Metasploit 6.2.0 ออกแล้ว!

สำหรับสาย Pentest มีการอัปเดตในชุดเครื่องมือ Metasploit เวอร์ชันล่าสุดออกมาแล้วนะครับ

credit : metasploit.com

Metasploit 6.2.0 มีโมดูลใหม่กว่า 138 รายการ ฟีเจอร์และการอัปเดตใหม่ 148 รายการ พร้อมแก้ไขบั๊กของเดิมอีก 156 รายการ โดยเวอร์ชันก่อนหน้าออกมาตั้งแต่เดือนสิงหาคมปีก่อน สำหรับไฮไลต์ในของใหม่มีดังนี้

1. Capture Plugin – เป็นสิ่งที่จะช่วยให้การดักจับ Credentials ในเครือข่ายเป็นไปได้ดียิ่งขึ้น โดยปลั๊กอินจะมีการเปิดใช้ 13 บริการและ 4 บริการในรูปแบบ SSL 
2. Support SMB v3 Server – ผู้ใช้งานจะสามารถจัดตั้งเซิร์ฟเวอร์ SMB v3 แบบ Read-only เพื่อใช้แชร์ Payload หรือ DLLs ไปยังเครื่องปลายทางได้
3. ฟีเจอร์ใหม่สำหรับ Listening Service – มีการเพิ่มความสามารถให้ Listening Service เช่น HTTP, FTP, LDAP และอื่นๆ รองรับ IP Address และพอร์ต ที่อิสระมากกว่าการใช้ SRVHOST ซึ่งจะเป็นประโยชน์กับโมดูลที่ต้องการเชื่อมต่อกับเป้าหมายกับ Metasploit ผ่าน NAT หรือ Port Forward
4. Meterpreter Debugging – สามารถ Debug เซสชันของ Meterpreter ผ่าน Network Log Request & Response ระหว่าง msfconsole กับ Meterpreter (TLV Packet) 
5. เพิ่มความสามารถให้ Local Exploit – โมดูล local_exploit_suggester ได้รับการอัปเดตและแก้ไขบั๊ก รวมถึงหน้า UI

โมดูลช่องโหว่ใหม่

• VMware vCenter Server ด้วย Log4Shell (CVE-2021-44228) ใช้ได้ทั้ง Linux และ Windows [https://www.techtalkthai.com/vmware-warns-admin-about-log4j-patch-for-horizon-server/]
• F5 Big-ip iControl RCE ช่องโหว่การ Bypass การพิสูจน์ตัวตน (CVE-2022-1388) [https://www.techtalkthai.com/f5-big-ip-cve-2022-1388/]
• VMware Workspace One Acceess ช่องโหว่การ Bypass การพิสูจน์ตัวตน (CVE-2022-22954) [https://www.techtalkthai.com/cisa-urges-to-patches-critical-2-vmware-vulnerabilities-cve-2022-22973-and-22972/]
• Zyxel Firewall ZTP ช่องโหว่ RCE ผู้โจมตีที่ไม่ผ่านการพิสูจน์ตัวตนสามารถทำ Command Injection ได้ (CVE-2022-30525) [https://www.techtalkthai.com/zyxel-firewall-cve-2022-30525/]
• Windows Print Spooler ช่องโหว่ยกระดับสิทธิ์ใน Windows Print Spooler (CVE-2022-21999) โดยเป็นส่วนหนึ่งของแพตช์ Microsoft เดือนกุมภาพันธ์ที่ผ่านมา
• ช่องโหว่ยกระดับสิทธิ์ใน Linux หรือ DirtyPipe (CVE-2022-0847) [https://www.techtalkthai.com/linux-kernel-5-8-effect-cve-2022-0847/]

ท่านใดสนใจรายละเอียดเพิ่มเติมศึกษาได้ที่ https://www.rapid7.com/blog/

ที่มา : https://www.bleepingcomputer.com/news/security/metasploit-620-improves-credential-theft-smb-support-features-more/

from:https://www.techtalkthai.com/metasploit-6-2-0-has-been-released/

พบช่องโหว่ใหม่บน Fortinet FortiWeb แนะผู้ใช้เตรียมอัปเดต

ทีมงาน Rapid7 ได้เผยช่องโหว่ใหม่บน FortiWeb ซึ่งปัจจุบันยังไม่มีแพตช์ออกมา แต่แนะนำให้ผู้ใช้งานจับตาการอัปเดตปลายเดือนนี้

credit : Rapid7

CVE-2021-22123 (CVSSv3 8.7/10) เป็นช่องโหว่ของ OS Command Injection ซึ่งผู้โจมตีจะต้องผ่านการพิสูจน์ตัวตนให้ถึงหน้า Management Interface ก่อนเข้าไปทำ injection ในส่วนของ SAML Server Config ซึ่งจะได้รับการประมวลผลในสิทธิ์ระดับ Root อย่างไรก็ดีทีมงาน Rapid7 เผยว่าอาจจะนำไปใช้ร่วมกับช่องโหว่อื่นเพื่อทำ Authentication Bypass ในขั้นแรกก่อนด้วย CVE-2020-29015 โดยทีมงานแนะนำว่าให้จำกัดการเข้าถึงหน้า Management Interface จากเครือข่ายที่เหมาะสม โดยเฉพาะการเข้าผ่านอินเทอร์เน็ต

อีกประเด็นหนึ่งก็คือทีมงาน Fortinet ชี้ว่า Rapid7 เปิดเผยช่องโหว่เร็วกว่ากำหนด 90 วัน หลังจากเพิ่งยื่นรายงานมาช่วงต้นเดือนมิถุนายน และตนวางแผนที่จะปล่อยแพตช์ในปลายเดือนนี้ติดตามข้อมูลจากบล็อกของ Rapid7 ได้ที่ https://www.rapid7.com/blog/post/2021/08/17/fortinet-fortiweb-os-command-injection/

ที่มา : https://www.bleepingcomputer.com/news/security/fortinet-delays-patching-zero-day-allowing-remote-server-takeover/ และ https://www.zdnet.com/article/patch-released-for-fortinet-command-injection-vulnerability/

from:https://www.techtalkthai.com/fortinet-fortiweb-vulnerability-cve-2021-22123/

Rapid7 เข้าซื้อกิจการ IntSights ผู้ให้บริการ Threat Intelligence

Rapid7 เข้าซื้อกิจการ IntSights Cyber Intelligence Ltd. ผู้ให้บริการ Threat Intelligence

IntSights เป็นผู้ให้บริการ Threat Intelligence ที่ออกแบบมาสำหรับองค์กรทุกขนาด โดยทำให้ใช้งานได้ง่ายและลดความซับซ้อนลง ในขณะที่ยังสามารถตรวจจับภัยคุกคามได้ทุกรูปแบบ

Rapid7 เข้าซื้อกิจการ IntSights ทั้งหมดเป็นมูลค่ากว่า 1 หมื่นล้านบาท โดยเตรียมจะรวม IntSights เข้ากับโซลูชัน Rapid7 InsightIDR ซึ่งเป็นระบบ Cloud-native Extended Detection and Response (XDR) ช่วยให้องค์กรสามารถตรวจจับภัยคุกคามและลดผลกระทบจากการโจมตีได้อย่างรวดเร็ว

ที่มา: https://www.rapid7.com/about/press-releases/rapid7-acquires-intsights/

from:https://www.techtalkthai.com/rapid7-acquires-intsights-threat-intelligence-provider/

Rapid7 เปิดตัว InsightCloudSec

Rapid7 ได้ประกาศเปิดตัวผลิตภัณฑ์ InsightCloudSec ภายใต้แพลตฟอร์ม Insight ของตน

credit : rapid7

InsightCloudSec เป็นการนำเทคโนโลยีจากบริษัทที่ Rapid7 เคยเข้าซื้อคือ Alcide และ Divvcloud มารวมกัน เพื่อตอบโจทย์ในมุมมองของ Cloud Security ด้วยโซลูชันเดียวที่ครอบคลุม เรื่องของกิจกรรมความเคลื่อนไหว, IaaS(Infra as a Code) และ identity access management (IAM) 

ทั้งนี้เป้าหมายของ Rapid7 คือ

• ป้องกันปัญหาก่อนเกิดเหตุด้วยเครื่องมือเดียวที่รองรับ CI/CD pipeline ได้ทั้งหมด ด้วยการเผยถึงคอนฟิคที่ผิดพลาดและการละเมิดนโยบาย
• เพิ่มประสิทธิภาพในการประเมินความเสี่ยงขององค์กร ด้วยความสามารถในเรื่อง Visibility แต่ละเลเยอร์ของคลาวด์
• ช่วยทำให้เรื่อง Cloud Security เกิดขึ้นได้อย่างอัตโนมัติ ลดงานของ Dec และ Sec

ที่มา : https://www.rapid7.com/blog/post/2021/07/07/introducing-insightcloudsec/

from:https://www.techtalkthai.com/rapid7-%e0%b9%80%e0%b8%9b%e0%b8%b4%e0%b8%94%e0%b8%95%e0%b8%b1%e0%b8%a7-insightcloudsec/

Rapid7 เข้าซื้อกิจการ Velociraptor ผู้พัฒนาระบบ Cybersecurity Monitoring แบบ Open Source

Rapid7 ผู้เชี่ยวชาญทางด้าน Cybersecurity ประกาศเข้าซื้อกิจการ Velociraptor ผู้พัฒนาระบบ Cybersecurity Monitoring แบบ Open Source

Credit: ShutterStock.com

Velociraptor เป็นระบบ Next-generation Endpoint Monitoring ที่มีความสามารถในการทำ Digital Forensic Investigation, Incident Response ไปจนถึงการทำ Threat Hunting ในตัว รองรับการทำงานบน Windows, MacOS และ Linux โดยเป็นแพลตฟอร์มที่พัฒนาในรูปแบบ Open Source มี Community ของผู้ใช้งานตั้งแต่ระดับเริ่มต้นไปจนถึงผู้เชี่ยวชาญ

Velociraptor นั้นอยู่ภายใต้ Velocidex Enterprises Pty. Ltd. เป็นบริษัทสตาร์ทอัพจากประเทศออสเตรเลีย โดย Rapid 7 มีแผนจะนำเอาเทคโนโลยีของ Velociraptor บางส่วนไปช่วยเสริมโซลูชันของตนเองให้มีความสามารถมากขึ้นในอนาคต อย่างไรก็ตาม Community เดิมจะยังคงได้รับการสนับสนุน และ Source Code จะยังคงเปิดให้ใช้งานในรูปแบบ Open Source ต่อไป โดยการเข้าซื้อกิจการในครั้งนี้ ไม่มีการเปิดเผยมูลค่าแต่อย่างใด

ที่มา: https://siliconangle.com/2021/04/21/rapid7-acquires-open-source-cybersecurity-monitoring-platform-velociraptor/?fbclid=IwAR0nLI3fMP_rSNJD6BvcquRuBCxDGNwidkQEzPsU_KBA-wbLWzjZ69AaDno

from:https://www.techtalkthai.com/rapid7-acquires-velociraptor-opensource-cybersecurity-monitoring-platform/

Rapid7 เข้าซื้อกิจการ ‘Alcide’ เสริมทัพ Kubernetes Security

Rapid7 ผู้เชี่ยวชาญด้าน Cybersecurity ได้เสริมแกร่งในโซลูชัน Kubernetes Security โดยเฉพาะด้วยการเข้าซื้อกิจการ Startup ที่ชื่อว่า ‘Alcide’

Credit: ShutterStock.com

Alcide เป็น Startup สัญชาติอิสราเอลที่เพิ่งก่อตั้งในปี 2016 ทั้งนี้วิสัยทัศน์ของ Rapid7 จาก Brian Johnson, SVP ฝ่าย Cloud Security เชื่อว่าการเข้าซื้อกิจการครั้งนี้จะทำให้บริษัทนำส่งโซลูชันที่จะช่วยให้องค์กรมองเห็นภาพความมั่นคงปลอดภัยของ Cloud native Application ได้อย่างชัดเจน โดยมูลค่าของดีลครั้งนี้อยู่ที่ 50 ล้านเหรียญสหรัฐฯหรือราว 1,500 ล้านบาท

ที่มา : https://techcrunch.com/2021/02/01/rapid7-acquires-kubernetes-security-startup-alcide-for-50m/

from:https://www.techtalkthai.com/rapid7-to-acquire-alcide-for-kubernetes-security-solution/

5 ไอเดียการเก็บข้อมูลจากเครือข่ายเพื่อนำมาวิเคราะห์หรือตรวจสอบ

Rapid7 ได้นำเสนอ 5 ไอเดียในการเก็บข้อมูลเครือข่ายเพื่อนำออกมาวิเคราะห์ประสิทธิภาพในการใช้งาน ความมั่นคงปลอดภัย หรือ PoC อุปกรณ์ใหม่ๆ ที่สนใจนำมาทำโซลูชัน 

1.) SPAN / Mirror Port

วิธีการนี้เป็นฟังก์ชันทั่วไปของ Managed Switch ของอุปกรณ์ทั่วไป ที่เปิดให้เราใช้คำสั่งเพื่อทำสำเนาชุดข้อมูลจากทราฟฟิคของ VLAN หรือพอร์ตที่ต้องการไปยังปลายทางพอร์ตอื่นได้ ตามรูปประกอบด้านล่าง โดยหากต้องการข้อมูลที่ฉายภาพรวมได้ดีนั้น Core Switch คือเป้าหมายที่ดีในการนำข้อมูลออกมาวิเคราะห์ ข้อดีอีกอย่างคือวิธีการนี้จะได้สำเนาทราฟฟิคออกมาเท่านั้น จึงไม่ขัดขวางการทำงานปกติของ Switch

2.) Virtual Port Group

Hypervisor หลายเจ้าอนุญาตให้เราสามารถ Monitor Traffic ผ่านการเปิดโหมดพิเศษให้ NIC ที่เรียกว่า ‘Promiscuous’ ซึ่งจะทำให้อินเทอร์เฟสนั้นสามารถรับข้อมูลเครือข่ายได้ โดยเพียงแค่เราติดตั้ง VM ที่สามารถวิเคราะห์ข้อมูลเชื่อมต่อ Virtual Port นี้เข้าไปเท่านั้น ทั้งหมดนี้เป็นความสามารถเชิงซอฟต์แวร์ของ Hypervisor จึงทำได้ไม่ยากเลย 

3.) Mirror Port บน Virtual Switch

ชื่อก็บอกอยู่แล้วว่าเป็น Virtual นั้นหมายความถึงเป็นอีกหนึ่งความสามารถเชิงซอฟต์แวร์ของ Hypervisor เช่นบน vCenter ซึ่งก็คือทำ Mirror Port บน Virtual Distribute Switch ตัวหนึ่งเท่านั้นเอง โดยอันที่จริงแล้วหากไม่ทำแบบนี้ก็ต้องไปติดตั้ง Network Sensor หรือ Agent บนทุก Host แทนเพื่อเก็บข้อมูลที่ยุ่งยากกว่า 

4.) Network TAP และ Packet Broker

Network TAP เป็นอุปกรณ์ที่มี 3 ขาคือ input, output และ monitor โดยเพียงแค่นำไปวางขวางการไหลของทราฟฟิค ซึ่งโดยส่วนใหญ่นิยมนำไปวางขวางหลัง Switch กับ Firewall นอกจากนี้ยังต้องมี Downtime เพื่อติดตั้งอุปกรณ์ด้วย อย่างไรก็ดีผู้ใช้งานก็จะได้รับสำเนาของทราฟฟิคไปใช้ต่อได้

Network Packet Broker เป็นอุปกรณ์ Physical ที่คัดเลือกเนื้อข้อมูลแพ็กเก็ตจากอินเทอร์เฟสอีกทีหนึ่ง เช่น รับต่อมาจาก SPAN หรือ TAP โดยเน้นเพื่อทำเรื่องการวิเคราะห์เครือข่ายโดยเฉพาะ เพราะ Switch นั้นมีการจำกัดจำนวนการ SPAN ไว้ ด้วยเหตุนี้เองในองค์กรใหญ่ๆ อาจจะเพิ่ม Broker เข้ามาเพื่อใช้สำหรับทดสอบโซลูชันต่างๆ โดยไม่ง้อ Switch นัก

5.) Cloud-base virtual TAP

แม้ว่าองค์กรจะใช้ Public Cloud ก็ตามที แต่ส่วนใหญ่แล้วผู้ให้บริการ Cloud ต่างก็มีความสามารถ SPAN หรือ Mirror ให้เราได้ ในลักษณะเดียวกันกับข้อ 3 นั่นเอง โดยหากเป็นค่ายของ AWS จะชื่อ ‘VPC Traffic Mirroring’ 

ที่มาและเครดิตรูปภาพ :  https://blog.rapid7.com/2020/07/15/top-5-ways-to-get-a-network-traffic-source-on-your-network/

from:https://www.techtalkthai.com/5-ideas-how-to-get-network-traffic/

Rapid7 เจรจาเข้าซื้อ DivvyCloud ยกระดับโซลูชัน Cloud Security

Rapid7 ได้ประกาศว่าตนกำลังเจรจาเข้าซื้อกิจการ ‘DivvyCloud’ หรือ Startup ที่ให้บริการโซลูชันด้าน Cloud Security ด้วยมูลค่าราว 145 ล้านดอลล่าร์สหรัฐฯ หรือประมาณ 4,350 ล้านบาท

Credit: Rawpixel.com/ShutterStock

โดยในบล็อกของ Rapid7 ชี้ว่าโซลูชันจาก DivvyCloud คือผู้นำในด้าน Cloud Security Posture Management (CSPM) ซึ่งช่วยให้ผู้ใช้งานเห็นภาพในเชิงลึก ผสมผสาน ป้องกัน และแก้ไขความเสี่ยงได้อย่างทันท่วงที ตอบโจทย์ด้าน Security และ Compliance ในสภาพแวดล้อมแบบ Cloud ไม่ว่าจะเป็น AWS, Azure, Alibaba หรือ GCP แม้กระทั่ง Kubernetes Workload ทั้งนี้ Rapid7 ตระหนักดีว่านี่คือสิ่งที่ลูกค้าต้องการ จึงเป็นที่มาของการเข้าซื้อกิจการในครั้งนี้

ที่มา :  https://blog.rapid7.com/2020/04/28/rapid7-announces-intent-to-acquire-divvycloud/

from:https://www.techtalkthai.com/rapid7-announces-definitive-agreement-to-acquire-divvycloud/

ผู้เชี่ยวชาญเตือนพบ Microsoft Exchange Server จำนวนมากยังไม่ยอมแพตช์ช่องโหว่ร้ายแรงจากเดือนกุมภาพันธ์

ผู้เชี่ยวชาญจาก Rapid7 ได้ออกมาเตือนผู้ดูแลระบบ Exchange Server ให้เร่งอัปเดตแพตช์ช่องโหว่ร้ายแรงในเดือนกุมภาพันธ์ที่ผ่านมา หลังจากสแกนพบว่า 80% ของเซิร์ฟเวอร์ที่มีช่องโหว่ยังไม่ได้รับการแพตช์

Credit: ShutterStock.com

ช่องโหว่เจ้าปัญหาคือ CVE-2020-0688 ซึ่งเป็นช่องโหว่ Remote Code Execution บน Exchange ตั้งแต่เวอร์ชัน 2010 – 2019 ทั้งนี้แม้จะมีแพตช์และคำแจ้งเตือนจาก Microsoft ตั้งแต่ 11 กุมภาพันธ์ที่ผ่านมา แต่เมื่อนักวิจัยได้สแกนเซิร์ฟเวอร์กว่า 433,464 เครื่องพบว่ากว่า 82.5% หรือประมาณ 357,629 เครื่องยังไม่มีการแพตช์ช่องโหว่ดังกล่าว จึงเตือนให้อัปเดตด่วนครับ

โดย Tom Seller ผู้เชี่ยวชาญจาก Rapid 7 ชี้แจงว่า “เซิร์ฟเวอร์ใดที่เปิด Exchange Control Panel ต้องอัปเดตช่องโหว่นี้ ซึ่งเป็นเรื่องปกติในเซิร์ฟเวอร์ที่เปิด Client Access Server (CAS) ให้ผู้ใช้เข้าถึง Outlook Web App ได้” อย่างไรก็ดีแม้ว่าช่องโหว่จะต้องการ Credentials เพื่อใช้งานแต่ปัจจุบันก็มี PoC ออกมาและมีการสแกนหาช่องโหว่จากแฮ็กเกอร์แล้ว จึงแนะนำให้ผู้ใช้งานอัปเดตครับ

ในคราวเดียวกันนี้ Rapid 7 ยังสแกนพบเซิร์ฟเวอร์ Exchange 2010 กว่า 31,000 เครื่องที่ไม่ได้แพตช์ตั้งแต่ปี 2012 และอีก 800 เครื่องไม่เคยแพตช์เลย ซึ่ง End-of-Support ไปหลายปีแล้วด้วย

ที่มา :   https://www.zdnet.com/article/over-350000-microsoft-exchange-servers-still-open-to-flaw-thats-under-attack-patch-now/

from:https://www.techtalkthai.com/experts-found-80-percents-of-vulnerable-exchange-servers-since-feb-2020-have-no-updated/

Metaspliot เปิดลงทะเบียนรอบเบต้าสำหรับ AttakerKB

ทีม Mataspliot ได้เปิดลงทะเบียนเพื่อเชิญชวนกูรูผู้เชี่ยวชาญด้านความมั่นคงปลอดภัยทางไซเบอร์เข้าเป็นส่วนหนึ่งของโปรเจ็คใหม่ที่ชื่อ AttackerKB เพื่อสร้างฐานความรู้เกี่ยวกับช่องโหว่ว่าส่งผละกระทบอย่างไร ร้ายแรงแค่ไหน แรงจูงใจในการใช้งานเป็นอย่างไร

Credit: ShutterStock.com

ปกติแล้วเมื่อพบช่องโหว่ใหม่ๆ ก็จะมีการวิพากย์วิจารณ์ถกเถียงกันในทวิตเตอร์หรือสื่ออื่นๆ ว่าผลกระทบเป็นอย่างไร ใช้งานอย่างไร เป็นต้น จึงเป็นที่มาของโปรเจ็คใหม่ที่ชื่อ AttackerKB จากทีม Mataspliot ที่มีความเชี่ยวชาญด้านช่องโหว่อยู่แล้ว โดยไอเดียของโปรเจ็คก็คือการรวบรวมฐานข้อมูลช่องโหว่และความคิดเห็นเกี่ยวกับแต่ละช่องโหว่ ว่าช่องโหว่เหล่านั้นมีความรุนแรงน้อย-มาก เพราะอะไร ด้วยเหตุนี้เองทีม Metaspliot จึงชวนเหล่าผู้เชี่ยวชาญมาเป็นส่วนหนึ่งของโปรเจ็คซึ่งลงทะเบียนได้ที่ https://forms.gle/9uuypnUkQqFezc9y6 (จะมีคนติดต่อกลับมา)

รายละเอียดเบื้องต้นมีดังนี้

• ประเมินช่องโหว่ในหลายๆ ลักษณะ ความรุนแรง เช่น Unauthenticated RCE, ทำแพตช์ได้ยาก, เหมาะกับการโจมตีเป้าหมายอย่างเจาะจง, ต้องการปฏิสัมพันธ์จากเหยื่อเข้ามาช่วย หรือเป็น non-default configuration เป็นต้น
• ผู้ใช้งานสามารถแสดงความคิดเห็นตอบโต้กับนักวิเคราะห์และโหวตได้
• ผู้เข้าร่วมต้องมีบัญชี GitHub เพื่อเข้าร่วมในโครงการเพราะเป็น OAuth Provider อย่างไรก็ตามจะไม่มีการเปิดเผยข้อมูลที่ยังไม่เป็นสาธารณะบน GitHub

ที่มา :  https://blog.rapid7.com/2020/01/31/metasploit-team-announces-beta-sign-up-for-attackerkb/

from:https://www.techtalkthai.com/metaspliot-invites-cybersecurity-experts-register-for-attakerkb-beta/