คลังเก็บป้ายกำกับ: ช่องโหว่

ไมโครซอฟท์อุดช่องโหว่ Zero-day บนเอ็กซ์เชนจ์ “ProxyNotShell” แล้ว

ไมโครซอฟท์ปล่อยตัวอัปเดตด้านความปลอดภัยมาแก้ปัญหาช่องโหว่ Zero-day ร้ายแรงสองรายการบน Microsoft Exchange ที่รู้จักกันในชื่อ ProxyNotShell ที่ระบาดในวงกว้างอยู่ตอนนี้แล้ว ทั้งสองช่องโหว่นี้ใช้ร่วมกันเพื่อติดตั้งเว็บเชลล์ Chinese Chopper บนเซิร์ฟเวอร์เป้าหมายเพื่อแอบฝังตัวเองและจารกรรมข้อมูล

โดยพบการใช้เพื่อแพร่กระจายตัวเองบนเครือข่ายเหยื่ออย่างน้อยตั้งแต่กันยายน 2022 ที่ผ่านมา ซึ่งไมโครซอฟท์เองก็ออกมายอมรับว่ามีการโจมตีจริงตั้งแต่ 30 กันยายน โดยกล่าวว่า “รับรู้ถึงการโจมตีในวงจำกัด ที่ใช้ช่องโหว่ทั้งสองรายการนี้ในการเข้าถึงระบบของผู้ใช้”

ตอนนั้นไมโครซอฟท์ย้ำว่า “กำลังเฝ้าติดตามความเคลื่อนไหว พร้อมอัปเดตระบบตรวจจับไว้แล้ว รวมทั้งจะทำทุกวิถีทางเพื่อปกป้องลูกค้า พร้อมเร่งตัวแก้ไขช่องโหว่เหล่านี้ออกมาให้เร็วที่สุด” จากนั้นก็ออกแนวทางการตั้งค่า Defender ให้บล็อกการโจมตีนี้

แต่ภายหลังก็ต้องอัปเดตวิธีการที่แนะนำอีกถึงสองครั้ง หลังจากที่มีนักวิจัยออกมาเผยวิธีก้าวข้ามการตรวจจับ จนล่าสุดวันนี้ก็ได้ออกตัวอัปเดตแพ็ตช์อุดช่องโหว่ทั้งสองรายการนี้เป็นการถาวรเสียที ในฐานะส่วนหนึ่งของชุด Patch Tuesday ประจำเดือนกันยายน 2022 นี้

อ่านเพิ่มเติมที่นี่ – Bleepingcomputer

from:https://www.enterpriseitpro.net/microsoft-fixes-proxynotshell-exchange-zero-days/

VMware แก้ไขช่องโหว่ร้ายแรงสามรายการ สาเหตุร้ายในการทะลุระบบการยืนยันตัวตนได้แล้ว

VMware ปล่อยตัวอัปเดตด้านความปลอดภัยเพื่อแก้ไขช่องโหว่ร้ายแรงสามรายการในโซลูชั่น Workspace ONE Assist ที่เปิดให้ผู้โจมตีจากภายนอกก้าวข้ามการยืนยันตัวตน พร้อมยกระดับสิทธิ์ตัวเองขึ้นเป็นแอดมินได้

Workspace ONE Assist ใช้ทั้งการควบคุมระยะไกล, แชร์หน้าจอ, จัดการไฟล์ระบบ, และรันคำสั่งจากระยะไกล เพื่ออำนวยความสะดวกแก่ฝ่ายซัพพอร์ตและเจ้าหน้าที่ไอทีในการเข้าถึงระยะไกล และแก้ปัญหาอุปกรณ์แบบเรียลไทม์จากหน้าคอนโซล

ช่องโหว่ทั้งหมดนี้ได้แก่รหัส CVE-2022-31685 (ช่องโหว่ข้ามการยืนยันตัวตน), CVE-2022-31686 (ช่องโหว่ในขั้นตอนการยืนยันตัวตน), และ CVE-2022-31687 (ช่องโหว่ในการควบคุมการยืนยันตัวตน) ทั้งหมดนี้ได้คะแนนความร้ายแรงสูงสุดถึง 9.8 เต็ม 10 ตามสเกล CVSS

โดยผู้โจมตีไม่ต้องล็อกอินก็สามารถใช้เข้าระบบได้ด้วยการโจมตีง่ายๆ ไม่ต้องอาศัยความร่วมมือจากผู้ใช้ในการยกระดับสิทธิ์เลย แพ็ตช์ที่อัปเดตครั้งนี้มาในเวอร์ชั่นใหม่ Workspace ONE Assist 22.10 (89993) สำหรับลูกค้าวินโดวส์ พร้อมกับการอุดช่องโหว่ XSS ภายใต้รหัส CVE-2022-31688 ด้วย

อ่านเพิ่มเติมที่นี่ – Bleepingcomputer

from:https://www.enterpriseitpro.net/vmware-fixes-three-critical/

มีช่องโหว่ร้ายแรงมากบน Juniper Junos OS ที่กระทบอุปกรณ์เครือข่ายระดับองค์กร

มีการเปิดเผยช่องโหว่ระดับร้ายแรงมากหลายรายการบนอุปกรณ์ของ Juniper Networks ที่อาจทำให้เข้าไปรันโค้ดอันตรายได้ ที่ร้ายแรงที่สุดได้แก่ช่องโหว่แบบ Deserialization ของไฟล์ Archive บน PHP แบบยืนยันตนล่วงหน้าจากระยะไกล

เป็นช่องโหว่ภายใต้รหัส CVE-2022-22241 คะแนนความร้ายแรงอยู่ที่ 8.1 ตามสเกลของ CVSS พบในส่วนของ J-Web บน Junos OS อ้างอิงตามที่นักวิจัย Paulos Yibelo จาก Octagon Networks ระบุ เป็นช่องโหว่ที่เปิดให้ถูกโจมตีจากภายนอกได้โดยไม่ต้องยืนยันตัวตน

Yibelo ย้ำในรายงานที่แชร์ให้สำนักข่าว The Hacker News ว่า “ช่องโหว่นี้ทำให้สามารถเข้าไปเขียนไฟล์อันตรายเพื่อทำการรันโค้ดอันตรายจากระยะไกล” นอกจากตัวนี้แล้วก็มีช่องโหว่อย่าง CVE-2022-22242 (CVSS score: 6.1) ที่เป็น XSS บนหน้า error.php

หรือ CVE-2022-22243 (CVSS score: 4.3) และ CVE-2022-22244 (CVSS score: 5.3) ที่เป็นช่องโหว่แบบ XPATH Injection ที่เปิดให้ผู้โจมตีจากระยะไกลที่ยืนยันตนได้ สามารถจารกรรมและควบคุมเซสชั่นแอดมินบน Junos OS ได้ เป็นต้น

อ่านเพิ่มเติมที่นี่ – THN

from:https://www.enterpriseitpro.net/high-severity-flaws-in-juniper-junos-os-affect-enterprise-networking-devices/

คู่สัญญาของกลาโหมสหรัฐฯ โดนแฮ็กผ่านช่องโหว่บน Microsoft Exchange

สามเสาหลักด้านความปลอดภัยทางไซเบอร์ของสหรัฐฯ ทั้งหน่วยความมั่นคงแห่งชาติ (NSA) ทาง FBI และหน่วยความมั่นคงด้านความปลอดภัยของระบบไซเบอร์และโครงสร้างพื้นฐาน (CISA) ออกแถลงการณ์ร่วม ยอมรับว่ามีผู้โจมตีจำนวนมากจ้องเล่นงานระบบไอทีของการทหารในประเทศ

โดยเมื่อวันที่ 4 ตุลาคมที่ผ่านมานั้น ได้ออกแถลงการณ์เกี่ยวกับอันตรายขั้นสูงแบบต่อเนื่องหรือ APT ที่โจมตีบนเครือข่ายระดับองค์กรที่เกี่ยวข้องกับ “Defense Industrial Base (DIB)” ที่ทาง CISA เคยระบุถึงการโจมตีลักษณะนี้เมื่อพฤศจิกายนปีที่แล้ว และเชื่อว่ามีการโจมตีครั้งแรกมาตั้งแต่มกราคม 2021

กลุ่ม APT มักมีความเชื่อมโยงกับการสนับสนุนจากรัฐบาลประเทศต่างๆ เน้นใช้วิธีการที่ซับซ้อนในการเข้าแทรกซึมระบบเป้าหมายอย่างต่อเนื่อง ซุ่มนานเป็นเดือนเป็นปี และครั้งนี้ก็ใช้ช่องโหว่บน Microsoft Exchange หลายรายการเช่น CVE-2021-27065 และ CVE-2021-26858

ผู้โจมตีใช้ช่องโหว่เหล่านี้ติดตั้งเว็บเซลล์อันตราย China Chopper บนเซิร์ฟเวอร์เอ็กซ์เชนจ์ของบริษัท เป็นประตูหลังที่เปิดให้เข้าถึงเซิร์ฟเวอร์หลักได้โดยไม่ต้องพึ่งการเชื่อมต่อไปที่ระบบของเซิร์ฟควบคุมสั่งการ (C2) ของแฮ็กเกอร์แต่อย่างใด เว็บเชลล์นี้พบการนำมาใช้อย่างแพร่หลายมากขึ้นในปีนี้

from:https://www.enterpriseitpro.net/us-military-contractor-hacked-through-microsoft-exchange/

ไมโครซอฟท์ยืนยันพบช่องโหว่ Zero-day บน Exchange 2 รายการ ที่กำลังโดนโจมตีในวงกว้าง

ไมโครซอฟท์ประกาศเป็นทางการแล้วว่า กำลังสืบสวนเกี่ยวกับช่องโหว่ด้านความปลอดภัยแบบ Zero-day ที่กระทบกับ Exchange Server 2013, 2016, และ 2019 ซึ่งมีรายงานพบการนำไปใช้ประโยชน์ในการโจมตีจริงมาแล้ว

โดยรายการแรก CVE-2022-41040 เป็นช่องโหว่แบบ Server-Side Request Forgery (SSRF) อีกช่องโหว่หนึ่งรหัส CVE-2022-41082 เป็นการเปิดให้รันโค้ดได้จากระยะไกล (RCE) ที่ทำให้ผู้โจมตีเข้าถึงส่วนของพาวเวอร์เชลล์ได้

นอกจากนี้ยังยอมรับว่าทราบถึง “การโจมตีจริงในวงจำกัด” ที่ใช้ช่องโหว่เหล่านี้เข้าถึงระบบเป้าหมายด่านแรก แต่ก็ย้ำว่ายังต้องใช้เทคนิคที่ทำให้เข้าถึงผ่านระบบยืนยันตัวตนอีกชั้นหนึ่งถึงจะเจาะเซิร์ฟเวอร์ Exchange ได้สำเร็จ

ทั้งนี้ไมโครซอฟท์ย้ำว่ากำลังเร่งแก้ไขช่องโหว่นี้เป็นพิเศษ ระหว่างนี้ขอให้ผู้ใช้เพิ่มกฎใน IIS Manager ไปพลางก่อน โดยให้ปิดกั้นคำร้องขอ “.*autodiscover\.json.*\@.*Powershell.*” (เอาเครื่องหมายคำพูดออกด้วยตอนกรอก)

อ่านเพิ่มเติมที่นี่ – THN

from:https://www.enterpriseitpro.net/microsoft-confirms-2-new-exchange-zero-day-flaws/

พบรูรั่วใหม่ทำให้มัลแวร์เจาะเวอร์ช่วลแมชชีนบนเซิร์ฟเวอร์ VMware ESXi ได้

พบการใช้เทคนิคใหม่ในการฝังตัวบนไฮเปอร์ไวเซอร์อย่าง VMware ESXi เพื่อควบคุมเซิร์ฟเวอร์ vCenter และเวอร์ช่วลแมชชีนทั้งวินโดวส์และลีนุกซ์ แบบที่หลบเลี่ยงการตรวจจับได้ โดยใช้ตัวชุดติดตั้ง vSphere อันตรายที่ออกแบบมาเป็นพิเศษ

ผู้โจมตีสามารถใช้ตัวติดตั้งนี้ฝังตัวรูรั่วบนไฮเปอร์ไวเซอร์แบบเปลือย (Bare-Metal) ได้ถึงสองตัว ที่นักวิจัยตั้งชื่อว่า VirtualPita และ VirtualPie นอกจากนี้ยังพบตัวอย่างมัลแวร์พิเศษอย่าง VirtualGate ที่มาพร้อมตัวดรอปเปอร์และข้อมูลเปย์โหลดด้วย

นักวิจัยจากบริษัทด้านความปลอดภัยทางไซเบอร์ Mandiant (ที่ล่าสุดโดนกูเกิ้ลซื้อไปแล้ว) พบว่าขบวนการที่อยู่เบื้องหลังอาจมีความเกี่ยวข้องกับทางการจีน โดยเฉพาะจากเทคนิคการใช้ชุดติดตั้ง vSphere หรือ VIB เป็นสะพานติดเชื้อมัลแวร์ทั้งสองตัว

VIB หรือ vSphere Installation Bundle เป็นแพกเกจรวมไฟล์สำหรับสร้างและดูแลอิมเมจ ESXi ให้แอดมินจัดการการติดตั้ง ESXi ได้ ทั้งการสร้างสตาร์ทอัพทาส์ก, กฎไฟร์วอลล์, หรือสั่งรันโค้ดไบนารีต่างๆ เมื่อเริ่มต้นเปิดเครื่อง

อ่านเพิ่มเติมที่นี่ – Bleepingcomputer

from:https://www.enterpriseitpro.net/new-malware-backdoors-vmware-esxi-servers/

พบแฮ็กเกอร์เจาะช่องโหว่แบบ RCE ที่เป็น Zero-day บนไฟร์วอลล์ Sophos (ตอนนี้มีแพ็ตช์แล้ว)

ผู้ผลิตซอฟต์แวร์ความปลอดภัย Sophos ได้ออกแพ็ตช์อัปเดตสำหรับผลิตภัณฑ์ไฟร์วอลล์ของตัวเอง หลังพบว่ามีผู้โจมตีกำลังใช้ประโยชน์จากช่องโหว่ร้ายแรงใหม่แบบ Zero-day เพื่อเข้าถึงเครือข่ายของลูกค้าตัวเอง

ช่องโหว่นี้อยู่ภายใต้รหัส CVE-2022-3236 (CVSS score: 9.8) กระทบกับ Sophos Firewall v19.0 MR1 (19.0.1) หรือเก่ากว่า เป็นช่องโหว่ที่เปิดให้ใส่โค้ดอันตรายในหน้าพอทัลผู้ใช้และเว็บแอดมิน จนทำให้โจมตีแบบรันโค้ดอันตรายจากระยะไกลได้

Sophos ย้ำว่า พบการใช้ช่องโหว่นี้โจมตีองค์กรมาแล้วจำนวนเล็กน้อยเท่านั้น ส่วนใหญ่อยู่ในภูมิภาคเอเชียใต้ และได้แจ้งเตือนลูกค้าเหล่านั้นเรียบร้อยแล้ว ระหว่างนี้แนะนำให้ผู้ใช้หาวิธีป้องกันไม่ให้หน้า User Portal และ Webadmin เข้าถึงได้จากฝั่ง WAN

รวมทั้งแนะนำให้อัปเดตเป็นเวอร์ชั่นใหม่ล่าสุด ช่องโหว่ครั้งนี้ถึงเป็นครั้งที่ 2 แล้วในปีนี้สำหรับไฟร์วอลล์ Sophos โดยครั้งก่อนเกิดขึ้นเมื่อมีนาคมภายใต้รหัส CVE-2022-1040 ซึ่งก็ถูกใช้ในการโจมตีองค์กรในภูมิภาคเอเชียใต้เช่นเดียวกัน

อ่านเพิ่มเติมที่นี่ – THN

from:https://www.enterpriseitpro.net/hackers-exploited-zero-day-rce-vulnerability-in-sophos-firewall/

เทรนด์ไมโครเตือนช่องโหว่ RCE ที่พบบนผลิตภัณฑ์ Apex One แนะนำให้แพ็ตช์ด่วน!

เทรนด์ไมโครออกมาเตือนลูกค้าเกี่ยวกับช่องโหว่ด้านความปลอดภัยบนตัวแพลตฟอร์มรักษาความปลอดภัยเอนด์พอยต์ Apex One ที่เป็นตัวตรวจจับและสกัดกั้นมัลแวร์ โดยเป็นช่องโหว่ภายใต้รหัส CVE-2022-40139 ที่พบการโจมตีในวงกว้างแล้ว

ช่องโหว่นี้เปิดให้รันโค้ดอันตรายได้จากระยะไกลบนระบบที่ยังไม่ติดตั้งแพ็ตช์ เกิดจากกลไกการตรวจสอบความถูกต้องขององค์ประกอบสำหรับการทำโรลแบ๊กที่มีปัญหา ทั้งบนตัว Trend Micro Apex One และไคลเอนด์ของ Trend Micro Apex One as a Service

ปัญหาคือการเปิดให้แอดมินโหลดแพ็กเกจโรลแบ๊กที่ตรวจสอบยังไม่ดีเข้ามาจนนำไปสู่การทำ RCE ได้ แต่นั่นหมายความว่าผู้โจมตีต้องสามารถเข้าถึงหน้าคอนโซลแอดมินของเซิร์ฟเวอร์ Apex One ให้ได้ก่อน ถึงจะใช้ช่องโหว่นี้ได้

เทรนด์ไมโครระบุว่า พบการใช้ช่องโหว่นี้โจมตีในวงกว้างอย่างน้อยหนึ่งครั้ง จึงแนะนำให้ลูกค้ารีบอัพเดตให้เร็วที่สุดเท่าที่เป็นไปได้ โดยเวอร์ชั่นล่าสุดที่ได้รับการแพ็ตช์แล้วคือ Apex One Service Pack 1 (Server Build 11092 และ Agent Build 11088)

อ่านเพิ่มเติมที่นี่ – ITPro

from:https://www.enterpriseitpro.net/trend-micro-cautions-against-actively-exploited-apex-one-rce-vulnerability/

Zyxel แพ็ตช์ช่องโหว่ RCE ร้ายแรงบนอุปกรณ์ NAS ของตัวเองแล้ว

ผู้ผลิตอุปกรณ์เน็ตเวิร์ก Zyxel ได้ปล่อยแพ็ตช์สำหรับแก้ไขช่องโหว่ร้ายแรงระดับวิกฤติที่กระทบกับอุปกรณ์สตอเรจที่เชื่อมต่อเครือข่าย (NAS) ของตัวเอง เป็นช่องโหว่ที่เกี่ยวกับ Format String ภายใต้รหัส CVE-2022-34747 (CVSS score: 9.8)

พบช่องโหว่นี้บน NAS ทั้งรุ่น NAS326, NAS540, และ NAS542 โดยทาง Zyxel ให้เครดิตนักวิจัยชื่อ Shaposhnikov Ilya ว่าเป็นผู้รายงานช่องโหว่เหล่านี้ ซึ่งเมื่อวันจันทร์ที่ผ่านมา ทางบริษัทได้ออกคำแนะนำด้านความปลอดภัยระบุว่า

“ช่องโหว่ตัว Format String นี้พบบนโค้ดไบนารีบางส่วนของผลิตภัณฑ์ Zyxel NAS ที่เปิดให้ผู้โจมตีสามารถรันโค้ดอันตรายได้จากระยะไกลโดยไม่ต้องยืนยันตัวตน โดยทำผ่านแพ็กเก็ต UDP” เวอร์ชั่นที่มีช่องโหว่ได้แก่ V5.21 C0 หรือเก่ากว่า

ช่องโหว่ก่อนหน้านี้ของ Zyxel ได้แก่ช่องโหว่ที่เปิดให้ยกระดับสิทธิ์ใช้งานภายในอุปกรณ์ และช่องโหว่ที่เปิดให้เข้าถึงไดเรกทอรีต่างๆ บนระบบ (Directory Traversal) ได้ อันได้แก่รหัส CVE-2022-30526 และ CVE-2022-2030 ที่เผยออกมาเมื่อกรกฎาคมปีนี้

อ่านเพิ่มเติมที่นี่ – THN

from:https://www.enterpriseitpro.net/critical-rce-vulnerability-affects-zyxel-nas-devices/

บอตเน็ตตระกูล Mirai ตัวใหม่ “MooBot” กำลังเล่นช่องโหว่บนเราท์เตอร์ D-Link

บอตเน็ตสายพันธุ์ที่แยกออกมาจากตัวในตำนาน Mirai ที่รู้จักกันในชื่อ MooBot กำลังใช้ประโยชน์ช่องโหว่บนอุปกรณ์ D-Link โดยเปลี่ยนให้เป็นกองทัพบอตสำหรับโจมตี Denial-of-Service (DoS) ผ่านช่องโหว่หลายรายการ

หน่วย Unit 42 ของ Palo Alto Networks ออกรายงานเมื่อวันอังคารมาว่า “ถ้าอุปกรณ์โดนเจาะแล้ว ก็จะโดนผู้โจมตีเข้าควบคุมอย่างสมบูรณ์ ซึ่งอาจจะนำอุปกรณ์เหยื่อนี้ไปใช้เป็นเครื่องมือโจมตีอื่นๆ ได้ เช่นการยิง DDoS”

MooBot นี้ค้นพบครั้งแรกโดยทีม Netlab ของ Qihoo 360 เมื่อกันยายน 2019 เคยเจอว่าเข้าโจมตีอุปกรณ์บันทึกวิดีโอแบบดิจิตอล LILIN และผลิตภัณฑ์กล้องวงจรปิดยี่ห้อ Hikvision เพื่อขยายเครือข่ายกองทัพโจมตีของตัวเองมาแล้ว

และครั้งล่าสุดที่ทาง Unit 42 ตรวจพบคือเมื่อสิงหาคม 2022 ที่มีการใช้ช่องโหว่ที่แตกต่างกันบนอุปกรณ์ D-Link ถึง 4 รายการ ทั้งช่องโหว่เก่าและใหม่ ไม่ว่าจะเป็น CVE-2015-2051 (CVSS score: 10.0), CVE-2018-6530 (CVSS score: 9.8), CVE-2022-26258 (CVSS score: 9.8), และ CVE-2022-28958 (CVSS score: 9.8)

อ่านเพิ่มเติมที่นี่ – THN

from:https://www.enterpriseitpro.net/mirai-variant-moobot-botnet-exploiting-d-link-router/