CISA ได้เพิ่มช่องโหว่ที่มีผลกระทบกับแพลตฟอร์ม MSHTML ของ Microsoft Windows และโซลูชันการตรวจสอบเครือข่าย Progress WhatsUp Gold ลงในแคตตาล็อกช่องโหว่ที่กำลังถูกใช้ในการโจมตี (KEV) หลังจากที่มีการเปิดเผยหลักฐานว่าพบเครื่องมือที่ใช้สำหรับทดสอบการโจมตี (PoCs) และผู้เชี่ยวชาญด้านความปลอดภัยได้พบการโจมตีจากช่องโหว่เหล่านี้อย่างต่อเนื่อง
CVE-2024-6670: Progress WhatsUp Gold
CVE-2024-6670 (คะแนน CVSS:9.8/10) ความรุนแรงระดับ critical เป็นช่องโหว่ SQL Injection ซึ่งส่งผลกระทบต่อเวอร์ชันของ Progress WhatsUp Gold ที่เผยแพร่ก่อน 2024.0.0
ช่องโหว่ในเวอร์ชันที่ได้รับผลกระทบของซอฟต์แวร์การตรวจสอบเครือข่าย ทำให้ผู้โจมตีที่ไม่ผ่านการยืนยันตัวตันสามารถดึงรหัสผ่านที่เข้ารหัสของผู้ใช้ได้ หากแอปพลิเคชันถูกกำหนดค่าให้มีผู้ใช้เพียงคนเดียว
การโจมตีเกิดขึ้นภายในไม่กี่ชั่วโมงหลังจากที่ POC สำหรับช่องโหว่นี้ถูกเผยแพร่สู่สาธารณะบน GitHub แม้จะมีแพตช์สำหรับช่องโหว่ดังกล่าวแล้วตั้งแต่เดือนสิงหาคม ซึ่งแสดงให้เห็นว่ายังมีผู้ใช้งานบางรายอาจไม่ได้ดำเนินการอัปเดตเวอร์ชัน
ผู้เชี่ยวชาญจาก Trend Micro ตรวจพบการโจมตีโดยการเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกล (RCE) ที่โจมตี WhatsUp Gold โดยใช้ Active Monitor PowerShell Script ซึ่งใช้ประโยชน์จากช่องโหว่ CVE-2024-6670 และ CVE-2024-6671 ซึ่งเป็นช่องโหว่ที่เกี่ยวข้อง และมีระดับ Critical (คะแนน 9.8) ช่องโหว่ทั้งสองนี้ได้รับการแก้ไขไปแล้วตั้งแต่เวอร์ชัน 2024.0.0 เป็นต้นไป
เครื่องมือ Cyble ODIN ตรวจพบ Progress WhatsUp Gold ที่เข้าถึงได้จากอินเทอร์เน็ตจำนวน 381 รายการ ตามภาพด้านล่าง แนะนำให้ผู้ใช้ Progress WhatsUp Gold อัปเกรดโดยเร็วที่สุด และตรวจสอบสัญญาณของการถูกโจมตีในองค์กร
CVE-2024-43461: Microsoft Windows MSHTML
CVE-2024-43461(คะแนน CVSS:8.8/10) ความรุนแรงระดับ High เป็นช่องโหว่ในแพลตฟอร์ม MSHTML ของเบราว์เซอร์ Internet Explorer บน Microsoft Windows ซึ่งมีข้อบกพร่องในการแสดงผล UI ที่ทำให้ผู้โจมตีสามารถปลอมแปลงหน้าเว็บไซต์ได้ ช่องโหว่นี้ถูกใช้ร่วมกับ CVE-2024-38112 ในการโจมตี
Microsoft ได้ประกาศยกเลิกการใช้งาน Internet Explorer 11 และเลิกใช้ Microsoft Edge Legacy อย่างไรก็ตาม MSHTML, EdgeHTML และแพลตฟอร์มสคริปต์ที่เกี่ยวข้องยังคงได้รับการสนับสนุน MSHTML ถูกใช้ในโหมด Internet Explorer ใน Microsoft Edge และแอปพลิเคชันอื่น ๆ ผ่านการควบคุม WebBrowser ขณะที่ WebView และแอปพลิเคชัน UWP บางตัวใช้ EdgeHTML การอัปเดตสำหรับช่องโหว่ใน MSHTML และแพลตฟอร์มสคริปต์จะถูกรวมอยู่ในการอัปเดตสะสมของ IE แต่การอัปเดตสำหรับ EdgeHTML และ Chakra จะไม่ได้รับการรวมในนั้น
ช่องโหว่ CVE-2024-43461 ถูกใช้ร่วมกับ CVE-2024-38112 ก่อนเดือนกรกฎาคม 2024 การแก้ไขช่องโหว่สำหรับ CVE-2024-38112 ที่ปล่อยออกมาในเดือนกรกฎาคม 2024 ได้ขัดขวางการโจมตีที่ใช้ช่องโหว่เหล่านี้ร่วมกัน เพื่อความปลอดภัยผู้ใช้งานควรติดตั้งการอัปเดตด้านความปลอดภัยทั้งจากเดือนกรกฎาคม 2024 และเดือนกันยายน 2024
Windows ที่ได้รับผลกระทบ
- Windows Server 2012
- Windows Server 2012 R2
- Windows Server 2008 R2
- Windows Server 2008
- Windows Server 2016
- Windows 10
- Windows Server 2022
- Windows 11
คำแนะนำ
- ตรวจสอบการอัปเดตด้านความปลอดภัยล่าสุดสำหรับระบบที่ได้รับผลกระทบทั้งหมด และติดตั้งการอัปเดตอย่างสม่ำเสมอ
- ดำเนินการติดตามเพื่อค้นหาพฤติกรรมที่ผิดปกติ เช่น การใช้ประโยชน์จากช่องโหว่เหล่านี้, การเชื่อมต่อบนเครือข่าย, system logs และพฤติกรรมของผู้ใช้
- ควบคุมการเข้าถึง และสิทธิ์การใช้งาน ให้แน่ใจว่าแอปพลิเคชันไม่ได้เปิดให้เข้าถึงจากอินเทอร์เน็ตโดยไม่จำเป็น และเปิดใช้งานระบบการพิสูจน์ตัวตน
- ประเมินช่องโหว่ และทดสอบเจาะระบบเป็นระยะเพื่อระบุ และแก้ไขช่องโหว่ด้านความปลอดภัยที่อาจเกิดขึ้นก่อนที่จะถูกนำมาใช้ในการโจมตี
- ใช้วิธีการ network segmentation เพื่อปกป้องระบบที่สำคัญจากการถูกเข้าถึงจากอินเทอร์เน็ต
Ref : cyble.com
ไม่มีความคิดเห็น:
แสดงความคิดเห็น