เมนู

CISA เพิ่มอีก 10 รายการ ในแค็ตตาล็อกช่องโหว่

CISA2 FULL

พบช่องโหว่ที่เกี่ยวข้องกลุ่มอุตสาหกรรม Delta Electronics, web shell, crypto miners, botnets, remote access trojans (RATs),  initial access brokers (IABs), iOS และ MacOS

1 กันยายน 2565

สำนักงานความมั่นคงปลอดภัยทางไซเบอร์ (CISA) ได้เพิ่มช่องโหว่ใหม่ 10 รายการลงในแค็ตตาล็อกช่องโหว่  Known Exploited Vulnerabilities (KEV) รวมถึงช่องโหว่ที่มีความเสี่ยงสูงในการใช้ซอฟต์แวร์ในกลุ่มอุตสาหกรรม Delta Electronics

ช่องโหว่ CVE-2021-38406 (CVSS: 7.8) ส่งผลกระทบในการทำงานของ DOPSoft2 ในเวอร์ชัน 2.00.07 และก่อนหน้า ในการเข้ารหัสข้อมูลของผู้ใช้งาน ที่มีข่าวถูกเปิดเผยในช่วงเดือน กันยายน 2564 ที่ผ่านมาว่าเป็นส่วนหนึ่งของ industrial control system (ICS)

จากปัญหาที่เกิดขึ้นใน Delta Electronics DOPSoft 2 ไม่มีการตรวจสอบข้อมูลผู้ใช้รวมถึงการจัดการข้อมูล และการแยกไฟล์ประเภทต่างๆ ก่อนจะนำมาวิเคราะห์เรื่องของอินพุตที่ไม่เหมาะสม สำหรับการใช้งานภายในองค์กร

อย่างไรก็ตามยังไม่มีแพตช์ที่แก้ไขช่องโหว่ที่เกิดขึ้น ทาง CISA กล่าวแนะนำผู้ใช้ถึงอุปกรณ์ที่ได้รับผลกระทบถ้าตรวจสอบแล้วพบว่าหมดอายุการใช้งาน ควรปิดการใช้งานทันที และตัดเชื่อมต่อออกจากระบบที่ใช้ โดยล่าสุดหน่วยงาน Federal Civilian Executive Branch (FCEB) ได้ถูกสั่งให้ทำตามคำแนะดังกล่าวภายในวันที่ 15 กันยายน 2565

รายงานล่าสุดจาก Palo Alto Networks Unit 42 แสดงให้เห็นถึงการโจมตีแบบ in-the-wild ซึ่งใช้ประโยชน์จากช่องโหว่ที่เกิดขึ้นในช่วงเดือน กุมภาพันธ์ – เมษายน 2565 ที่ผ่านมา พบผู้ใช้งานเองไม่ได้อัพเดตแพตช์ หรือการอัพเดตที่ล่าช้า

การโจมตีเหล่านี้อาศัยช่องโหว่จาก web shell, crypto miners, botnets และการ remote access trojans (RATs) initial access brokers (IABs) และการทำงานของแรนซัมแวร์ในอนาคต

รายการช่องโหว่ที่ถูกเพิ่มไปในรายการมีดังนี้

  • CVE-2022-26352  – ผู้โจมตีสามารถสร้างคำขอเข้าใช้งาน รวมถึงข้ามผ่านการตรวจสอบสิทธิ์ และสร้างไฟล์ .jsp นำไปสู่การเรียกใช้โค้ดจากระยะไกลใน (dotCMS 3.0)
  • CVE-2022-24706  – ผู้โจมตีสามารถเข้าถึงการติดตั้งเริ่มต้นอย่างไม่เหมาะสม รวมถึงข้ามผ่านการตรวจสอบสิทธิ์และได้รับสิทธิ์ผู้ดูแลระบบ ใน Apache CouchDB (3.2.2)
  • CVE-2022-24112   – การข้ามผ่านการตรวจสอบสิทธิ์ใน Apache APISIX
  • CVE-2022-22963  – การ Remote ระยะไกลผ่านฟังก์ชันของ VMware Tanzu Spring Cloud
  • CVE-2022-2294    – การใช้ข้อมูลปริมาณมากเกินกว่าที่กำหนด (WebRTC Heap)
  • CVE-2021-39226   – การข้ามผ่านการตรวจสอบสิทธิ์ Grafana
  • CVE-2020-36193   – PEAR Archive_Tar การแก้ไข และใช้ลิงก์ที่ไม่เหมาะสม
  • CVE-2020-28949   – PEAR Archive_Tar ความน่าเชื่อถือของข้อมูล

เพิ่มช่องโหว่ใน iOS และ macOS ในรายการ

ช่องโหว่ CVE-2021-31010 (CVSS: 7.5) ที่ถูกพบใน iOS 12.5.5, iOS 14.8, iPadOS 14.8, macOS Big Sur 11.6 และ watchOS 7.6.2 ในช่วงเดือนกันยายน 2564

แม้ว่าจะไม่มีการแจ้งทางผู้ใช้งานว่าพบปัญหาที่เกิดขึ้นแต่คาดว่าทางบริษัทเองได้มีการแก้ไขข้อผิดพลาดที่เกิดขึ้นเมื่อวันที่ 25 พฤษภาคม 2565 ที่ผ่านมา และได้ให้เครดิตกับทาง Citizen Lab และ Google Project Zero สำหรับการค้นพบช่องโหว่ที่เกิดขึ้นนี้

การอัพเดตในเดือนกันยายนเพื่อแก้ไข CVE-2021-30858 และ CVE-2021-30860 โดยอ้างอิงจาก employed by NSO Group ผู้สร้าง Pegasus เพื่อใช้ในระบบด้านความปลอดภัย จึงทำให้ช่องโหว่ CVE-2021-31010 อาจถูกนับรวมกับ 2 ช่องโหว่ที่ถูกกล่าวขั้นต้นที่ใช้ในการโจมตี และหลีกเลี่ยงการทำงานของ sandbox รวมถึงใช้งานโค้ดที่ไม่ได้รับอนุญาต