314/67 (IT) ประจำวันจันทร์ที่ 9 กันยายน 2567
หน่วยงานความปลอดภัยทางไซเบอร์และโครงสร้างพื้นฐานของสหรัฐอเมริกา (CISA) ได้เพิ่มช่องโหว่ของ Draytek VigorConnect และ Kingsoft WPS Office ลงในแคตตาล็อก Known Exploited Vulnerabilities (KEV)
รายละเอียดของช่องโหว่ที่ถูกเพิ่มเข้ามามีดังนี้:
– CVE-2021-20123: ช่องโหว่ Path Traversal ใน Draytek VigorConnect เวอร์ชัน 1.6.0-B3 ซึ่งช่องโหว่ทำให้ผู้ที่ไม่ได้รับการยืนยันตัวตน สามารถใช้ประโยชน์จากฟังก์ชันการดาวน์โหลดไฟล์ที่ DownloadFileServlet endpoint ทำให้สามารถดาวน์โหลดไฟล์ใด ๆ จากระบบปฏิบัติการด้วยสิทธิ์ของ root ซึ่งเป็นภัยคุกคามด้านความปลอดภัยอย่างมาก
– CVE-2021-20124: ช่องโหว่ Path Traversal ใน Draytek VigorConnect ช่องโหว่นี้เกิดขึ้นในฟังก์ชันการดาวน์โหลดไฟล์ที่ WebServlet endpoint ของ Draytek VigorConnect เวอร์ชัน 1.6.0-B3 เช่นกัน ทำให้ผู้โจมตีสามารถดาวน์โหลดไฟล์จากระบบปฏิบัติการด้วยสิทธิ์ของ root โดยไม่ต้องยืนยันตัวตน ซึ่งเป็นภัยคุกคามความปลอดภัยที่ร้ายแรง
– CVE-2024-7262: ช่องโหว่ Path Traversal ใน Kingsoft WPS Office ช่องโหว่นี้เกิดจาก path validation ที่ไม่ถูกต้องใน Kingsoft WPS Office (เวอร์ชัน 12.2.0.13110 ถึง 12.2.0.16412) ซึ่งทำให้ผู้โจมตีสามารถโหลดไลบรารี Windows ที่ไม่ได้รับอนุญาตผ่าน promecefpluginhost.exe โดยช่องโหว่นี้ถูกใช้ในแคมเปญโจมตีแบบ single-click exploit
เมื่อปลายเดือนสิงหาคม นักวิจัยจาก ESET รายงานว่ากลุ่ม APT-C-60 ซึ่งมีความเชื่อมโยงกับเกาหลีใต้ ได้ใช้ประโยชน์จากช่องโหว่ CVE-2024-7262 ใน WPS Office เวอร์ชัน Windows เพื่อแพร่กระจาย SpyGlace backdoor ไปยังระบบของเป้าหมายในเอเชียตะวันออก
เพื่อป้องกันและลดความเสี่ยงจากช่องโหว่ หน่วยงานภายใต้การกำกับดูแลของ Federal Civilian Executive Branch (FCEB) จะต้องแก้ไขช่องโหว่ภายในเวลาที่กำหนด โดย CISA กำหนดให้หน่วยงานรัฐบาลต้องแก้ไขช่องโหว่นี้ภายในวันที่ 24 กันยายน 2024 เพื่อป้องกันการถูกใช้ประโยชน์จากช่องโหว่ดังกล่าว