คลังเก็บป้ายกำกับ: REMOTE_CODE_EXECUTION

พบช่องโหว่ใหม่บน WordPress เสี่ยงถูกแฮ็กโดยไม่ต้องพิสูจน์ตัวตน

Simon Scannel นักวิจัยด้านความมั่นคงปลอดภัยจาก RIPS Technologies GmbH ออกมาแจ้งเตือนถึงช่องโหว่ใหม่บนซอฟต์แวร์ CMS ยอดนิยมอย่าง WordPress ซึ่งช่วยให้แฮ็กเกอร์สามารถลอบรันคำสั่งแปลกปลอมและเข้าควบคุมไซต์ได้โดยไม่ต้องแม้แต่พิสูจน์ตัวตน แนะนำให้ผู้ดูแลระบบรีบอัปเดตแพตช์โดยเร็ว

ช่องโหว่ที่ค้นพบนี้เป็นช่องโหว่ Cross-site Request Forgery (CSRF) บนฟีเจอร์ Comment ของ WordPress ซึ่งเป็นส่วนประกอบหลักที่ถูกเปิดใช้งานโดย Default ซึ่งช่วยให้แฮ็กเกอร์สามารถโจมตีแบบ Remote Code Execution จากระยะไกลโดยไม่จำเป็นต้องพิสูจน์ตัวตนได้

Scannel ได้ให้ความเห็นว่า ช่องโหว่นี้มีสาเหตุมาจากการที่ WordPress ไม่มีการตรวจสอบ CSRF เมื่อผู้ใช้โพสต์ Comment ใหม่ลงไป ช่วยให้แฮ็กเกอร์สามารถโพสต์ข้อความในฐานะ Admin ของไซต์ได้ รวมไปถึงสามารถใส่แท็ก HTML หรือแม้แต่ JavaScript ลงไปใน Comment ได้ด้วย นอกจากนี้ Frontend ของ WordPress ยังไม่มีการป้องกัน X-Frame-Options Header เมื่อนำช่องโหว่ทั้งหมดมารวมกัน ทำให้แฮ็กเกอร์สามารถแอบยิง Stored XSS Payload ไปยังเว็บไซต์เป้าหมายโดยหลอกให้ผู้ดูแลระบบที่ล็อกอิน WordPress ค้างไว้อยู่แล้ว เข้าถึงเว็บไซต์ของตนที่เตรียม Exploit Code ไว้ได้ ผลลัพธ์คือแฮ็กเกอร์สามารถเข้าควบคุมไซต์ WordPress ได้ทั้งหมดจากระยะไกล

ช่องโหว่นี้ส่งผลกระทบบน WordPress 5.1.0 และก่อนหน้านั้น แนะนำให้ผู้ให้อัปเดตแพตช์เวอร์ชัน 5.1.1 โดยเร็ว

ที่มา: https://thehackernews.com/2019/03/hack-wordpress-websites.html

from:https://www.techtalkthai.com/new-wordpress-flaw-allows-unauthenticated-hackers-to-hack-websites/

โฆษณา

เตือนช่องโหว่ Zero-day บน Google Chrome เสี่ยงถูกเข้าควบคุมอุปกรณ์ พบรายงานการก่อเหตุแล้ว

Clement Lecigne นักวิจัยด้านความมั่นคงปลอดภัยจาก Threat Analytics Group ของ Google ออกมาแจ้งเตือนถึงช่องโหว่ความรุนแรงระดับสูงของ Google Chrome ทั้งบน Windows, macOS และ Linux ซึ่งอาจเสี่ยงถูกแฮ็กเกอร์ลอบรันโค้ดและเข้าควบคุมอุปกรณ์คอมพิวเตอร์จากระยะไกลได้ แนะนำให้ผู้ใช้รีบอัปเดตแพตช์โดยด่วน

ช่องโหว่ดังกล่าวมีรหัส CVE-2019-5786 เป็นช่องโหว่ Use-after-free ภายในส่วนประกอบ FileReader ของ Google Chrome ซึ่งช่วยให้แฮ็กเกอร์สามารถลอบโจมตีแบบ Remote Code Execution เพื่อรันคำสั่งและเข้าควบคุมอุปกรณ์คอมพิวเตอร์ได้ ช่องโหว่นี้ส่งผลกระทบต่อ Chrome ที่รันบนระบบปฏิบัติการยอดนิยมทั้ง Windows, macOS และ Linux

ทาง Google ยังไม่ได้ให้รายละเอียดเชิงเทคนิคเกี่ยวกับช่องโหว่ดังกล่าว แต่คาดว่าช่องโหว่ Use-after-free บน FileReader นี้จะช่วยให้แฮ็กเกอร์ที่มีสิทธิ์ต่ำหรือไม่มีสิทธิ์ สามารถยกระดับสิทธิ์ให้สูงขึ้นเพื่อหลุดจากการป้องกัน Sandbox ของ Google Chrome และลอบรันโค้ดแปลกปลอมบนระบบของเป้าหมายได้ ส่วนวิธีการโจมตีนั้น คาดว่าแฮ็กเกอร์คงหลอกให้ผู้ใช้เปิดหรือเปลี่ยนเส้นทางให้มาเข้าถึงเว็บเพจที่ถูกออกแบบมาเป็นพิเศษ โดยที่ไม่จำเป็นต้องมีปฏิสัมพันธ์ใดๆ กับผู้ใช้ก็โจมตีได้ทันที

Google ได้แจ้งเตือนว่า พบรายงานการโจมตีผ่านช่องโหว่นี้แล้วหลายราย จึงแนะนำให้ผู้ใช้รีบอัปเดต Google Chrome เป็นเวอร์ชันล่าสุด 72.0.3626.121 โดยเร็ว

ที่มา: https://thehackernews.com/2019/03/update-google-chrome-hack.html

from:https://www.techtalkthai.com/new-google-zero-day-exploited-in-the-wild/

Cisco แพตช์ช่องโหว่ลอบรันโค้ดบนเราเตอร์ RV110W, RV130W และ RV215W แนะควรอัปเดต

Cisco ได้ออกแพตช์แก้ไขช่องโหว่ร้ายแรงบนหน้าอินเทอร์เฟสของเว็บที่ใช้จัดการเราเตอร์รุ่น RV110W (Wireless-N VPN Firewall), RV130W (Wireless-N Multifuction VPN Router) และ RV215W (Wireless-N VPN Router) ซึ่งนำไปสู่การลอบรันโค้ดได้ ทั้งนี้ยังมีการแพตช์ช่องโหว่อีกรายการที่กระทบกับ Webx Meetings Desktop และ Webx Productivity Tool ด้วย

Credit: Visual Generation/ShutterStock

รายละเอียดของช่องโหว่มีดังนี้

  • CVE-2019-1663 ถูกจัดระดับความรุนแรง (CVSS 3.0) ที่ 9.8 เกิดกับหน้าอินเทอร์เฟสของเว็บที่ใช้จัดการเราเตอร์ 3 รุ่นคือ RV110W, RV130W และ RV215W โดยสาเหตุของช่องโหว่นั้นทาง Cisco กล่าวว่า “ตรวจเช็คข้อมูลที่ผู้ใช้ใส่เข้ามาในหน้าเว็บที่ใช้บริหารจัดการไม่ดีพอซึ่งทำให้คนร้ายสามารถส่ง HTTP Request อันตรายไปยังอุปกรณ์ซึ่งอาจนำไปสู่การลอบรันโค้ดบน OS ในสิทธิ์ผู้ใช้งานระดับสูง” อย่างไรก็ตามข่าวดีคือโดยปกติแล้วหน้าอินเทอร์เฟสบริหารจัดการจะเปิดใช้ใน Local เท่านั้นนั่นหมายถึงคนร้ายจะไม่สามารถลอบรันโค้ดผ่านทางไกลได้โดยพื้นฐาน (สามารถตรวจสอบได้ที่เมนู Basic Settings > Remote Management)
  • CVE-2019-1674 เป็นช่องโหว่บน Webx Meetings Desktop และ Webx Productivity Tool ที่เกิดจากการตรวจสอบพารามิเตอร์จากผู้ใช้งานไม่ดีเพียงพอทำให้คนร้ายสามารถใช้ช่องโหว่ได้ผ่านทางคำสั่งอัปเดตบริการที่ประดิษฐ์ขึ้นมาพิเศษ ผลลัพธ์คืออาจนำไปสู่การลอบรันโค้ดด้วยสิทธิ์ของระบบได้

ที่มา : https://www.bleepingcomputer.com/news/security/cisco-fixes-critical-rce-vulnerability-in-rv110w-rv130w-and-rv215w-routers/ และ https://www.scmagazine.com/home/security-news/vulnerabilities/cisco-patches-two-code-execution-vulnerabilities/

from:https://www.techtalkthai.com/cisco-patch-rce-vulnerability-impact-rv110w-rv130w-rv215w/

Microsoft ออกแพตช์ประจำเดือนกุมภาพันธ์ 2019 แก้ไขช่องโหว่กว่า 70 รายการ

ถึงรอบนัดชาวแอดมินทุกสัปดาห์ที่ 2 ของเดือนวันแห่งการแพตช์จาก Microsoft แล้วนะครับซึ่งครั้งนี้มีการแก้ไขช่องโหว่ถึง 70 รายการด้วยกัน โดยมีช่องโหว่ 18 รายการที่ถูกจัดอยู่ในระดับร้ายแรง ดังนั้นแนะนำให้ผู้ใช้งานเข้าไปอัปเดตกันครับ

Credit: alexmillos/ShutterStock

ช่องโหว่ที่น่าสนใจมีดังนี้

  • แก้ไขบั้กบน Exchange Server ซึ่งได้มีนักวิจัยใช้เป็นตัวแปรร่วมกับปัญหาอื่นเพื่อทำให้ผู้ใช้งานเมลกลายเป็นบุคคลอื่นเพื่อเข้าควบคุมเซิร์ฟเวอร์ โดยนาย Dustin Childs, ผู้จัดการฝ่ายติดต่อสื่อสารของ Trend Micro Zero Day Initiative กล่าวว่า “บั้กนี้ทำให้ผู้ใช้งานธรรมดายกระดับสิทธิ์เป็นผู้ใช้งานคนอื่นได้” นอกจากนี้ช่องโหว่ยังถูกนำไปใช้จริงแล้ว
  • ทีม Google Project Zero ได้แจ้งช่องโหว่หมายเลข CVE-2019-0676 เข้ามาซึ่งเกิดบน IE สาเหตุเพราะวิธีการจัดการ Object ในหน่วยความจำไม่ดีเพียงพอจึงทำให้หากเหยื่อเข้าชมไซต์ที่มีเพจอันตรายคนร้ายจะสามารถทดสอบการมีอยู่ของไฟล์บนฮาร์ดไดร์ฟของเครื่องเหยื่อได้
  • CVE-2019-0630 เป็นช่องโหว่ที่คนร้ายสามารถประดิษฐ์แพ็กเกจอันตรายไปยังเซิร์ฟเวอร์ของ SMBv2 เพื่อนำไปสู่การเกิด Remote Code Execution
  • CVE-2019-0626 เป็นช่องโหว่ Memory Corruption ในเซิร์ฟเวอร์ DHCP ซึ่งผู้โจมตีสามารถประดิษฐ์แพ็กเกจพิเศษขึ้นเพื่อส่งออกไปใช้งานช่องโหว่ทำให้เกิดการ Execute โค้ดต่อไป

ผู้สนใจสามารถติดตามรายละเอียดแพตช์ทั้งหมดได้จากที่นี่ ในรอบเดียวกันนี้ยังมีการอัปเดตแพตช์ Zero-day บนผลิตภัณฑ์ Adobe ด้วยดังนั้นก็อย่าลืมอัปเดตฝั่งนั้นด้วยนะครับ

ที่มา : https://www.bleepingcomputer.com/news/microsoft/microsoft-february-2019-patch-tuesday-includes-fixes-for-70-vulnerabilities/ และ https://www.darkreading.com/endpoint/microsoft-adobe-both-close-more-than-70-security-issues/d/d-id/1333858 และ https://www.securityweek.com/microsoft-patches-internet-explorer-zero-day-reported-google

from:https://www.techtalkthai.com/microsoft-released-february-2019-patch/

พบ Backdoor ตัวใหม่ ‘SpeakUp’ มุ่งโจมตีเซิร์ฟเวอร์ Linux

นักวิจัยด้านความมั่นคงปลอดภัยจาก Check Point ได้พบกับมัลแวร์ตัวใหม่เมื่อประมาณ 3 สัปดาห์ที่แล้วซึ่งตั้งชื่อว่า ‘SpeakUp’ และสามารถทำงานได้บนเซิร์ฟเวอร์ Linux ถึง 6 Distribution รวมถึง macOS ด้วย โดยขั้นแรกในโจมตีจะอาศัยช่องโหว่ของ ThinkPHP Framework ที่ถูกสร้างขึ้นและได้รับความนิยมในหมู่นักพัฒนาในจีน สำหรับขั้นตอนสุดท้ายคือเรียกติดตั้งตัวขุดเหมือง Monero

credit : Check Point

ไอเดียก็คือในขั้นแรกของการโจมตี SpeakUp จะใช้ช่องโหว่ ThinkPHP หมายเลข CVE-2018-20062 เพื่อเจาะระบบเข้าไปก่อน เมื่อเข้าไปได้แล้วก็จะสร้างการเชื่อมต่อกับเซิร์ฟเวอร์ C&C และ แก้ไข Cron Utility เพื่อทำให้อยู่รอดจากการรีบูต สำหรับคำสั่งจากเซิร์ฟเวอร์มี 3 คำสั่งหลักดังนี้ 

1.newtask – สั่งให้รันโค้ด, ดาวน์โหลดและรันไฟล์, สั่ง Kill หรือถอนการติดตั้งโปรแกรม และสั่งอัปเดตข้อมูล

2.notask – สั่ง Sleep 3 วินาทีและรอขอคำสั่งเพิ่มเติม

3.newerconfig – อัปเดตการตั้งค่าตัวขุดเหมืองที่ดาวน์โหลดเข้ามา

ขั้นที่สอง SpeakUp ยังมีสคิร์ปต์ไพธอนที่ใช้เพื่อนสแกนหาเครื่องใน LAN และพยายามเจาะเครื่อง Linux อื่นเพิ่มอีกด้วย รวมถึงสามารถทำการโจมตี Brute-force และสามารถใช้ช่องโหว่อื่นๆ อีก 6 รายการได้เพิ่มเติมดังนี้

  • CVE-2012-0874 – ช่องโหว่บน JBoss Enterprise Application 
  • JBoss 3/4/5/6 – ช่องโหว่สั่งรันคำสั่งได้จากทางไกล
  • CVE-2010-1871 – ช่องโหว่ลอบรันคำสั่งจากทางไกลบน JBoss Seam Framework
  • CVE-2010-10271 – ช่องโหว่ Deserialization RCE บน Oracle WebLogic wls-wsat
  • ช่องโหว่รันคำสั่งบนตัวจัดการทรัพยากรบน Hadoop YARN 
  • CVE-2018-2894 – ช่องโหว่บน Oracle WebLogic ในส่วนประกอบของ Fusion Middleware

Check Point ได้ติดตามการโจมตีในหลายประเทศพบว่าเหยื่อส่วนใหญ่อยู่ในจีนแต่ที่การโจมตีได้ขยายวงออกไปสาเหตุมาจากการใช้ช่องโหว่ในขึ้นที่สองเพราะพบมัลแวร์ในโซนประเทศแถวอเมริกาใต้ด้วย (ดูรูปประกอบได้ตามด้านบน) อย่างไรก็ตามเชื่อว่ากลุ่มแฮ็กเกอร์หวังผลจากการใช้ทรัพยากรบนเครื่องเหยื่อเพื่อขุดเหมืองหารายได้ซึ่งตอนนี้ทำรายได้แล้วประมาณ 4,500 ดอลล่าร์สหรัฐ

ที่มา : https://www.zdnet.com/article/security-researchers-discover-new-linux-backdoor-named-speakup/ และ https://www.securityweek.com/new-backdoor-targets-linux-servers

from:https://www.techtalkthai.com/speakup-backdoor-attacks-linux-server/

Microsoft ออกแพตช์เดือนมกราคม 2019 จำนวน 50 รายการแนะผู้ใช้รีบอัปเดต

Microsoft ออกแพตช์อุดช่องโหว่ถึง 50 รายการท่ามกลางหลายผลิตภัณฑ์ เช่น Hyper-V, Edge และ DHCP ซึ่งครั้งนี้มีช่องโหว่ขั้นรุนแรง 7 รายการรวมอยู่ด้วย ดังนั้นแนะนำผู้ใช้สามารถไปหาอัปเดตกันได้

Credit: alexmillos/ShutterStock

ช่องโหว่ที่น่าสนใจของแพตช์มีดังนี้

  • ทีมงานของ Microsoft ได้ค้นพบช่องโหว่หมายเลข CVE-2019-0547 ที่คนร้ายสามารถสร้าง DHCP Respond แบบพิเศษขึ้นส่งไปหาเหยื่อที่ทำให้เกิดการลอบรันโค้ดได้โดยถูกจัดเป็นช่องโหว่ระดับร้ายแรง
  • CVE-2019-0550 และ CVE-2019-0551 เกิดขึ้นบน Hyper-V ซึ่งทำให้มัลแวร์บนเครื่อง Guest สามารถรันโค้ดบนระบบปฏิบัติการจริงได้ โดยถูกจัดเป็นช่องโหว่ระดับร้ายแรง
  • ช่องโหว่หมายเลข CVE-2019-0622 เกิดขึ้นบน Skype ของแอนดรอยด์ทำให้คนร้ายสามารถลัดผ่านการล็อกหน้าจอของอุปกรณ์เพื่อเข้าถึงข้อมูลส่วนตัวของเหยื่อ
  • CVE-2019-0579 ถูกค้นพบบน Jet Database Engine ซึ่งนำไปสู่การลักลอบรันโค้ดผ่านทางไกลได้ โดยเครดิตถูกมอบให้แก่ ACROS’s Opatch, Palo Alto Networks และ Flexera อย่างไรก็ตามทาง ACROS เชื่อว่าแพตช์ใหม่น่าจะมีความเชื่อมโยงกับแพตช์เก่าหมายเลข CVE-2018-8423 ที่ตนได้เคยทำแพตช์ชั่วคราวไปก่อนหน้านี้ถึง 2 ครั้งโดยครั้งที่สองทำเพราะพบว่า Microsoft ทำแพตช์มาไม่สมบูรณ์
  • ช่องโหว่ระดับระดับร้ายแรงที่เหลือ 4 รายการเกิดขึ้นบน Edge ในกลไกของ Chakra Scripting ที่ทำให้เกิด Memory Corruption และเป็นช่องทางนำไปสู่การลอบรันโค้ดด้วยสิทธิ์ของเหยื่อรายนั้นได้

ผู้สนใจสามารถเข้าไปดูรายละเอียดของช่องโหว่ทุกรายการได้ที่นี่

from:https://www.techtalkthai.com/january-2019-patch-from-microsoft/

Microsoft ออก Patch ฉุกเฉินอุดช่องโหว่บน IE ที่กำลังถูกใช้โจมตี ชี้ผู้ใช้งานควรอัปเดตทันที

Microsoft ได้ประการศออก Out-of-Band (OOB) Patch เมื่อวันพุธที่ผ่านมา เพื่ออุดช่องโหว่ใน Scripting Engine บน Internet Explorer หรือ IE ซึ่งเป็นช่องโหว่ที่กำลังถูกใช้โจมตีเป็นวงกว้างในปัจจุบันนี้ และแนะนำให้ผู้ใช้งานทุกคนทำการอัปเดต Patch เพื่ออุดช่องโหว่ดังกล่าวโดยทันทีเพื่อความปลอดภัย

Credit: alexmillos/ShutterStock

บั๊ก Remote Code Execution (RCE) นี้ปรากฏอยู่ในส่วนของการจัดการกับ Object ภายในหน่วยความจำของ Scripting Engine ภายใน IE โดยการเจาะช่องโหว่ดังกล่าวจะทำให้ผู้โจมตีสามารถโจมตีหน่วยความจำได้โดยตรงและนำไปสู่การเรียกใช้คำสั่งต่างๆ ได้ตามต้องการภายใต้สิทธิ์ของผู้ใช้งานที่ตกเป็นเหยื่อ

วิธีการเจาะช่องโหว่ดังกล่าวนี้มีหลายวิธีการด้วยกัน รวมถึงการสร้างหน้าเว็บขึน้มาเพื่อเจาะช่องโหว่โดยเฉพาะที่จะทำการโจมตีผู้ใช้งานทันทีที่เปิดหน้าเว็บนั้นๆ

ผลิตภัณฑ์ที่ได้รับผลกระทบในครั้งนี้ก็ได้แก่ Windows และ Windows Server หลากหลายรุ่นทั้งใหม่และเก่า ดังนั้นผู้ที่ใช้งานผลิตภัณฑ์เหล่านี้ก็ควรวางแผนอัปเดตกันให้ดีครับ

สำหรับผู้ที่สนใจรายละเอียดฉบับเต็ม สามารถศึกษาข้อมูลเพิ่มเติมได้ที่ https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2018-8653 ครับ

ที่มา: https://blog.talosintelligence.com/2018/12/MS-OOB-IE-Scripting-Engine-Vuln.html

from:https://www.techtalkthai.com/microsoft-releases-oob-patch-for-ie-vulnerability/