ซอฟต์แวร์ Dell SupportAssist สำหรับให้ความช่วยเหลือลูกค้าเดลล์ที่ติดตั้งไปกับโน้ตบุ๊กและพีซีของเดลล์มีช่องโหว่รันโค้ดระยะไกล โดยโค้ดจาวาสคริปต์ที่มุ่งร้ายสามารถสั่งให้โปรแกรมดาวน์โหลดซอฟต์แวร์มาติดตั้งในเครื่องและสั่งรันซอฟต์แวร์นั้นขึ้นมาได้

แฮกเกอร์ต้องสามารถล่อให้ผู้ใช้เข้าเว็บที่มุ่งร้ายจึงจะโจมตีได้สำเร็จ และนอกจากนี้ยังต้องสามารถปลอม DNS ของโดเมน dell.com ให้ชี้ไปยังเครื่องของคนร้ายได้ (ซึ่งทำได้ไม่ยากหากอยู่บนเน็ตเวิร์คเดียวกัน) แต่ความน่ากังวลคือ SupportAssist รันอยู่ด้วยสิทธิ์ admin หากคนร้ายโจมตีสำเร็จก็เท่ากับยึดเครื่องได้เลย

ซิสโก้ออกแพตช์ระดับวิกฤติให้ Cisco Nexus 9000 เฟิร์มแวร์ต่ำกว่ารุ่น 14.1 (1i) เนื่องจากมีกุญแจสำหรับล็อกอิน SSH เป็นกุญแจเริ่มต้นติดมาทุกเครื่อง โดยแฮกเกอร์สามารถล็อกอินเข้าสวิตช์ได้ทาง IPv6 เท่านั้น แต่เมื่อเข้ามาได้แล้ว จะได้สิทธิ์ root ของ NX-OS สามารถควบคุมเครื่องได้ทั้งระบบ

ตอนนี้แพตช์ออกแล้ว ทุกคนควรอัพเดตโดยเร็ว แม้ยังไม่พบว่ามีการโจมตีแต่อย่างใด

ช่องโหว่ความร้ายแรงตาม CVSSv3 ที่ 9.8 คะแนน ทางซิสโก้ออกแพตช์ให้ฟรีสำหรับผู้ใช้ทุกคน

ที่มา - Cisco

ออราเคิลออกแพตช์แก้ช่องโหว่ CVE-2019-2725 ที่เป็นช่องโหว่รันโค้ดจากระยะไกลใน WebLogic เปิดทางให้แฮกเกอร์รันโค้ดบนเซิร์ฟเวอร์ได้โดยไม่ต้องมีสิทธิ์เข้าถึงเซิร์ฟเวอร์

ช่องโหว่นี้รายงานครั้งแรกโดยบริษัท KnownSec 404 ที่รายงานถึงว่ามีการสแกนช่องโหว่นี้ตั้งแต่วันอาทิตย์ที่ 21 เมษายนที่ผ่านมา แต่ยังไม่มีรายงานว่ามีเหยื่อถูกยึดเครื่องจากช่องโหว่นี้จริงๆ

วันนี้ Apache httpd ออกอัพเดตรุ่น 2.4.39 แก้ไขช่องโหว่ความปลอดภัย โดยมีช่องโหว่ระดับ "สำคัญ" 3 รายการ ช่องโหว่ที่สำคัญที่สุดคือ CVE-2019-0211 ที่เปิดให้ผู้ใช้ที่รันสคริปต์ภายใต้เว็บเซิร์ฟเวอร์ Apache สามารถยึดเครื่องได้หากตัว httpd รันในสิทธิ์ root

ช่องโหว่นี้ได้รับรายงานจาก Charles Fol นักวิจัยจาก Ambionics Security ตั้งแต่ 22 กุมภาพันธ์ที่ผ่านมา

ช่องโหว่ระดับสำคัญอีกสองรายการ เป็นการตรวจสอบผู้ใช้ ด้วย mod_auth_digest และ mod_ssl ที่บางกรณีผู้ใช้อาจข้ามการจำกัดสิทธิ์ไปได้ นอกจากนี้ยังมีช่องโหว่ระดับต่ำอีกสองรายการ

PuTTY ออกเวอร์ชั่น 0.71 มาแล้วในวันนี้หลังมีการอัพเดตหลายอย่าง แต่จุดสำคัญคือการแก้ไขช่องโหว่ความปลอดภัยตามโครงการรายงานช่องโหว่แลกรางวัลของสหภาพยุโรป ตอนนี้โครงการก็เสร็จสิ้นและมีการแก้ไขตามรายงานแล้ว

ช่องโหว่ที่ร้ายแรงที่สุดคือช่องโหว่ vuln-dss-verify ที่เปิดทางให้แฮกเกอร์สามารถดักฟังการเชื่อมต่อได้ หาก PuTTY จำค่ากุญแจเซิร์ฟเวอร์แบบ DSA ไว้ล่วงหน้า หากเซิร์ฟเวอร์ใช้กุญแจแบบอื่น เช่น ECDSA หรือ Ed25519 จะไม่ได้รับผลกระทบ

ไมโครซอฟท์ปล่อยอัพเดตประจำเดือนพฤศจิกายน รวม 62 ช่องโหว่ และมี 13 รายการที่เป็นช่องโหว่ระดับวิกฤติ โดยช่องโหว่ระดับวิกฤติส่วนมากอยู่บน Chakra Scripting Engine ที่มีช่องโหว่รันโค้ดอยู่ถึง 8 รายการ ช่องโหว่ของ VBScript Engine หนึ่งรายการ

FreeRTOS โครงการระบบปฎิบัติการขนาดเล็กสำหรับอุปกรณ์ IoT ที่มี AWS เป็นผู้นำโครงการหลักในตอนนี้ ได้รับรายงานช่องโหว่รันโค้ดระยะไกลจากบริษัท Zimperium เมื่อหลายเดือนก่อน และตอนนี้ข้อมูลช่องโหว่เพิ่งเปิดเผยออกมา

ช่องโหว่ 13 รายการเป็นช่องโหว่รันโค้ดระยะไกล 4 รายการช่องโหว่ DoS ที่ทำให้เครื่องแครช 1 รายการ และช่องโหว่เปิดเผยข้อมูลอีก 7 รายการ

ตัว FreeRTOS เป็นโครงการโอเพนซอร์สและมีโครงการแยกที่นำซอร์สโค้ดไปพัฒนาเป็นเวอรชั่นเพื่อการค้า เช่น OpenRTOS และ SafeRTOS เป็นที่นิยมในอุตสาหกรรมหลายกลุ่ม ตั้งแต่อากาศยาน, การแพทย์, ไปจนถึงยานยนต์ ทาง Zimperium ยืนยันว่าทั้งสองโครงการได้รับผลกระทบด้วยเช่นกัน

libssh ไลบรารีสำหรับพัฒนาแอพที่ให้บริการผ่าน โปรโตคอล Secure Shell (GitHub ที่สามารถ clone ผ่าน SSH ได้ก็ใช้ไลบรารีตัวนี้) ประกาศช่องโหว่ CVE-2018-10933 ที่ผู้ใช้สามารถล็อกอินได้สำเร็จทันที เพียงแค่ส่งแมสเสจ SSH2_MSG_USERAUTH_SUCCESS แทนที่จะส่ง SSH2_MSG_USERAUTH_REQUEST ตามปกติ

Adobe ออกแพตช์ความปลอดภัยให้กับ Acrobat และ Acrobat Reader นอกรอบปกติ แก้ช่องโหว่ out-of-bounds write ที่เป็นช่องโหว่ระดับวิกฤติ ทำให้แฮกเกอร์สามารถส่งโค้ดเข้ามารันบนเครื่องของเหยื่อได้ และช่องโหว่ out-of-bounds read ที่เปิดเผยข้อมูลในเครื่องของเหยื่อ

Adobe เพิ่งปล่อยแพตช์ประจำเดือนไปเมื่อสัปดาห์ก่อน ตรงกับ patch Tuesday ของไมโครซอฟท์ การออกแพตช์นอกรอบเช่นนี้นับว่าเป็นเรื่องผิดปกติ ที่มักมีการปล่อยแพตช์เร่งด่วนเพราะมีการโจมตีแล้ว อย่างไรก็ดี ประกาศของ Adobe ไม่ได้ระบุว่ามีการโจมตีแต่อย่างใด

ช่องโหว่ CVE-2018-11776 เป็นช่องโหว่รันโค้ดจากระยะไกล ที่แฮกเกอร์สามารถสั่งรันโค้ดบน Apache Struts 2 รุ่น 2.3.34 หรือ 2.5.16 ลงไปทั้งหมด โดยช่องโหว่มีความร้ายแรงระดับวิกฤติ (คะแนน CVSSv3 ที่ 9.8) ตอนนี้ก็มีโค้ด PoC เปิดให้ดาวน์โหลดแล้ว

Allan Liska จากเว็บ Recorded Future ระบุว่าพบการพูดคุยในหมู่แฮกเกอร์จีนและรัสเซียตามฟอรั่มต่างๆ และโค้ดทดสอบเจาะช่องโหว่นี้ก็เปิดให้ดาวน์โหลดแล้วบน GitHub

ไมโครซอฟท์ปล่อยแพตช์ความปลอดภัยประจำเดือนสิงหาคม โดยรอบนี้แม้จะมีช่องโหว่สำคัญๆ จำนวนหนึ่ง แต่มีช่องโหว่สองรายการที่เปิดเผยข้อมูลต่อสาธารณะแล้ว และเริ่มมีการโจมดีไปแล้ว ได้แก่ CVE-2018-8373 ช่องโหว่รันโค้ดบน Internet Explorer และ CVE-2018-8414 ช่องโหว่ Windows Shell

ซอฟต์แวร์ที่ได้มีรายงานเยอะสักหน่อย คือ Chakra Scripting Engine ที่มีช่องโหว่ระดับวิกฤติถึง 6 รายการ ส่วนซอฟต์แวร์ระดับเซิร์ฟเวอร์นั้น มีช่องโหว่ของ Microsoft SQL และ Exchange

รวมรายการ CVE รอบนี้มีทั้งหมด 60 รายการ เป็นระดับวิกฤติ 20 รายการและระดับสำคัญ 38 รายการ

ช่องโหว่ที่ไคลเอนต์นั้นทั้งร้ายแรงและมีการโจมตีแล้ว ดังนั้นรอบนี้ก็อาจจะต้องเร่งแพตช์กันกว่าปกติ

Red Hat แจ้งเตือนช่องโหว่ในไคลเอนต์ DHCP เปิดทางให้แฮกเกอร์สามารถสั่งรันโค้ดจากระยะไกล โดยอาศัยการสร้าง DHCP response ที่มุ่งร้ายสามารถรันโค้ดในสิทธิ์ NetworkManager ซึ่งเป็น root ได้

ช่องโหว่ได้หมายเลขประจำตัวเป็น CVE-2018-1111 ความร้ายแรงระดับวิกฤติ โดยกระทบทั้ง RHEL 6 และ 7 และลินุกซ์อื่นๆ ที่อาศัยโค้ดต้นน้ำเดียวกันทั้งหมด แต่โค้ดเป็นโค้ดที่เพิ่มเติมโดย Red Hat เอง ไม่ได้กระทบถึงโครงการ dhcp โดยตรง

แพ็กเกจ dhcpclient ออกอัพเดตให้กับ RHEL 6.4, 6.5, 6.6, 6.7, 7.2, 7.3, 7.4 แล้ว

ที่มา - Red Hat,

เว็บข่าวเยอรมัน Heise.de รายงานถึงช่องโหว่ซีพียูชุดใหม่ 8 รายการ (CVE) ที่อินเทลได้รับรายงานจากนักวิจัยแต่ยังไม่เปิดเผยต่อสาธารณะ โดยเรียกรวมชุดช่องโหว่ว่า Spectre-NG

ทาง Heise ระบุว่าอินเทลกำลังพัฒนาแพตช์ร่วมกับผู้ผลิตระบบปฎิบัติการ ขณะที่บางช่องโหว่ก็กระทบซีพียู ARM บางรุ่นด้วย ส่วนทางเอเอ็มดีนั้นกำลังทดสอบว่าได้รับผลกระทบหรือไม่

แม้จะไม่มีข้อมูลชัดเจนว่าช่องโหว่หน้าตาเป็นเช่นไร แต่ข้อมูลของทาง Heise ระบุว่าแพตช์จะออกมาสองระลอก ระลอกแรกภายในเดือนพฤษภาคมนี้ และระลอกสองเดือนสิงหาคม ในบรรดาช่องโหว่ 8 รายการ มี 4 รายการถูกจัดเป็นระดับร้ายแรงสูง (high) ที่เหลือเป็นระดับปานกลาง

การโจมตี Spectre/Meltdown เปิดเผยมาตั้งแต่เดือนมกราคมที่ผ่านมา จนตอนนี้กระบวนการแพตช์ก็ยังไม่เสร็จสิ้น ล่าสุดไมโครซอฟท์เพิ่มแพตช์สำหรับอัพเดต microcode ของซีพียู Broadwell/Haswell เพิ่มเติมแล้ว

แพตช์ KB4091666 เป็น microcode จากอินเทลทำให้ผู้ดูแลระบบไม่ต้องรออัพเดตจากผู้ผลิตเมนบอร์ดตามปกติ ขณะที่แพตช์ KB4078407 เป็นการคอนฟิกค่า registry เพื่อป้องกันการโจมตี Spectre เพิ่มเติม โดยหากไม่ติดแพตช์นี้ผู้ดูแลระบบก็สามารถคอนฟิกได้เองเหมือนกัน

Drupal เพิ่งปล่อยแพตช์แก้ช่องโหว่ SA-CORE-2018-002 ไปเมื่อปลายเดือนมีนาคม โดยเป็นช่องโหว่ร้ายแรงที่เปิดให้แฮกเกอร์ส่งโค้ดเข้ามารันบนเครื่องโดยง่าย และเริ่มมีเวิร์มอาศัยช่องโหว่นี้แล้ว ตอนนี้ทีม Drupal Security ก็พบว่าแพตช์ล่าสุดยังไม่สมบูรณ์และประกาศปล่อยแพตช์อีกครั้งวันพฤหัสนี้

ช่วงเวลาปล่อยแพตช์จะเป็นช่วงเวลาก่อนเที่ยงคืนวันพฤหัสเข้าวันศุกร์ คาดว่าแฮกเกอร์จะสามารถพัฒนาซอฟต์แวร์เจาะระบบจากช่องโหว่นี้ได้ภายในเวลาไม่กี่วันหรือไม่กี่ชั่วโมงเท่านั้น ตัวแพตช์ไม่จำเป็นต้องอัพเดตฐานข้อมูล ดังนั้นจึงควรติดตั้งในระยะเวลาอันสั้นได้ ผู้ดูแลระบบทุกคนควรเตรียมตัวในช่วงเวลาดังกล่าว

Drupal ออกแพตช์ความปลอดภัยระดับวิกฤติมาตั้งแต่เดือนที่แล้ว โดยเป็นครั้งที่สองในรอบสี่ปีที่ออกแพตช์โดยเตือนล่วงหน้า ตอนนี้ Netlab 360 ก็ออกมาเตือนว่าเริ่มมีเวิร์มที่อาศัยช่องโหว่นี้อาละวาดแล้ว

จากการสแกนของ Netlab 360 พบว่ามีกลุ่มแฮกเกอร์ 3 กลุ่มใหญ่อาศัยช่องโหว่นี้และโจมตีเซิร์ฟเวอร์ Drupal ที่ยังไม่ได้แพตช์ แต่มีกลุ่มหนึ่งที่ตั้งชื่อว่า Muhstik (เนื่องจากในไฟล์มีคำนี้อยู่) ทำงานเป็นเวิร์มที่แพร่ตัวเองได้

Muhstik กระจายตัวเองไปเรื่องๆ ขณะเดียวกันก็ทำกำไรให้เจ้าของด้วยการขุดเหมืองเงินคริปโตด้วย xmrig (Monero) และ cgminer หรือบางทีก็รับยิง DDoS

แพตช์ของ Spring Framework 4.3.14 และ 5.0.4 ออกมาตั้งแต่วันอังคารที่ผ่านมา แต่วันนี้ทาง Pivotal ก็ประกาศเพิ่มเติมว่าแพตช์ชุดนี้แก้ช่องโหว่ 3 รายการ โดยมีรายการหนึ่งเป็นช่องโหว่ระดับวิกฤติ เปิดทางให้แฮกเกอร์ส่งโค้ดเข้ามารันได้

ช่องโหว่ CVE-2018-1270 เปิดทางให้แฮกเกอร์ยิงข้อความที่สร้างเฉพาะเข้ามาในโมดูล spring-messaging หากมีกระบวนการยืนยันตัวตน เช่น Spring Security ก็จะจำกัดผู้โจมตีลงไปได้

อีกช่องโหว่ เป็นช่องโหว่ระดับสูง CVE-2018-1271 เปิดทางให้แฮกเกอร์สามารถอ่านไฟล์ได้เกินกว่าที่กำหนดไว้

โครงการที่ใช้ Spring Framework ควรเร่งอัพเดตโดยเร็ว

อินเทลประกาศปรับแผนการออกแพตช์ (microcode) อุดช่องโหว่ Spectre (Variant 2) ให้กับซีพียูรุ่นเก่า โดยล้มเลิกแผนการออกแพตช์ให้ซีพียูเก่าๆ บางรุ่นด้วยเหตุผลที่แตกต่างกันไป เช่น เป็นรุ่นที่มีคนใช้น้อย หรือ มีฟีเจอร์บางอย่างช่วยลดผลกระทบจากช่องโหว่อยู่แล้ว

ซีพียูรุ่นที่ถูกยกเลิกแพตช์เป็นซีพียูรุ่นที่ค่อนข้างเก่า (มาก) มีรายชื่อดังนี้ (เรียงตามโค้ดเนม)

ขออภัยหากหัวข้อชวนงง โดยสรุปเรื่องคือไมโครซอฟท์ปล่อยแพตช์อัพเดตล่าสุด เพื่อแก้ไขช่องโหว่ใน Patch Tuesday ที่ปล่อยออกมาล่าสุดเพื่ออุดช่องโหว่ที่เกิดจากแพตช์แก้ Meltdown เมื่อต้นปี

อย่างยาวคือไมโครซอฟท์ปล่อยอัพเดตแพตช์แก้ Meltdown ให้ Windows 7 และ Windows Server 2008 R2 เมื่อเดือนมกราคมและกุมภาพันธ์ ซึ่งกลายเป็นว่าแพตช์นี้ทำให้แอปและผู้ใช้งานทั่วไป (ไม่ใช่แอดมิน) เข้าถึงเคอร์เนลด้วยสิทธิระดับแอดมินและแก้ไขข้อมูลในแรมได้อย่างอิสระ ซึ่งแพตช์รอบเดือนมีนาคมที่เพิ่งถูกปล่อยออกมา ไมโครซอฟท์ระบุว่าได้แก้บั๊กตรงนี้ด้วย

Drupal ออกอัพเดต 7.58 และ 8.5.1 ตามที่ประกาศไว้เมื่อสัปดาห์ที่แล้ว โดยระบุว่าเป็นช่องโหว่ "วิกฤติอย่างสูง" (highly critical) แฮกเกอร์สามารถยึดเว็บได้อย่างสมบูรณ์

Drupal เตรียมออกแพตช์ระดับ "วิกฤติร้ายแรง" วันที่ 29 มีนาคมนี้ เวลาตีหนึ่งถึงตีสองครึ่ง กระทบเวอร์ชั่น 7.x, 8.3.x, 8.4.x, และ 8.5.x ความร้ายแรงของช่องโหว่นี้สูงกว่าปกติ เพราะคาดว่าแฮกเกอร์จะสามารถสร้างเครื่องมือเจาะระบบได้ภายในเวลาไม่กี่ชั่วโมงหรือไม่กี่วันหลังจากปล่อยแพตช์

ทีม Drupal Security แนะนำให้ผู้ใช้ Drupal เตรียมเวลาเพื่อแพตช์ระบบในช่วงเวลาดังกล่าว

ทางด้าน Drupal 8.3.x และ 8.4.x นั้นหมดอายุการซัพพอร์ตไปแล้ว แต่จะออกแพตช์สำหรับช่องโหว่นี้เป็นพิเศษ

ที่มา - Drupal Security

ไมโครซอฟท์ได้ปล่อยแพตช์ประจำเดือนมีนาคมตามรอบ Patch Tuesday ตรงกับวันพุธที่ผ่านมาในบ้านเรา โดยแก้บั๊กทั้งหมด 75 จุด เป็นระดับวิกฤติ 15 จุด ระดับสำคัญ 61 จุด พร้อมแก้บั๊ก Microsoft Edge และเอนจินเบราว์เซอร์ที่เกี่ยวข้องอาทิ Chakra ซึ่งเป็นระดับวิกฤติ 14 จุด (จาก 15 จุด) และระดับสำคัญ 7 จุด

บั๊ก Edge ระดับวิกฤติหลายๆ ตัว อาทิ CVE-2018-0930 เปิดโอกาสให้แฮกเกอร์โจมตีผู้ใช้ผ่านหน้าเว็บที่ถูกเปิดด้วย Edge ซึ่งสามารถสั่งรันโค้ดและหากสำเร็จก็อาจเข้าถึงสิทธิเดียวกับผู้ใช้ที่กำลังใช้งานอยู่ ส่วนแพตช์อื่นๆ ได้แก่ ช่องโหว่รันโค้ดทางไกลผ่านโปรโตคอล CredSSP, ช่องโหว่ Windows Shell และช่องโหว่ XSS บน Office เป็นต้น

อินเทลรายงานความคืบหน้าการแก้ปัญหา Spectre/Meltdown ว่าตอนนี้ได้ออก microcode สำหรับซีพียูทุกรุ่นที่ออกใหม่ในช่วง 5 ปีที่ผ่านมาทั้งหมดแล้ว และขอให้ทุกคนพยายามอัพเดตระบบสม่ำเสมอ แต่ที่สำคัญคือซีพียูรุ่นต่อไปที่จะออกใหม่ในปลายปีนี้ จะแก้ไขการโจมตี Spectre variant 2 ในตัวชิปมาแต่แรก

ชิปที่ถูกแก้ปัญหาก่อน ได้แก่ Xeon Scalable (Cascade Lake) และ Core Gen 8 ที่กำลังจะออกใหม่ครึ่งหลังของปีนี้

ที่มา - Intel

ผู้ดูแลระบบจำนวนมากพบว่าแพตช์ KB4088875 เมื่อติดตั้งบน Windows Server 2008 R2 ที่ติดตั้ง VMWare แพตช์ความปลอดภัยที่ปกติไม่ควรเปลี่ยนพฤติกรรมเครื่องใดๆ กลับเปลี่ยนจาก static IP กลายเป็น DHCP ไปโดยไม่ถามผู้ดูแลระบบ ส่งผลให้เซิร์ฟเวอร์ที่มักเป็นไอพีแบบ static ไม่สามารถเชื่อมต่อเน็ตเวิร์คได้อีก

ผู้ใช้รายหนึ่งรายงานใน Reddit ว่าเขาดูแลเซิร์ฟเวอร์ประมาณ 50 เครื่อง และเมื่อติดตั้งแพตช์นี้แล้วเน็ตเวิร์คก็ดับทั้งหมด

Meh Chang นักวิจัยจากบริษัท DEVCORE ในไต้หวันรายงานช่องโหว่ใน mail transfer agent (MTA) ที่ชื่อว่า Exim ที่ได้รับความนิยมเป็นอย่างสูงในลินุกซ์ สามารถควบคุมหน่วยความจำบางส่วนของ Exim และอาจเปิดทางให้แฮกเกอร์รันโค้ดบนเซิร์ฟเวอร์ได้

การโจมตีอาศัยช่องโหว่ buffer overflow ในฟังก์ชั่น base64d โดยอาศัยการส่งคำสั่ง ELHO และ AUTH พร้อมกับข้อมูลที่ออกแบบมาเฉพาะ อย่างไรก็ดีทีมงานพัฒนาระบุว่าการโจมตีจริงน่าจะทำได้ยาก