นักวิจัยค้นพบมัลแวร์ชนิดใหม่จากกลุ่มผู้ไม่ประสงค์ดีชาวอิหร่าน

กลุ่มผู้ไม่ประสงค์ดีชาวอิหร่านได้ทำการโจมตีกลุ่มเป้าหมายชาวเลบานีสโดยการฝัง backdoor ในเครื่องเป้าหมายเพื่อขโมยข้อมูล            กลุ่มผู้ไม่ประสงค์ดีที่ใช้ชื่อว่า “APT34” หรือที่รู้จักในนาม “OilRig” เป็นที่รู้จักดีในการค้นหาเป้าหมายการโจมตีในกลุ่มสถาบันการเงิน องค์กรภาครัฐ กลุ่มพลังงาน และธุรกิจการสื่อสาร            การโจมตีเป้าหมายกระทำโดยการส่งข้อความผ่าน “LinkedIn message” โดยมีไฟล์เอกสารเสนอตำแหน่งงานซึ่งมี malicious macros ฝังอยู่ให้แก่เป้าหมาย   เมื่อเป้าหมายเปิดใช้ macros จะทำให้เครื่องติดไวรัสและถูกติดตั้ง backdoor ที่มีชื่อว่า “SideTwist” ที่สามารถติดต่อกลับไปยังรีโมทเซิร์ฟเวอร์เพื่อดาวน์โหลดไฟล์เพิ่มเติมสำหรับใช้ในการโจมตี และสามารถขโมยข้อมูลในเครื่องเป้าหมายได้  IOCs:  Malicious Document:MD5: 6615c410b8d7411ed14946635947325eSHA1: 9bba72ac66af84253b55dd7789afc90e0344bf25SHA256: 13c27e5049a7fc5a36416f2c1ae49c12438d45ce50a82a96d3f792bfdacf3dcd  SideTwist backdoor:MD5: 94004648630739c154f78a0bae0bec0aSHA1: 273488416b5d6f1297501825fa07a5a9325e9b56SHA256: 47d3e6c389cfdbc9cf7eb61f3051c9f4e50e30cf2d97499144e023ae87d68d5a  คำแนะนำ  ไม่เปิดไฟล์ที่ส่งมาจากผู้ที่ไม่รู้จัก  ปิดการใช้งาน macros จากไฟล์เอกสาร  ที่มา : https://thehackernews.com/2021/04/researchers-uncover-new-iranian-malware.html
Read More

Cisco แก้ไขข้อบกพร่องที่อนุญาตให้เรียกใช้รหัสระยะไกลด้วยสิทธิ์ Root

Cisco เปิดตัวการอัพเดตด้านความปลอดภัยเพื่อแก้ไขช่องโหว่การเรียกใช้รหัสระยะไกลล่วงหน้า (RCE) ส่งผลกระทบต่อส่วนประกอบการจัดการระยะไกลของ SD-WAN vManage Software            แก้ไขช่องโหว่ด้านความปลอดภัยที่มีความรุนแรงสูงอีกสองช่องในการจัดการผู้ใช้ (CVE-2021-1137) และฟังก์ชันการถ่ายโอนไฟล์ระบบ (CVE-2021-1480) ของผลิตภัณฑ์เดียวกันทำให้ผู้โจมตีสามารถเพิ่มสิทธิ์ได้ทำให้ผู้คุกคามที่กำหนดเป้าหมายพวกเขาได้รับสิทธิ์ Root บนระบบปฏิบัติการพื้นฐาน  การเรียกใช้รหัสด้วยสิทธิ์ระดับ Root            ข้อบกพร่องด้านความปลอดภัยที่สำคัญติดตาม CVE-2021-1479 ได้รับคะแนนความรุนแรง 9.8 / 10 ช่วยให้ผู้โจมตีระยะไกลที่ไม่ได้รับการพิสูจน์ตัวตนสามารถทริกเกอร์ buffer overflow            “ผู้โจมตีสามารถใช้ประโยชน์จากช่องโหว่นี้ได้โดยการส่งคำขอการเชื่อมต่อที่สร้างขึ้นเองไปยังส่วนประกอบที่มีช่องโหว่ซึ่งเมื่อประมวลผลแล้วอาจทำให้เกิดสภาวะ buffer overflow” Cisco อธิบาย            ช่องโหว่ส่งผลกระทบต่อ Cisco SD-WAN vManage 20.4 และรุ่นก่อนหน้า Cisco ได้แก้ไขปัญหาดังกล่าวในการอัพเดตด้านความปลอดภัย 20.4.1, 20.3.3 และ 19.2.4 แนะนำให้ผู้ใช้ย้ายข้อมูลไปยังรุ่นดังกล่าว  นักวิจัยด้านความปลอดภัยของ Cisco ค้นพบ CVE-2021-1479 ในระหว่างการทดสอบความปลอดภัยภายใน CVE-2021-1137 และ CVE-2021-1480  คำแนะนำ : ดำเนินการตรวจสอบและทำการอัพเดทให้เป็นเวอร์ชั่นตามที่ได้กล่าวไว้ข้างต้นหรือเป็นเวอร์ชั่นที่ใหม่กว่าเพื่อแก้ไขข้อบกพร่องที่เกิดขึ้นในเวอร์ชั่นก่อนหน้า และสำหรับอุปกรณ์ที่หมดอายุการใช้งานจะไม่รองรับเวอร์ชั่นปัจจุบันแนะนำให้เปลี่ยนเป็นอุปกรณ์ใหม่ที่รองรับเวอร์ชั่นปัจจุบันในการใช้งาน  ที่มา : https://www.bleepingcomputer.com/news/security/cisco-fixes-bug-allowing-remote-code-execution-with-root-privileges/ 
Read More