266/67 (IT) ประจำวันพฤหัสบดีที่ 25 กรกฎาคม 2567
หน่วยงานความปลอดภัยทางไซเบอร์และโครงสร้างพื้นฐานของสหรัฐอเมริกา (CISA) ได้เพิ่มช่องโหว่จำนวนสองรายการดังต่อไปนี้ ลงในแคตตาล็อก Known Exploited Vulnerabilities (KEV)
– CVE-2012-4792 (CVSS score: 9.3) เป็นช่องโหว่ Use-After-Free ใน Internet Explorer โดยช่องโหว่นี้เป็นการใช้หน่วยความจำซ้ำ (use-after-free) ในโปรแกรม Internet Explorer ซึ่งช่องโหว่นี้สามารถทำให้ผู้โจมตีระยะไกลสามารถเรียกใช้ execute arbitrary code ได้ โดยใช้เว็บไซต์ที่ถูกออกแบบมาอย่างพิเศษ และแม้ว่าในปัจจุบันจะยังไม่มีการยืนยันว่าช่องโหว่นี้ถูกใช้ในการโจมตีใหม่ แต่ในปี 2012 ช่องโหว่นี้เคยถูกใช้ในการโจมตีแบบ watering hole ซึ่งมุ่งเป้าไปที่เว็บไซต์ของ Council on Foreign Relations (CFR) และ Capstone Turbine Corporation
– CVE-2024-39891 (CVSS score: 5.3) เป็นช่องโหว่ Information Disclosure ใน Twilio Authy โดยช่องโหว่นี้เป็นการรั่วไหลของข้อมูลผ่าน endpoint ที่ไม่ได้รับการยืนยันตัวตน ทำให้ผู้โจมตีสามารถส่งคำขอที่มีหมายเลขโทรศัพท์และรับข้อมูลว่าหมายเลขนั้นถูกลงทะเบียนกับ Authy หรือไม่ และเมื่อเร็วๆนี้ Twilio ได้ประกาศการแก้ไขช่องโหว่แล้วในเวอร์ชัน 25.1.0 (Android) และ 26.1.0 (iOS) หลังจากที่มีการใช้ช่องโหว่นี้จากผู้โจมตีที่เพื่อระบุข้อมูลที่เกี่ยวข้องกับบัญชี Authy
เพื่อป้องกันและลดความเสี่ยงจากช่องโหว่ หน่วยงานภายใต้การกำกับดูแลของ Federal Civilian Executive Branch (FCEB) จะต้องทำการแก้ไขช่องโหว่ที่ระบุภายในวันที่ 13 สิงหาคม 2024 ซึ่งทาง CISA ได้กำหนดให้หน่วยงานรัฐบาลต้องแก้ไขช่องโหว่นี้ภายในเวลาที่กำหนดเพื่อป้องกันการใช้ประโยชน์จากช่องโหว่ดังกล่าว
แหล่งข่าว https://thehackernews.com/2024/07/cisa-adds-twilio-authy-and-ie-flaws-to.html