SAP ออกเเจ้งเตือนให้ผู้ใช้รีบทำการอัปเดตแพตช์เป็นการเร่งด่วนหลังพบผู้ประสงค์ร้ายพยายามใช้ประโยชน์จากช่องโหว่ทำการโจมตีระบบอย่างต่อเนื่อง

SAP และ Onapsis บริษัทรักษาความปลอดภัยทางด้านคลาวด์ได้ออกเเจ้งเตือนลูกค้า SAP ให้รีบทำการอัปเดตแพตช์ความปลอดภัยให้เป็นเวอร์ชันล่าสุดหลังพบกลุ่มผู้ประสงค์ร้ายพยายามใช้ประโยชน์จากช่องโหว่ทำการโจมตีระบบอย่างต่อเนื่อง

ข้อมูลภัยคุกคามที่รวบรวมและเผยแพร่โดย Onapsis ร่วมกับ SAP ได้ระบุว่าตั้งแต่กลางปี ​​2020 ผู้เชี่ยวชาญด้านความปลอดภัยจาก Onapsis ได้พบเห็นกลุ่มผู้ประสงค์ร้ายพยายามโจมตีช่องโหว่ในแอปพลิเคชัน SAP ที่ไม่ได้รับการแพตช์ความปลอดภัยกว่า 1,500 ครั้ง จาก 20 ประเทศทั่วโลก โดยมีจำนวนที่ทำการโจมตีประสบความสำเร็จอยู่ที่ 300 ครั้ง

ตามรายงานระบุอีกว่าการโจมตีเหล่านี้ได้ใช้ประโยชน์จากช่องโหว่ด้านความปลอดภัยหลายรายการในแอปพลิเคชัน SAP ประกอบด้วยช่องโหว่ดังนี้

ช่องโหว่ CVE-2020-6284 เป็นช่องโหว่การตรวจสอบสิทธิ์ โดยผู้โจมตีที่ไม่ได้รับการตรวจสอบสิทธิ์สามารถเข้ายึดระบบ SAP ที่มีช่องโหว่ได้จากระยะไกล
ช่องโหว่ CVE-2020-6207 เป็นช่องโหว่การตรวจสอบสิทธิ์ โดยผู้โจมตีที่ไม่ได้รับการตรวจสอบสิทธิ์สามารถเข้ายึดระบบ SAP ที่มีช่องโหว่ได้จากระยะไกล
ช่องโหว่ CVE-2018-2380 เป็นช่องโหว่การยกระดับสิทธิ์และ Execute คำสั่งบนระบบปฏิบัติการเพื่อเข้าถึงฐานข้อมูลและระบบเครือข่ายภายใน (Lateral movement)
ช่องโหว่ CVE-2016-95 เป็นช่องโหว่ Denial-of-Service (DoS) และเข้าถึงข้อมูลที่สำคัญโดยไม่ได้รับอนุญาต
ช่องโหว่ CVE-2016-3976 เป็นช่องโหว่ที่ทำให้ผู้โจมตีจากระยะไกลสามารถยกระดับสิทธิ์และเข้าอ่านไฟล์ผ่านทาง Directory Traversal ซึ่งนำไปสู่การเข้าถึงข้อมูลโดยไม่ได้รับอนุญาต
ช่องโหว่ CVE-2010-5326 เป็นช่องโหว่การตรวจสอบสิทธิ์ โดยผู้โจมตีที่ไม่ผ่านการพิสูจน์ตัวตนสามารถ Execute คำสั่งบนระบบปฏิบัติและเข้าถึงแอปพลิเคชันที่เชื่อมต่อกับฐานข้อมูล ซึ่งทำให้ผู้โจมตีสามารถเข้าควบคุม SAP Business Information และโปรเซสได้อย่างสมบูรณ์

ทั้งนี้ลูกค้าและผู้ดูแลระบบ SAP ควรทำการอัปเดตเเพตช์ให้เป็นเวอร์ชันล่าสุดเพื่อป้องกันการตกเป็นเป้าหมายของผู้ประสงค์ร้าย

ที่มา: bleepingcomputer

New Exploit for MikroTik Router WinBox Vulnerability Gives Full Root Access

นักวิจัยด้านความปลอดภัยจาก Tenable Research ได้เปิดตัวการโจมตี RCE ใหม่ สำหรับช่องโหว่ Directory Traversal เก่าที่เคยพบ

ช่องโหว่ CVE-2018-14847 ได้รับการจัดอันดับความรุนแรงอยู่ระดับปานกลาง (Medium) แต่ควรได้รับการปรับระดับความรุนแรงเป็นสำคัญ (Critical) หลังจากนี้ เนื่องจากเทคนิคการแฮ็กใหม่ที่ใช้กับเราเตอร์ MikroTik มีช่องโหว่ช่วยให้ผู้โจมตีสามารถเรียกใช้โค้ดจากระยะไกลบนอุปกรณ์ที่ได้รับผลกระทบและได้รับสิทธิ์ root ส่งผลกระทบต่อ Winbox ซึ่งเป็นองค์ประกอบการจัดการสำหรับผู้ดูแลระบบในการตั้งค่าเราเตอร์โดยใช้อินเทอร์เฟซบนเว็บและแอพพลิเคชัน Windows GUI สำหรับซอฟต์แวร์ RouterOS ที่ใช้โดยอุปกรณ์ MikroTik

ช่องโหว่นี้ช่วยให้ผู้โจมตีจากระยะไกลสามารถเลี่ยงการตรวจสอบสิทธิ์และอ่านไฟล์ได้โดยการแก้ไขข้อมูลที่เกี่ยวกับ Session ID

Tenable Research "Jacob Baines" ได้ทำการทดสอบโดยเริ่มจากใช้ช่องโหว่ directory traversal เพื่อขโมยข้อมูล credential ที่ใช้เข้าสู่ระบบของผู้ดูแลจากไฟล์ฐานข้อมูลและเขียนไฟล์อื่นในระบบเพื่อให้ได้ root shell เข้าถึงได้จากระยะไกล โดยได้ตั้งชื่อ PoC ในครั้งนี้ว่า "By the Way" และได้เผยแพร่ไว้บน GitHub ของ Tenable

นอกจากนี้ Tenable ยังเปิดเผยช่องโหว่ใหม่ๆ ของ MikroTik Router อื่นๆ ได้แก่
- CVE-2018-1156 ข้อบกพร่องของ stack overflow ซึ่งอาจทำให้เกิดการเรียกใช้โค้ดจากระยะไกล ทำให้ผู้โจมตีได้สิทธิ์เต็มที่ในระบบ และเข้าถึงระบบภายในที่ใช้เราเตอร์ได้อย่างเต็มรูปแบบ.
- CVE-2018-1157 ข้อบกพร่องที่อัปโหลดไฟล์ memory exhaustion ซึ่งอนุญาตให้ผู้โจมตีจากระยะไกล สามารถขัดขวางการทำงาน (crash) ของ HTTP เซิร์ฟเวอร์ได้
- CVE-2018-1159 ข้อบกพร่องในส่วน www memory ที่อาจขัดขวางการทำงานของ HTTP เซิร์ฟเวอร์ โดยทำการตรวจสอบตัวตน (authenticating) และยกเลิกการเชื่อมต่ออย่าง (disconnecting) รวดเร็ว
- CVE-2018-1158 ปัญหาการทำ recusive parsing stack ของ JSON ที่สามารถขัดขวางการทำงาน (crash) ของเซิร์ฟเวอร์ HTTP ได้

Tenable Research ได้รายงานปัญหาต่างๆ ไปยัง MikroTik ตั้งแต่เดือนพฤษภาคม และทางบริษัทได้ทำการแก้ไขช่องโหว่ พร้อมปล่อย RouterOS เวอร์ชัน 6.40.9, 6.42.7 และ 6.43 ในเดือนสิงหาคม และจากการตรวจสอบล่าสุดพบว่า 70 เปอร์เซ็นต์ของเราเตอร์ (ประมาณ 200,000) ยังคงมีช่องโหว่อยู่ ทั้งนี้ Mikrotik RouterOS เวอร์ชั่นก่อน 6.42.7 และ 6.40.9 ได้รับผลกระทบจากช่องโหว่นี้ทุกตัว ผู้ใช้งานควรทำการแพทช์ให้เป็นเวอร์ชั่นล่าสุด

ที่มา : thehackernews

วิเคราะห์ช่องโหว่ Zip Slip: แตกไฟล์บีบอัดแล้วถูกแฮ็กได้โดยไม่รู้ตัว

สรุปย่อ
ทีมนักวิจัยด้านความปลอดภัยจากบริษัท Snyk ได้ออกมาเปิดเผยช่องโหว่ใหม่ภายใต้ชื่อ Zip Slip โดยการโจมตีช่องโหว่ดังกล่าวนั้นอาจทำให้เหยื่อทำการรันโค้ดอันตรายโดยไม่รู้ตัวเมื่อทำการคลายการบีบอัดหรือแตกไฟล์บีบอัดซึ่งถูกสร้างมาอย่างเฉพาะเจาะจง และนำไปสู่ความเสี่ยงต่อคุณสมบัติด้านความปลอดภัยในระบบได้

รายละเอียดช่องโหว่
ช่องโหว่ Zip Slip มีที่มาจากปัญหาของการไม่ตรวจสอบค่านำเข้าของไลบรารีที่ทำหน้าที่ในการคลายการบีบอัดของไฟล์อย่างถี่ถ้วน อีกทั้งไม่มีการทำไลบรารีกลางซึ่งมีความปลอดภัยมากพอในการจัดการกับไฟล์บีบอัด ส่งผลให้เกิดการพัฒนาซอฟต์แวร์หรือการเผยแพร่โค้ดต่างๆ ที่ทำงานได้แต่ไม่มีความปลอดภัย ซึ่งทำให้ผู้โจมตีสามารถใช้ช่องโหว่ดังกล่าวในการทำให้เกิดการลักษณะการโจมตีที่เรียกว่า Directory Traversal ซึ่งอาจนำไปสู่การรันโค้ดที่เป็นอันตรายจากระยะไกลได้ (Remote Code Execution)

ช่องโหว่ Zip Slip นั้นถูกตรวจพบในไลบารีในภาษาโปรแกรมมิ่งหลายภาษา อาทิ JavaScript, Ruby, .NET และ Go รวมไปถึง Java ซึ่งมีการใช้โค้ดที่มีช่องโหว่เป็นจำนวนมาก ตัวอย่างหนึ่งของโค้ดที่มีช่องโหว่ในภาษา Java มีตามตัวอย่างด้านล่าง
Enumeration<ZipEntry> entries = zip.

Vulnerabilities found in Lenovo, Toshiba, Dell support software

ข่าวร้ายสำหรับผู้ใช้งาน PC ของ Lenovo, Dell และ Toshiba เมื่อซอฟต์แวร์สนับสนุนที่ติดมากับเครื่อง ได้แก่ Lenovo Solution Center, Dell System Detect และ Toshiba Service Station ถูกค้นพบว่ามีช่องโหว่ที่ช่วยให้แฮกเกอร์สามารถรันโค้ดบนคอมพิวเตอร์ Lenovo ผ่านทางเว็บไซต์ปลอมของแฮกเกอร์ โดยได้สิทธิ์เป็น System ทันที ซึ่งช่องโหว่นี้ถูกค้นพบโดยแฮกเกอร์ที่ใช้ชื่อว่า Slipstream และ RoL เมื่อสัปดาห์ที่ผ่านมา

นอกจากนี้ ยังมีช่องโหว่ Directory Traversal ซึ่งช่วยให้แฮกเกอร์สามารถใช้หลอก Lenovo Solution Center เพื่อรันคำสั่งจากโฟลเดอร์ใดก็ได้ ไม่จำเป็นต้องเป็นโฟลเดอร์ %APPDATA%\LSC\Local Store อีกต่อไป และที่น่าตกใจยิ่งกว่าคือ LSCTaskService ยังมีช่องโหว่ Cross-site Request Forgery (CSRF) แถมมาอีกด้วย ส่งผลให้แฮกเกอร์ไม่จำเป็นต้องเข้าถึงเครื่องคอมพิวเตอร์ก็สามารถหลอกล่อให้เหยื่อเข้าถึงเว็บไซต์ของตนเพื่อแอบส่งคำสั่งไปรันบนเครื่องของเหยื่อได้ทันที

Lenovo ได้ทราบถึงช่องโหว่ดังกล่าว และกำลังทำการตรวจสอบเพื่ออุดช่องโหว่ให้เร็วที่สุด ระหว่างนี้แนะนำให้ผู้ใช้ยกเลิกการติดตั้ง Lenovo Solution Center ออกไปก่อน
Slipstream ยังได้เปิดเผยช่องโหว่ของ Toshiba Service Station และ Dell System Detect โดย Toshiba Service Station จะทำการสร้าง Service ที่เรียกว่า TMachInfo ซึ่งถูกรันด้วยสิทธิ์ระดับ System และรับคำสั่งผ่านทาง UDP Port 1233 หนึ่งในคำสั่งเหล่านั้น คือ Reg.