เมนู

CISA เพิ่มอีก 7 รายการ ในแค็ตตาล็อกช่องโหว่

CISA FULL

ช่องโหว่ที่เพิ่มเข้ามา 7 รายการ เกี่ยวข้องกับผลิตภัณฑ์ชั้นนำ อาทิ SAP, Apple, Google, Microsoft, Palo Alto

23 สิงหาคม 2565

สำนักงานความมั่นคงปลอดภัยทางไซเบอร์ และโครงสร้างพื้นฐานของสหรัฐอเมริกา (CISA) ได้เพิ่มช่องโหว่ด้านความปลอดภัยของระบบ SAP ที่สำคัญใน Known Exploited Vulnerabilities Catalog ตามหลักฐานที่พบจากเหตุการณ์โจมตี และการหาผลประโยชน์จากข้อบกพร่องที่เกิดขึ้น

จากปัญหาช่องโหว่ CVE-2022-22536 ซึ่งมีความเสี่ยงสูงที่สุดได้รับคะแนน CVSS: 10.0 และได้รับการแก้ไขอัพเดตจากทาง SAP ในช่วงเดือนกุมภาพันธ์ 2022 ที่ผ่านมา

ช่องโหว่ที่พบใน SAP เวอร์ชันที่ได้รับผลกระทบเรื่อง HTTP request smuggling ได้แก่

  • SAP Web Dispatcher (Versions – 7.49, 7.53, 7.77, 7.81, 7.85, 7.22EXT, 7.86, 7.87)
  • SAP Content Server (Version – 7.53)
  • SAP NetWeaver and ABAP Platform (Versions – KERNEL 7.22, 8.04, 7.49, 7.53, 7.77, 7.81, 7.85, 7.86, 7.87, KRNL64UC 8.04, 7.22, 7.22EXT, 7.49, 7.53, KRNL64NUC 7.22, 7.22EXT, 7.49)

CISA ได้ออกมาแจ้งเตือนว่า ผู้โจมตีที่ไม่ผ่านการตรวจสอบสิทธิ์ สามารถยกระดับสิทธิ์การใช้งานรวมถึงเรียกใช้งานฟังก์ชันต่างๆ ที่เป็นอันตรายใน web caches ได้

ในเรื่องของ HTTP request เป็นการทำงานปกติไม่ต่างจากการทำงานอื่นๆ และไม่มีการตรวจสอบสิทธิ์รวมถึงการพิสูจน์ตัวตนใดๆ ทำให้สามารถโจมตีได้สำเร็จ จากเรื่องที่เกิดขึ้นทาง Onapsis ได้ค้นพบช่องโหว่ดังกล่าว จึงเป็นเรื่องท้าทายสำหรับอุปกรณ์รักษาความปลอดภัย และเทคโนโลยีต่างๆ เช่น Firewall หรือ IDS/IPS ในการตรวจจับ เนื่องจากการทำงานที่ดูเป็นปกติไม่จัดอยู่ในกลุ่มที่เป็นอันตราย

นอกเหนือจากช่องโหว่ของ SAP แล้ว ทาง CISA เองได้เพิ่มช่องโหว่ใหม่ที่ถูกเปิดเผยโดย Apple (CVE-2022-32893 และ CVE-2022-32894) และ Google (CVE2022-2856) ในสัปดาห์นี้ รวมถึงช่องโหว่อื่นๆที่เกี่ยวข้องกับ Microsoft (CVE-2022-21971 และ CVE-2022-26923) และช่องโหว่จากการเรียกใช้โค้ดระยะไกลจากอุปกรณ์ Palo Alto Network PAN-OS (CVE-2017-15944 ที่ได้รับคะแนน CVSS: 9.8) ที่ถูกเปิดเผยในปี 2560

ช่องโหว่ CVE-2022-21971 (CVSS: 7.8) เป็นช่องโหว่ในการเรียกใช้โค้ดจากระยะไกลใน Windows Runtime ที่ได้รับการแก้ไขในเดือน กุมภาพันธ์ 2565 และ CVE-2022-26923 (CVSS: 8.8) ที่ได้รับการแก้ไขในเดือน พฤษภาคม 2565 ที่เกี่ยวข้องกับเรื่องการยกระดับสิทธิ์ใน Active Directory Domain Services ผู้ใช้ที่ได้รับการตรวจสอบสิทธิ์ในเรื่องการเข้าใช้งาน และได้รับการรับรองจาก Active Directory Domain Services ให้สามารถยกระดับสิทธิ์ใน Microsoft สำหรับช่องงโหว่ CVE-2022-26923

ในการแจ้งเตือนของทาง CISA จะเน้นไปที่รายละเอียดทางเทคนิคของการโจมตีแบบ in-the-wild ที่เกี่ยวข้องกับช่องโหว่ดังกล่าว เพื่อเป็นการป้องกันไม่ให้ผู้โจมตีใช้ประโยชน์จากช่องโหว่ที่เกิดขึ้น และเพื่อเป็นการลดความเสียงต่อภัยคุกคามที่เกิดขึ้น หน่วยงาน  Federal Civilian Executive Branch (FCEB) ได้รับมอบหมายให้ทำการแก้ไขภายในวันที่ 8 กันยายน 2565