มัลแวร์ EnemyBot เพิ่มช่องโหว่ใหม่ใน VMware และ F5 BIG-IP !!

EnemyBot เป็นบ็อตเน็ตที่ใช้โค้ดจากมัลแวร์หลายชนิด กำลังขยายการเข้าถึงโดยการเพิ่มช่องโหว่ในเว็บเซิร์ฟเวอร์, ระบบจัดการเนื้อหา(CMS), IoT และอุปกรณ์ Android จุดประสงค์คือเปิดตัวการโจมตีแบบปฏิเสธการให้บริการ (DDoS) อีกทั้งมัลแวร์ยังมีโมดูลสำหรับสแกนหาอุปกรณ์เป้าหมายใหม่ และแพร่กระจาย  AT&T Alien Labs ระบุว่า EnemyBot รุ่นล่าสุดรวมช่องโหว่ได้ 24 จุด แต่มีหลายช่องโหว่ที่ไม่มีหมายเลข  CVE ซึ่งทำให้ใช้การป้องกันได้ยากขึ้น โดยข้อบกพร่องส่วนใหญ่ที่เกี่ยวข้องกับเราเตอร์และอุปกรณ์ IoT  โดยช่องโหว่ที่เพิ่มขึ้นของ EnemyBot มีดังนี้ :  CVE-2022-22954 (CVSS: 9.8) ช่องโหว่การเรียกใช้โค้ดจากระยะไกลที่ส่งผลต่อ VMware Workspace  ONE Access และ VMware Identity Manager   CVE-2022-22947 (CVSS: 6.8) ช่องโหว่ใน Spring Cloud Gateway โดยผู้ไม่ประสงค์ดีสามารถสร้างคำขอ และอาจอนุญาตให้มีการดำเนินการบนโฮสต์ระยะไกลได้  CVE-2022-1388…
Read More

พบช่องโหว่ใน OAS ของระบบอุตสาหกรรมหลายรายการ !! 

ช่องโหว่แรกที่พบคือ CVE-2022-26082 (ความรุนแรง 9.1) ทำให้ผู้ไม่ประสงค์ดีสามารถรันโค้ดที่เป็นอันตราย จากระยะไกลบนเครื่องเป้าหมายเพื่อขัดขวางหรือเปลี่ยนแปลงการทำงาน และช่องโหว่ CVE-2022-26833  (ความรุนแรง 9.4) ช่วยให้สามารถใช้ REST Application Programming Interface (API) โดยไม่ผ่านการตรวจสอบสิทธิ์สำหรับการกำหนดค่าและการดูข้อมูลบนระบบ   ข้อบกพร่องอื่นๆ ที่ Cisco Talos ค้นพบนั้นจัดอยู่ในประเภทที่มีความรุนแรงสูง (CVSS: 7.5) และมีดังต่อไปนี้:  CVE-2022-27169 : รับรายการไดเรกทอรีผ่านคำขอเครือข่าย  CVE-2022-26077 : การเปิดเผยข้อมูลที่กำหนดเป้าหมายไปยังข้อมูลประจำตัวของบัญชี  CVE-2022-26026 : การปฏิเสธการบริการและการสูญหายของการเชื่อมโยงข้อมูล  CVE-2022-26303 และ CVE-2022-26043 : การเปลี่ยนแปลงการกำหนดค่าภายนอกและการสร้างผู้ใช้ใหม่   ซึ่งแพลตฟอร์มที่ได้รับผลกระทบคือ OAS V16.000.0112 และต่ำกว่า  Open Automation Software (OAS) ออกแบบมาเพื่อให้องค์กร สามารถย้ายข้อมูลระหว่างแพลตฟอร์มต่างๆ  ตัวอย่างเช่น อุปกรณ์อุตสาหกรรม…
Read More

ผู้เชี่ยวชาญให้รายละเอียดเกี่ยวกับช่องโหว่ RCE ใหม่ที่ส่งผลกระทบต่อ Google Chrome  

มีการเปิดเผยรายละเอียดเกี่ยวกับช่องโหว่ Remote Code Execution ที่พึ่งได้รับการแก้ไขใน V8 JavaScript และ WebAssembly engine ที่ใช้ในเบราว์เซอร์ Google Chrome และ Chromium   ช่องโหว่ Use-after-free จะเกิดขึ้นเมื่อมีการเข้าถึงหน่วยความจำ ทำให้เกิดการทำงานที่ผิดปกติ เช่น ทำให้โปรแกรมหยุดทำงาน เกิดความเสียหายต่อข้อมูล หรือ เกิดได้โจมตีแบบ Arbitrary Code Execution (ACE)  โดยช่องโหว่ดังกล่าวสามารถถูกโจมตีจากระยะไกลผ่านเว็บไซต์ที่ออกแบบมาเป็นพิเศษ เพื่อ Bypass ระบบรักษาความปลอดภัย และ เรียกใช้โค้ดได้ตามที่ต้องการ เพื่อ Compromise กับระบบผู้ที่ตกเป็นเป้าหมาย นอกจากนี้ Google  ยังไม่ได้กำหนดรหัส CVE สำหรับช่องโหว่นี้   ช่องโหว่ดังกล่าวยังทำให้ผู้ไม่ประสงค์ดีทำการโจมตีได้โดยการใช้เทคนิคแบบ Heap Spraying เป็นเทคนิคที่ ใช้ในการหาช่องโหว่เพื่อรันคำสั่งที่เป็นอันตราย ซึ่งจะนำไปสู่การเกิดช่องโหว่ Type Confusion ที่ทำให้ผู้ไม่ประสงค์ดีสามารถควบคุมฟังก์ชัน…
Read More

Clop ransomware กลับมา!!! โจมตีเหยื่อ 21 รายในเดือนเดียว

หลังจาก Clop ransomware ได้ถูกปิดการทำงานมาเป็นเวลาหลายเดือนระหว่างแล้ว ตอนนี้ Clop Ransomware กลับมาอีกครั้ง ตามที่นักวิจัยของ NCC Group กล่าว  NCC Group กล่าวว่า “Clop ransomware” กลับมาเป็นภัยคุกคามระดับต้นๆของภัยการโจมตี Ransomware โดยสังเกตเห็นได้หลังจากกลุ่มผู้ไม่ประสงค์ดี เพิ่มเหยื่อรายใหม่ 21 รายไปยังเว็บไซต์ของตนในเดือนเมษายนที่ผ่านมาโดยเป้าหมายการโจมตีของ Clop คือภาคอุตสาหกรรม โดย 45% ของการโจมตีด้วย Clop Ransomware โจมตีองค์กรอุตสาหกรรม และ 27% กำหนดเป้าหมายไปยังบริษัทเทคโนโลยี  คำแนะนำ  ควรหลีกเลี่ยงการดาวน์โหลดไฟล์จากเว็บหรืออีเมลที่น่าสงสัย  ควรสำรองข้อมูลที่สำคัญไว้บนระบบคลาวด์ (Cloud Platform)   ควรแสกนไวรัสในเครื่องอย่างสม่ำเสมอ  ควรตระหนักถึงภัยคุกคามทางไซเบอร์  ควรตรวจสอบไฟล์ที่ดาวน์โหลดมาก่อนติดตั้งหรือทำการคลิก สามารถตรวจสอบไฟล์ได้ที่(https://www.virustotal.com/gui/home/upload)  IOCS  SHA256s  e8d98621b4cb45e027785d89770b25be0c323df553274238810872164187a45f  8e91f3294883fbdc31ff17c3075f252cbfdc1fc9145c6238468847f86d590418  d1c04608546caf39761a0e390d8f240faa4fc821eea279f688b15d0b2cfc9729  3320f11728458d01eef62e10e48897ec1c2277c1fe1aa2d471a16b4dccfc1207  eba8a0fe7b3724c4332fa126ef27daeca32e1dc9265c8bc5ae015b439744e989 …
Read More

Microsoft พบข้อบกพร่องร้ายแรงในแอป Android จากผู้ให้บริการมือถือรายใหญ่ 

Microsoft ค้นพบช่องโหว่ที่มีความรุนแรงสูงใน Framework จาก Android Apps ผู้ให้บริการมือถือรายใหญ่หลายราย โดยแอปที่พบช่องโหว่ถูกติดตั้งไว้ล่วงหน้าหรือเป็นค่าเริ่มต้นอุปกรณ์ Android ส่วนใหญ่ แอปที่ได้รับผลกระทบบางแอปไม่สามารถถอนการติดตั้งหรือปิดใช้งานได้อย่างสมบูรณ์  ช่องโหว่พบได้แก่   CVE-2021-42598 ,  CVE-2021-42599 ,  CVE-2021-42600และ  CVE-2021-42601 ทำให้ผู้ไม่ประสงค์ดีฝังคำสั่งและการโจมตีแบบยกระดับสิทธิ์ โดยมีคะแนน CVSS ระหว่าง 7.0 ถึง 8.9.  แอปที่ได้รับผลกระทบบางส่วนมาจากผู้ให้บริการมือถือระหว่างประเทศรายใหญ่ เช่น Telus, AT&T, Rogers, Freedom Mobile และ Bell Canada ซึ่ง Microsoft ไม่ได้เปิดเผยรายชื่อแอปทั้งหมดที่พบช่องโหว่ใน Framework  Ref: https://thehackernews.com/2022/05/microsoft-finds-critical-bugs-in-pre.html 
Read More

การอัปเดต Windows 11 (KB5014019) ส่งผลเสียต่อการป้องกัน Ransomware ของ Trend Micro 

Microsoft ได้ปล่อยตัวอัปเดต Windows 11 (KB5040119), Windows 10 (KB5014022) และ Windows Server 2022 (KB5014021) ซึ่งเป็นตัวเลือกเสริม และเพิ่มคุณสมบัติใหม่หลายอย่าง แต่การอัปเดตส่งผลเสียต่อผลิตภัณฑ์ของ Trend Micro เกี่ยวกับการป้องกัน Ransomware  การอัปเดต Windows ดังกล่าวมีผลกระทบ User Mode Hooking (UMH) ที่ช่วยในการป้องกัน Ransomware ของ Trend Micro หยุดทำงาน ซึ่งแพลตฟอร์ม Windows ที่ได้รับผลกระทบคือ Windows 11, Windows 10 เวอร์ชัน 1809 และ Windows Server 2022  ผู้ใช้ที่อัปเดตตัวเลือกเสริมของ Windows ไปแล้ว อาจถอนการติดตั้งโปรแกรมเพื่อแก้ไขชั่วคราว…
Read More

พบ !! ช่องโหว่ใน VMware ที่เสี่ยงต่อการถูก Auth Bypass

VMware ได้ออกมาการอัปเดตแพตช์แก้ไขช่องโหว่ด้านความปลอดภัย CVE-2022-22972 ที่ทำให้ผู้ไม่ประสงค์ดีสามารถ Bypass และ ได้รับสิทธิ์การเข้าถึงระดับผู้ดูแลระบบโดยไม่ต้องตรวจสอบสิทธิ์ บน Workspace ONE Access เวอร์ชัน 21.08.0.1 ต่ำลงมา และ VMware Identity Manager (vIDM) เวอร์ชัน 3.3.6 ต่ำลงมา Successful login as vRealize Automation admin (Horizon3)  ในเดือนเมษายน พ.ศ. 2565 VMware ได้แก้ไขช่องโหว่ที่สำคัญอีก 2 ช่องโหว่ ได้แก่   (CVE-2022-22954) เป็นช่องโหว่ที่ทำให้ผู้ไม่ประสงค์ดีสามารถทำการโจมตีแบบ Remote Code Execution  (CVE-2022-229600) เป็นช่องโหว่ที่ทำให้ผู้ไม่ประสงค์ดีสามารถยกระดับการใช้งานของตนเองเป็นสิทธิ์ “Root”  ใน VMware Workspace ONE Access…
Read More

Zyxel เตือนถึงช่องโหว่ที่ส่งผลกระทบกับอุปกรณ์ Firewalls, APs และ Controllers

Zyxel ได้เผยแพร่คำแนะนำด้านความปลอดภัยเพื่อเตือนผู้ดูแลระบบเกี่ยวกับช่องโหว่ต่างๆ ที่ส่งผลกระทบต่ออุปกรณ์ Firewalls, AP และ Controller หลายรุ่น   แม้ช่องโหว่ไม่ได้จัดอยู่ในประเภทขั้นร้ายแรง แต่ถือว่ามีความสำคัญ เนื่องจากอาจถูกผู้ไม่ประสงค์ดีใช้ในทางที่ผิด เพื่อเป็นส่วนหนึ่งของการโจมตีของ Exploit Chains หากองค์กรขนาดใหญ่ใช้ผลิตภัณฑ์ของ Zyxel ช่องโหว่นี้สามารถดึงดูดความสนใจของผู้ไม่ประสงค์ดีได้ทันที  ช่องโหว่ของ Zyxel จำนวน 4 รายการที่ถูกเปิดเผย มีดังนี้:  CVE-2022-0734: ช่องโหว่ Cross-site Scripting ที่มีความรุนแรงระดับปานกลาง (CVSS v3.1 – 5.8) ในองค์ประกอบ CGI ทำให้ผู้ไม่ประสงค์ดีสามารถใช้สคริปต์ขโมยข้อมูล Cookies และ Session Token ที่จัดเก็บไว้ในเบราว์เซอร์ของผู้ใช้  CVE-2022-26531: ช่องโหว่ในการตรวจสอบความถูกต้อง มีความรุนแรงระดับปานกลาง (CVSS v3.1 – 6.1) ที่ไม่เหมาะสมในคำสั่ง CLI บางคำสั่ง…
Read More

พบช่องโหว่ VMware auth bypass  

นักวิจัยเผยแพร่ช่องโหว่ที่อนุญาตให้เข้าถึงระดับผู้ดูแลระบบโดยไม่ต้องตรวจสอบสิทธิ์ในผลิตภัณฑ์ VMware หลายรายการ ช่องโหว่ CVE-2022-22972  ส่งผลกระทบต่อ VMware Workspace ONE Access, Identity Manager และ vRealize Automation บริษัทเตือนว่าผู้ไม่ประสงค์ดีที่เข้าถึง Interface ของอุปกรณ์สามารถใช้เพื่อเลี่ยงการตรวจสอบสิทธิ์เพื่อเข้าถึง Local Domain Users  VMware แนะนำให้ปิดการใช้งาน Users และ Administrators ในเครื่องทั้งหมด โดยปล่อยให้ใช้งานได้เฉพาะผู้ใช้ที่จำเป็นเท่านั้น นี่เป็นเพียงวิธีแก้ปัญหาชั่วคราว และไม่ได้ลดความเสี่ยงที่ผู้ไม่ประสงค์ดีจะโจมตี โดยใช้ช่องโหว่ CVE-2022-22972   ในขณะนี้ ยังไม่มีการเปิดเผยข้อมูลที่แสดงให้เห็นว่าผู้ไม่ประสงค์ดีใช้ประโยชน์จากช่องโหว่ ที่ผ่านผู้ไม่ประสงค์ดีใช้ประโยชน์จากช่องโหว่ อย่างรวดเร็วหลังจากการ Update Patch โดยเฉพาะหลังจากเปิดเผยรายละเอียดทางเทคนิค  Ref: https://www.bleepingcomputer.com/news/security/researchers-to-release-exploit-for-new-vmware-auth-bypass-patch-now/ 
Read More

พบมัลแวร์ ChromeLoader ตัวใหม่มุ่งเป้าไปยังเว็บเบราว์เซอร์ทั่วโลก !! 

พบมัลแวร์ ChromeLoader เป็น Browser Hijacker ที่สามารถแก้ไขการตั้งค่าเว็บเบราว์เซอร์ของผู้ใช้งาน เพื่อแสดงผลการค้นหาซอฟต์แวร์ที่ผู้ใช้งานไม่ต้องการ การแจกของรางวัลปลอม แบบสอบถาม เกมสำหรับผู้ใหญ่  และ เว็บไซต์หาคู่ ซึ่งผู้ไม่ประสงค์ดีจะได้รับเงินผ่าน Affiliate Marketing โดยการเปลี่ยนเส้นทางการเข้าชมของผู้ใช้งานไปยังเว็บไซต์โฆษณา โดยมัลแวร์ ChromeLoader มีจุดเด่นในด้าน Persistence, Volume,  Infection Route และ PowerShell   Abusing PowerShell  ตามที่นักวิจัยของ Red Canary ได้ติดตามพฤติกรรมการโจมตีของมัลแวร์ ChromeLoader ตั้งแต่เดือนกุมภาพันธ์ของปี 2565 ซึ่งผู้ไม่ประสงค์ดีใช้ไฟล์ ISO ที่เป็นอันตราย เพื่อทำให้ผู้ที่ตกเป็นเป้าหมายติดมัลแวร์  โดยไฟล์ ISO จะปลอมเป็นเกม หรือ ซอฟต์แวร์เชิงพาณิชย์ (Commercial software) ประเภท Cracked  โดยผู้ใช้งานที่ตกเป็นเป้าหมาย อาจดาวน์โหลดไฟล์ดังกล่าวมาจาก Torrent หรือ…
Read More