shell' มีการเผยแพร่อยู่บน GitHub และได้ถูกลบออกไปแล้ว อย่างไรก็ตามข้อมูลได้ถูกแชร์ออกไปอย่างรวดเร็ว และได้มีการทดสอบโดยนักวิจัยด้านความปลอดภัย ซึ่งยืนยันว่าสามารถใช้ในการโจมตีได้จริง

Spring ได้ออกคำแนะนำด้านความปลอดภัยโดยแจ้งว่าช่องโหว่นี้ (CVE-2022-22965) จะส่งผลกระทบต่อแอปพลิเคชัน Spring MVC และ Spring WebFlux ใน JDK 9

การโจมตีช่องโหว่ดังกล่าวต้องใช้ Apache Tomcat, แอปพลิเคชันแพ็คเกจ WAR และ "spring-webmvc หรือ spring-webflux" dependencies

ช่องโหว่ดังกล่าวส่งผลกระทบกับแอปพลิเคชัน Spring MVC และ Spring WebFlux ที่ทำงานบน JDK 9+ ซึ่งการโจมตีจะสำเร็จได้ก็ต่อเมื่อ แอปพลิเคชันที่ทำงานบน Tomcat ที่ถูกติดตั้งในรูปแบบ WAR

หากแอปพลิเคชันถูกติดตั้งเป็น Jar เป็นค่าเริ่มต้น จะไม่มีความเสี่ยงต่อการถูกโจมตี อย่างไรก็ตามช่องโหว่ดังกล่าวมีรายละเอียดที่ค่อนข้างกว้าง และอาจมีวิธีอื่นในการใช้ประโยชน์จากช่องโหว่ดังกล่าว (more…)

Deep Panda กลุ่มแฮ็กเกอร์ชาวจีน ใช้ช่องโหว่ log4shell โจมตีไปยัง VMware Horizon Server เพื่อติดตั้ง rootkit ตัวใหม่ที่มีชื่อเรียกว่า Fire Chili

Rootkit ดังกล่าว มี Digital signed certificate จาก Frostburn Studios (ผู้พัฒนาเกม) หรือจาก Comodo (ซอฟต์แวร์ด้านความปลอดภัย) ทำให้มันสามารถที่จะหลบเลี่ยงการตรวจจับของซอฟแวร์ป้องกันไวรัสได้ ซึ่งล่าสุดทาง Fortinet พบว่ากลุ่มแฮ็กเกอร์ Deep Panda ได้ทำการขโมย certificates ที่ถูกต้องดังกล่าวมาจากบริษัทข้างต้น

Deep Panda เป็นหนึ่งใน APT สัญชาติจีนที่มีชื่อเสียงอย่างมากในปฏิบัติการจารกรรมทางไซเบอร์มาเป็นระยะเวลานาน โดย FBI สามารถจับกุมสมาชิกของกลุ่มได้รายหนึ่งเมื่อปี 2560 หลังจากมีหลักฐานว่าเจ้าตัวเกี่ยวข้องกับการโจมตีโดยใช้ช่องโหว่ Zero-day 3 ช่องโหว่

Fire Chili rootkit

Rootkit เป็นมัลแวร์ที่มักจะแอบติดตั้งในรูปแบบเหมือนเป็น driver ของ Windows API ต่างๆ เพื่อแอบซ่อนไฟล์ หรือ Process ต่างๆของมันในระบบปฏิบัติการ เช่น ด้วยการเชื่อมต่อกับฟังก์ชัน programming บน Windows ตัว rootkit สามารถซ่อนชื่อไฟล์ process และ registry keys ไม่ให้ถูกตรวจพบได้ และเนื่องจากตัวมันมี digital certificates ที่ถูกต้องอีกด้วย จึงทำให้สามารถหลีกเลี่ยงการตรวจจับของซอฟแวร์ด้านความปลอดภัยและติดตั้งลงบนเครื่องได้อย่างง่ายดาย

หลังจากเริ่มทำงาน Fire Chili จะทำการตรวจสอบด้วยว่าตัวมันกำลังทำงานอยู่บนระบบที่ไม่ใช่ระบบที่ถูกสร้างขึ้นเพื่อดักจับการทำงานของมันอย่างเช่นพวก honeypot ได้อีกด้วย

Rootkit จะใช้ฟังก์ชันในการซ่อนตัวที่เรียกว่า IOCTLs (input/output control system calls) ตัวอย่างเช่น ในการซ่อนการเชื่อมต่อด้วย TCP Protocol จาก Netstat rootkit จะดักจับการเรียกใช้งาน IOCTL ตามปกติ หลังจากนั้นจะ Filter connection ของตัวมันออก แล้วค่อยแสดงผลเพื่อหลีกเลี่ยงการตรวจจับพฤติกรรมของมัน

นอกจากนี้ทาง Fortinet ยังพบว่าเคมเปญดังกล่าวมีความเกี่ยวข้องกับ Winnti ซึ่งก็เป็นอีกกลุ่มแฮ็กเกอร์ชาวจีนที่เป็นที่รู้จักในการโจมตีโดยใช้ Digital signed certificate ที่ถูกต้องเช่นเดียวกัน โดยกลุ่ม Winnti นั้นจะโจมตีไปยังบริษัทเกมเพื่อแอบขโมยข้อมูล digital certificates ออกมา ข้อมูลการเชื่อมโยงระหว่างสองกลุ่มนี้อาจยังไม่ชัดเจน แต่มีความเป็นไปได้ว่านักพัฒนาทั้งสองกลุ่มจะแบ่งปันข้อมูลกัน เช่น Digital signed certificate และ C2 Server เป็นต้น

ที่มา : bleepingcomputer

มีการเปิดเผยข้อมูลของช่องโหว่ Zero-day ตัวใหม่ใน Spring Core Java framework ที่มีชื่อว่า 'Spring4Shell' ซึ่งทำให้ผู้โจมตีสั่งรันโค้ดที่เป็นอันตรายได้จากระยะไกล (Remote code execution) ได้โดยไม่ต้องมีการตรวจสอบสิทธิ์บนแอปพลิเคชัน

Spring เป็น Application framework ยอดนิยมที่ช่วยให้นักพัฒนาซอฟต์แวร์พัฒนาแอปพลิเคชัน Java ได้อย่างรวดเร็ว แอปพลิเคชันเหล่านี้สามารถนำไปใช้งานบนเซิร์ฟเวอร์ เช่น Apache Tomcat ในลักษณะ Stand-alone packages ได้

โดยเมื่อวานนี้ (29 มีนาคม 2022) ได้มีการเปิดเผยช่องโหว่ของ Spring Cloud Function ซึ่งมีหมายเลขช่องโหว่คือ CVE-2022-22963 โดยคาดว่าน่าจะมี POC Exploit ถูกปล่อยตามออกมาในเร็วๆนี้

อย่างไรก็ตาม มีการพบข้อมูลเกี่ยวกับช่องโหว่ Remote code execution ของ Spring Core ที่ร้ายแรงกว่านั้นถูกเผยแพร่ใน QQ chat service และเว็บไซต์ด้าน Cybersecurity ของจีนในเวลาต่อมา

ในวันนี้ (30 มีนาคม 2022) Exploit code ของช่องโหว่ Zero-Day ดังกล่าวได้ถูกปล่อยออกมาในช่วงระยะเวลาหนึ่งก่อนที่จะถูกลบออกไป แต่นักวิจัยด้านความปลอดภัยทางไซเบอร์บางคนสามารถดาวน์โหลดโค้ดไว้ได้ทัน และในเวลาต่อมานักวิจัยด้านความปลอดภัยทางไซเบอร์และบริษัทรักษาความปลอดภัยจำนวนมากได้ยืนยันว่าข้อมูลช่องโหว่นั้นถูกต้อง และเป็นเรื่องที่น่ากังวลอย่างมาก

(more…)