คลังเก็บป้ายกำกับ: REMOTE_CODE_EXECUTION

Firefox ออกแพตช์ฉุกเฉิน อุดช่องโหว่ Zero-day ที่ถูกโจมตีอยู่ในขณะนี้

Mozilla ประกาศอัปเดต Firefox 67.0.3 และ Firefox ESR 60.7.1 เพื่ออุดช่องโหว่ Zero-day ความรุนแรงระดับ Critical บนเว็บเบราว์เซอร์ที่ถูกแฮ็กเกอร์โจมตีอยู่ในขณะนี้ แนะนำให้ผู้ใช้ Firefox ทุกคนรีบอัปเดตเวอร์ชันใหม่โดยด่วน

ช่องโหว่ Zero-day ดังกล่าวถูกค้นพบโดย Samuel Groß นักวิจัยด้านความมั่นคงปลอดภัยไซเบอร์จาก Google Project Zero มีรหัส CVE-2019-11707 เป็นช่องโหว่ที่ช่วยให้แฮ็กเกอร์สามารถลอบรันโค้ดแปลกปลอมจากระยะไกล (Remote Code Execution) บนเครื่องคอมพิวเตอร์ที่ใช้ Firefox เวอร์ชันที่มีช่องโหว่ และเข้าควบคุมระบบทั้งหมดได้

ช่องโหว่นี้ส่งผลกระทบกับ Firefox ทั้งบน Windows, macOS และ Linux ในขณะที่ Firefox บน Android, iOS และ Amazon Fire TV ไม่ได้รับผลกระทบแต่อย่างใด จนถึงตอนนี้ทาง Google Project Zero และ Mozilla ยังไม่ได้ให้รายละเอียดเชิงเทคนิคหรือโค้ด PoC สำหรับโจมตีช่องโหว่ดังกล่าว เพื่อป้องกันไม่ให้ผู้ไม่ประสงค์ดีนำไปใช้โจมตีผู้อื่นเพิ่มเติม แนะนำให้ผู้ใช้ Firefox รีบอัปเดตซอฟต์แวร์เป็นเวอร์ชันล่าสุดโดยเร็ว

รายละเอียดเพิ่มเติม: https://www.mozilla.org/en-US/security/advisories/mfsa2019-18/
ที่มา: https://thehackernews.com/2019/06/mozilla-firefox-patch-update.html

from:https://www.techtalkthai.com/firefox-releases-emergency-patch-to-stop-zero-day-attack/

โฆษณา

Trend Micro เตือนพบการโจมตี Oracle WebLogic ด้วยช่องโหว่ร้ายแรง รีบอัปเดตแพตช์

Trend Micro เตือนพบคนร้ายใช้ช่องโหว่ระดับร้ายแรงของ Oracle WebLogic หมายเลข CVE-2019-2725 หรือปัญหาด้าน Deserialization ที่นำไปสู่การทำ Remote Code Execution ได้ โดยท้ายสุดคนร้ายจะลอบติดตั้งตัวขุดเหมือง

Credit: ShutterStock.com

การโจมตีที่พบหลังจากใช้งานช่องโหว่ได้แล้วมีความซับซ้อนสูงมาก เนื่องจากคนร้ายได้แอบโค้ดอันตรายไว้ภายในไฟล์ Certificate โดยมีเทคนิคดังนี้

  • ใช้ PowerShell เพื่อดาวน์โหลดไฟล์ Certificate จากเซิร์ฟเวอร์ควบคุม จากนั้นใช้ CertUtil ทำการ Decode ไฟล์และ Execute ด้วย PowerShell อีกทีหนึ่ง พร้อมกันนี้ยังลบไฟล์ที่ดาวน์โหลดมาด้วย cmd 
  • Certificate ดูเหมือนจะเป็น PEM format ทั่วไปแต่ดันมาในรูปแบบของ PowerShell แทนที่ควรจะเป็น X.509 TLS format ซึ่งต้องมีการ Decode ไฟล์ถึง 2 ครั้งกว่าเผยคำสั่งออกมาก โดย Trend Micro กล่าวว่า “เป็นไปได้ว่า Certificate ที่เราดาวน์โหลดเข้ามาแตกต่างกับไฟล์ที่ตั้งใจโหลดจริงๆ จาก Remote Command ที่คนร้ายอาจจะปรับปรุงอยู่เรื่อยด้วย”
  • เมื่อ Execute คำสั่งใน Certificate และสคิร์ปต์ PowerShell ในหน่วยความจำได้แล้วจะมีการดาวน์โหลดไฟล์เพิ่มประกอบด้วย Sysupdate (ตัวขุดเหมือง), Config.json (ไฟล์ตั้งค่าตัวขุดเหมือง), Networkservice.exe (แพร่กระจายการโจมตีด้วยช่องโหว่บน WebLogic), Update.ps1 (สคิร์ปต์ PowerShell ในหน่วยความจำ), Sysguard.exe (ดูแลโปรเซสของตัวขุดเหมือง) และ Clean.bat (ลบส่วนประกอบอื่นได้) 
  • update.ps1 ที่มีไฟล์ Certificate ที่ใช้ Decode จะถูกแทนด้วย update.ps1 ตัวใหม่และมีการตั้ง Task schedule ให้ Execute สคิร์ปต์ PowerShell ตัวใหม่ทุก 30 นาทีด้วย

จะเห็นได้ว่าวิธีการหลบเลี่ยงของมัลแวร์ดูซับซ้อนวุ่นวายมากทีเดียวซึ่ง Trend Micro เองชี้ว่าพบได้ไม่บ่อยนักและอาจจะอยู่แค่ขั้นตอนพัฒนาเท่านั้นเนื่องจากไฟล์อันตรายอื่นที่ตามหลังมากจากการ Decode Certificate ไม่ได้มีการซ่อนใน Certificate แล้วเหมือนที่เคยทำก่อนหน้า อย่างไรก็ตามดีที่สุดคืออัปเดตแพตช์ WebLogic ของช่องโหว่ที่ออกมาตั้งแต่เมษายนแล้วนะครับ

ที่มา :  https://www.securityweek.com/critical-oracle-weblogic-vulnerability-exploited-attacks

from:https://www.techtalkthai.com/found-exploit-weblogic-via-cve-2019-2725/

Cisco แพตช์อุดช่องโหว่รุนแรงสูงบน IND และ Unified Presence

Cisco ได้ออกแพตช์อุดช่องโหว่การตรวจสอบอินพุตน์ไม่ดีเพียงพอบนซอฟต์แวร์ Industrial Network Director (IND) และ บริการพิสูจน์ตัวตนของ Unified Presence (Unified CM IM&P Service, VCS และ Express Series)

Credit: Visual Generation/ShutterStock

สำหรับ Cisco IND คือโซลูชันสำหรับเรื่อง Control และ Visibility ใน Industrial Automation Network โดยช่องโหว่หมายเลขอ้างอิง CVE-2019-1861 มีระดับความรุนแรงที่ 7.6 ซึ่งเป็นช่องโหว่ Remote Code Execution ที่ทำให้แฮ็กเกอร์ลอบรันโค้ดได้ อย่างไรก็ตาม Cisco เผยว่าช่องโหว่เกิดเพราะมีการตรวจสอบไฟล์ที่ถูกอัปโหลดได้ไม่ดีพอกับแอปพลิเคชันที่ได้รับผลกระทบ” ทั้งนี้ Cisco แก้ไขแล้วใน IND เวอร์ชัน 1.6.0

Cisco Unified Presence เป็นแพลตฟอร์มระดับองค์กรสำหรับแลกเปลี่ยน Presence และ Instant Message ภายในองค์กร ทั้งนี้ช่องโหว่ CVE-2019-1845 ที่เกิดขึ้นมีระดับความแรงสูงที่ 8.6 โดยช่องโหว่ทำให้แฮ็กเกอร์ที่ยังไม่ได้พิสูจน์ตัวตนทำให้บริการขาดหายไปเมื่อผู้ใช้พยายามพิสูจน์ตัวตนกับเซิร์ฟเวอร์ที่มีช่องโหว่ (DoS) ที่ Cisco กล่าวว่า “ช่องโหว่เกิดจากควบคุมปฏิบัติการบนหน่วยความจำไม่ดีพอ ทำให้แฮ็กเกอร์สามารถส่ง Request ของ Extensible Messaging and Presence Protocol (XMPP) ที่ผิดรูปแบบเข้ามาใช้งานช่องโหว่ได้” อย่างไรก็ตามผลกระทบและการแก้ไขมีดังนี้

  • กระทบกับ Express Series configured และ TelePresence VCS configured ของ Mobile และ Remote Access กับ IM&P Service ในเวอร์ชัน X8.1 ถึง X12.5.2 ซึ่งแก้ไขแล้วด้วยเวอร์ชัน X12.5.3
  • กระทบกับ Unified Communication Manager IM&P Service  ในหลายเวอร์ชันแต่แก้แล้วด้วยเวอร์ชัน 11.5(1) SU6 หรือ 12.5(1), 12.5(1) เป็นต้น ติดตามเพิ่มเติมได้ที่นี่

ที่มา : https://www.bleepingcomputer.com/news/security/cisco-fixes-high-severity-flaws-in-industrial-enterprise-tools/

from:https://www.techtalkthai.com/cisco-patches-vulnerabilities-in-ind-software-and-unified-presence/

WhatsApp เตือนให้ผู้ใช้อัปเดตแพตช์หลังพบการใช้ช่องโหว่ติดตั้งเครื่องมือสอดแนม

ทีมงาน Facebook ได้ค้นพบช่องโหว่บน Whatsapp หมายเลข CVE-2019-3568 ซึ่งเป็นช่องโหว่ Buffer Overflow ที่สามารถนำไปสูการทำ Remote Code Execute โดยปัจจุบันได้ค้นพบว่ามีการนำไปใช้เพื่อติดตั้งเครื่องมือสอดแนมที่ได้รับการสนับสนุนจากรัฐ

CVE-2019-3568 เป็นบั้กบนฟีเจอร์ Audio Call ที่ทำให้ผู้โทรสามารถติดตั้ง Spyware บนเครื่องอุปกรณ์ปลายทางได้แม้ว่าจะมีการรับสายหรือไม่ก็ตาม โดยสิ่งที่ค้นพบคือ Spyware ต้องสงสัยคาดว่าจะมาจาก NSO Group หรือบริษัทในอิสราเอลที่ผลิตเครื่องมือสอดแนมขายให้รัฐบาลต่างๆ อย่างไรก็ตาม Facebook พบเหยื่อจำนวนน้อยเท่านั้นซึ่งน่าจะค่อนข้างเฉพาะเจาะจง 

หลังจากมีการแจ้งเตือนเกิดขึ้นไม่เกิน 10 วันทาง Facebook เองก็ได้ออกแพตช์เพื่ออุดช่องโหว่พร้อมกับแนะนำให้ผู้ใช้งานอัปเดตเวอร์ชันล่าสุด สำหรับในรายงานครั้งนี้บริษัท Social Media ยักษ์ใหญ่ไม่ได้ระบุชื่อของบริษัทที่คาดว่าจะเป็นผู้ผลิต Spyware ที่ถูกใช้หากแต่พูดอ้อมอย่างชัดเจนว่า “การโจมตีมีความชัดเจนว่าน่าจะมาจากบริษัทเอกชนที่ขายเครื่องมือสอดแนมให้กับรัฐบาลเพื่อเข้าควบคุมระบบปฏิบัติการของมือถือ” ดังนั้นผู้ใช้งาน WhatsApp รายอื่นก็รีบอัปเดตกันนะครับเพราะไม่มีอะไรการันตีได้ว่าบั้กจะถูกใช้อีกหรือไม่

ที่มา :  https://techcrunch.com/2019/05/13/whatsapp-exploit-let-attackers-install-government-grade-spyware-on-phones/

from:https://www.techtalkthai.com/whatsapp-bug-in-audio-call-enable-install-spyware/

พบช่องโหว่บน Dell SupportAssist utility ผู้ใช้งานโน๊ตบุ๊ตและคอมพิวเตอร์จำนวนมากตกอยู่ในความเสี่ยง

Bill Demirkapi นักวิจัยด้านความมั่นคงปลอดภัยวัย 17 ปีได้ค้นพบช่องโหว่บนซอฟต์แวร์ Dell SupportAssist ซึ่งทำให้แฮ็กเกอร์สามารถทำการลอบรันโค้ดจากทางไกลด้วยสิทธิ์ระดับ Admin ได้ จึงทำให้ผู้ใช้งานโน๊ตบุ๊คและคอมพิวเตอร์จาก Dell มีความเสี่ยงต่อการถูกโจมตี อย่างไรก็ตาม Dell ได้ประกาศออกแพตช์เรียบร้อยแล้ว ดังนั้นผู้ใช้งานควรตามไปอัปเดตโดยด่วน

Credit: Dell

ช่องโหว่ที่ค้นพบมีหมายเลขอ้างอิงคือ CVE-2019-3719 ซึ่งเกิดขึ้นกับซอฟต์แวร์ SupportAssist หรือเครื่องมือสำหรับ Debug และ Diagnostics รวมถึงอัปเดตไดร์ฟเวอร์ของ Dell อย่างอัตโนมัติ นอกจากนี้ซอฟต์แวร์จะติดตั้งมากับเครื่องโน๊ตบุ๊คหรือคอมพิวเตอร์ที่ลง Windows มาให้แล้ว (ผู้ใช้ที่ซื้อมาแล้วไม่ได้ลง Windows มาให้รอดตัว) โดยช่องโหว่จะทำให้คนร้ายสามารถเข้ามา Remote Code Execution บนเครื่องได้ในระดับสิทธิ์ Admin เพราะซอฟต์แวร์ใช้สิทธิ์นี้อยู่

อย่างไรก็ตามสำหรับวิธีการใช้งานช่องโหว่นั้นไม่ง่ายนักเพราะแฮ็กเกอร์ต้องเข้ามาอยู่ในเครือข่ายของเหยื่อเสียก่อนเพื่อทำ ARP Spoofing และ DNS Spoofing ให้ได้ โดยขั้นตอนเดียวที่เกี่ยวข้องกับเหยื่อคือต้องหลอกให้เข้าไปยังเว็บเพจอันตรายที่มี JavaScript ให้ได้(อาจซ่อนอยู่ใน iframe หรือวางปกติอยู่บนเว็บไซต์) จากนั้นช่องโหว่จะสามารถทำให้ Dell SupportAssist เกิดการดาวน์โหลดและรันไฟล์ของแฮ็กเกอร์ได้อัตโนมัติ โดยสถานการณ์ที่จะเกิดขึ้นได้มีตัวอย่างดังนี้

  • เครือข่าย WiFi สาธารณะขององค์กรใหญ่ที่มีเครื่องบางส่วนถูกแทรกแซงแล้วและสามารถทำการ ARP Spoofing และ DNS Spoofing เครื่องเหยื่อในวงเดียวเดียวกันได้
  • คนร้ายเข้าแทรกแซง Local Router WiFi ได้แล้วจึงสามารถ Hijack DNS traffic ได้ 

สำหรับผู้ได้รับผลกระทบตอนนี้ Dell ได้ออกแพตช์มาเพื่ออุดช่องโหว่แล้วในเวอร์ชัน SupportAssist v3.2.0.90 หรือสามารถดูวีดีโอสาธิตจากนักวิจัยได้ด้านล่าง

ที่มา :  https://www.zdnet.com/article/dell-laptops-and-computers-vulnerable-to-remote-hijacks/

from:https://www.techtalkthai.com/dell-supportassist-vulnerable-for-remote-code-execution/

เตือนช่องโหว่ Zero-day ระดับ Critical บน Oracle WebLogic จนถึงตอนนี้ยังไม่มีแพตช์

ทีมนักวิจัยด้านความมั่นคงปลอดภัยจาก KnownSec 404 ออกมาแจ้งเตือนถึงช่องโหว่ Zero-day ความรุนแรงระดับ Critical บน Oracle WebLogic ซึ่งช่วยให้แฮ็กเกอร์ลอบรันโค้ดแปลกปลอมจากระยะไกลโดยไม่ต้องทำ Authorization ใดๆ ได้ และพบรายงานการโจมตีช่องโหว่ดังกล่าวเป็นที่เรียบร้อยแล้ว จนถึงตอนนี้ยังไม่มีแพตช์อุดช่องโหว่

Oracle WebLogic เป็น Multi-tier Enterprise Application Server ที่พัฒนาโดยใช้ภาษา Java ซึ่งช่วยให้ธุรกิจสามารถวางผลิตภัณฑ์หรือบริการบนระบบ Cloud ได้อย่างสะดวกรวดเร็ว อย่างไรก็ตาม KnownSec 404 กลับพบว่า Oracle WebLogic มีช่องโหว่ Deserialized Remote Code Execution ซึ่งส่งผลกระทบกับทุกเวอร์ชันของซอฟต์แวร์ถ้ามีการเปิดใช้งาน “wls9_async_response.war” และ “wls-wsat.war”

ช่องโหว่นี้มีรหัส CNVD-C-2019-48814 ช่วยให้แฮ็กเกอร์สามารถลอบรันคำสั่งแปลกปลอมจากระยะไกลผ่านทางการส่ง HTTP Request ที่สร้างขึ้นมาเป็นพิเศษโดยที่ไม่ต้องมีการทำ Authorization ใดๆ Oracle WebLogic ที่ได้รับผลกระทบประกอบด้วย WebLogic 10.x และ WebLogic 12.1.3

ทีมนักวิจัยได้รายงานช่องโหว่ไปยังทีมรักษาความมั่นคงปลอดภัยของ Oracle แล้ว ซึ่งคงต้องรอทางเจ้าของผลิตภัณฑ์ออกแพตช์เพื่ออุดช่องโหว่ต่อไป ระหว่างนี้แนะนำให้ผู้ดูแลระบบแก้ไขปัญหาชั่วคราวโดยใช้หนึ่งในสองวิธี ดังนี้

  • ค้นหาและลบ wls9_async_response.war และ wls-wsat.war ทิ้ง จากนั้นรีสตาร์ท WebLogic Service
  • ป้องกันการเข้าถึง /_async/* และ /wls-wsat/* URL Paths โดยใช้ Access Policy Control

ที่มา: https://thehackernews.com/2019/04/oracle-weblogic-hacking.html

from:https://www.techtalkthai.com/unpatched-critical-zero-day-flaw-found-on-oracle-weblogic/

Drupal ออกอัปเดต Core CMS อุดช่องโหว่หลายรายการตั้งแต่เวอร์ชัน 7, 8.5 และ 8.6

Drupal ระบบ Content Management System แบบ Open Source ยอดนิยม ประกาศออกแพตช์ด้านความมั่นคงปลอดภัยเพื่ออุดช่องโหว่ความรุนแรงระดับ “Moderately Critical” หลายรายการบน Drupal Core ซึ่งช่วยให้ผู้ไม่ประสงค์ดีสามารถแฮ็กเว็บไซต์ที่ใช้ Drupal ได้ แนะนำให้ผู้ดูแลระบบอัปเดตแพตช์โดยเร็ว

Credit: Drupal

ทีมนักพัฒนาของ Drupal ได้ออก Security Advisories ระบุว่า ช่องโหว่ทั้งหมดที่ Drupal ได้ทำการแพตช์ในเดือนนี้เป็นช่องโหว่บน Libraries ของ 3rd Party ที่ใช้บน Drupal 8.6, Drupal 8.5 และก่อนหน้านั้น รวมไปถึง Drupal 7 หนึ่งในนั้นคือช่องโหว่ Cross-site Scripting (XSS) บน 3rd Party Plugin ที่ชื่อว่า JQuery ซึ่งเป็น JavaScript Library ที่ได้รับความนิยมสูงสุดและถูกนำไปใช้บนเว็บไซต์หลายล้านเว็บ

ช่องโหว่นี้ส่งผลกระทบบน JQuery ทุกเวอร์ชัน จนเมื่อสัปดาห์ที่ผ่านมา JQuery ได้ออกแพตช์เวอร์ชัน 3.4.0 เพื่ออุดช่องโหว่ดังกล่าวเป็นที่เรียบร้อย Drupal จึงได้ออกแพตช์ล่าสุดสำหรับอุดช่องโหว่ตาม อีก 3 ช่องโหว่ที่เหลือเป็นช่องโหว่บน Symfony PHP Components ที่ Drupal Core ใช้งาน ประกอบด้วยช่องโหว่ XSS (CVE-2019-10909), Remote Code Execution (CVE-2019-10910) และ Authentication Bypass (CVE-2019-1091)

Drupal แนะนำให้ผู้ดูแลระบบอัปเดต CMS เป็นเวอร์ชัน 8.6.15, 8.5.15 หรือ 7.66 โดยเร็ว

ที่มา: https://thehackernews.com/2019/04/drupal-security-update.html

from:https://www.techtalkthai.com/drupal-patches-vulnerabilities-in-core-cms/