ช่องโหว่ความมั่นคงปลอดภัย 30 อันดับแรกที่แฮกเกอร์ใช้มากที่สุด

top-30-critical-security.jpg

อ้างอิง https://thehackernews.com/

เมื่อวันพฤหัสบดีที่ 29 กรกฎาคม 2564 ได้มีรายละเอียดเกี่ยวกับช่องโหว่ความมั่นคงปลอดภัยที่ถูกโจมตีมากที่สุดในปี 2563  และ 2564 จากหน่วยข่าวกรองในออสเตรเลีย และ สหรัฐอเมริกา

 

ซึ่งเกิดจากผู้ไม่ประสงค์ดีใช้ประโยชน์จากซอฟต์แวร์เวอร์ชันเก่าที่ไม่มีการอัพเดตข้อมูลและมีการใช้งานกันอย่างแพร่หลาย ในองค์กรภาครัฐและเอกชนทั่วโลก

 

โดยช่องโหว่ 30 อันดับแรกที่ครอบคลุมซอฟต์แวร์จำนวนมาก เช่น ซอฟต์แวร์ควบคุมการทำงานระยะไกล ซอฟต์แวร์เครือข่ายเสมือนส่วนตัว (VPN) และเทคโนโลยีบนคลาวด์อย่าง Microsoft, VMware, Pulse Secure, Fortinet, Accellion, Citrix, F5 BIG IP, Atlassian และ Drupal

 

ช่องโหว่ที่ถูกใช้ประโยชน์มากที่สุดในปี 2563  มีดังนี้

  • CVE-2019-19781 (คะแนน CVSS: 9.8) - Citrix Application Delivery Controller (ADC) คือ ช่องโหว่ที่อนุญาติให้ผู้ไม่ประสงค์ดีสามารถเข้าถึงไฟล์ข้อมูลผ่าน HTTP Request

  • CVE-2019-11510 (คะแนน CVSS: 10.0) - Pulse Connect Secure คือ ช่องโหว่ที่อนุญาตให้ผู้ไม่ประสงค์ดีสามารถส่งคำสั่งระยะไกลเพื่อเข้าถึงไฟล์ข้อมูลผ่าน HTTP Request โดยไม่ต้องพิสูจน์และยืนยันตัวตน

  • CVE-2018-13379 (คะแนน CVSS: 9.8) – ช่องโหว่ที่อนุญาตให้ผู้ไม่ประสงค์ดีดาวน์โหลดไฟล์ระบบผ่าน HTTP resource requests ของ Fortinet FortiOS โดยไม่ต้องพิสูจน์และยืนยันตัวตน

  • CVE-2020-5902 (คะแนน CVSS: 9.8) – ช่องโหว่ที่อนุญาตให้ผู้ไม่ประสงค์ดีสามารถส่งคำสั่งระยะไกลที่เกิดจากการตั้งค่าไม่เหมาะสม BIG-IP ที่ไม่ปลอดภัย

  • CVE-2020-15505 (คะแนน CVSS: 9.8) – ช่องโหว่ที่อนุญาตให้ผู้ไม่ประสงค์ดีสามารถส่งคำสั่งอันตรายโดยไม่ต้องพิสูจน์และยืนยันตัวตน

  • CVE-2020-0688 (คะแนน CVSS: 8.8) - ช่องโหว่ที่อนุญาตให้ผู้ไม่ประสงค์ดีสามารถส่งคำสั่งระยะไกลของ Microsoft Exchange ที่เกิดการเรียกใช้หน่วยความจำผิดพลาด (Memory Corruption)

  • CVE-2019-3396 (คะแนน CVSS: 9.8) – ช่องโหว่ที่อนุญาตให้ผู้ไม่ประสงค์ดีข้าม path ของ Atlassian Confluence Server และส่งคำสั่งระยะไกลผ่านการ Template inject บนฝั่งเซิร์ฟเวอร์

  • CVE-2017-11882 (คะแนน CVSS: 7.8) – ช่องโหว่การเรียกใช้หน่วยความจำผิดพลาดของ Microsoft Office สามารถส่งคำสั่งอันตรายโดยไม่ต้องยืนยันสิทธิ์การเข้าถึงข้อมูล

  • CVE-2019-11580 (คะแนน CVSS: 9.8) – ช่องโหว่ที่อนุญาตให้ผู้ไม่ประสงค์ดีสามารถส่งคำสั่งระยะไกลของ Atlassian Crowd และ Crowd Data Center โดยไม่ต้องพิสูจน์ตัวตน

  • CVE-2018-7600 (คะแนน CVSS: 9.8) – ช่องโหว่โหว่ที่อนุญาตให้ผู้ไม่ประสงค์ดีสามารถส่งคำสั่งระยะไกลของ Drupal ซึ่งเกิดจากการตั้งค่าไม่เหมาะสมหรือการตั้งค่าเริ่มต้นของการติดตั้ง

  • CVE-2019-18935 (คะแนน CVSS: 9.8) – ช่องโหว่การ Deserialization ของ Telerik .NET ที่อนุญาตให้ผู้ไม่ประสงค์ดีสามารถส่งคำสั่งระยะไกลได้ในกรณีที่ทราบคีย์การเข้ารหัส

  • CVE-2019-0604 (คะแนน CVSS: 9.8) - ช่องโหว่อนุญาตให้ผู้ไม่ประสงค์ดีสามารถส่งคำสั่งระยะไกลของ Microsoft SharePoint

  • CVE-2020-0787 (คะแนน CVSS: 7.8) - ช่องโหว่ Windows Background Intelligent Transfer Service (BITS) ทำให้ผู้ไม่ประสงค์ดีสามารถยกระดับสิทธิ์ตนเองเกิดจากการจัดการ symbolic links ที่ไม่เหมาะสม

  • CVE-2020-1472 (คะแนน CVSS: 10.0) – ช่องโหว่ยกระดับสิทธิ์เกิดจากผู้ไม่ประสงค์ดีทำการเชื่อมต่อช่องทางที่ปลอดภัยบน Windows Netlogon ผ่านตัวควบคุมโดเมน โดยใช้ Netlogon Remote Protocol (MS-NRPC)

 

รายการช่องโหว่ที่ถูกใช้ประโยชน์มากที่สุดในปี 2564 มีดังต่อไปนี้

  • Microsoft Exchange Server :

    • CVE-2021-26855 (คะแนน CVSS: 7.5) – ช่องโหว่ที่อนุญาตให้ผู้ไม่ประสงค์ดีสามารถส่งคำสั่งระยะไกลของ Microsoft Exchange Server

    • CVE-2021-26857 (คะแนน CVSS: 6.8) - ช่องโหว่ที่อนุญาตให้ผู้ไม่ประสงค์ดีสามารถส่งคำสั่งระยะไกลของ Microsoft Exchange Server

    • CVE-2021-26858 และ CVE-2021-27065 (คะแนน CVSS: 6.8)  - ช่องโหว่ที่อนุญาตให้ผู้ไม่ประสงค์ดีสามารถส่งคำสั่งระยะไกลของ Microsoft Exchange Server

  • Pulse Secure :

    • CVE-2021-22893 (คะแนน CVSS: 7.5) - ช่องโหว่ที่อนุญาตให้ผู้ไม่ประสงค์ดีสามารถส่งคำสั่งระยะไกลโดยไม่ต้องพิสูจน์และยืนยันตัวตน

    • CVE-2021-22894 (คะแนน CVSS: 9.0) – ช่องโหว่ที่อนุญาตให้ผู้ไม่ประสงค์ดีสามารถส่งคำสั่งระยะไกลด้วยสิทธิ์สูงสุดของ Pulse Connect Secure ที่เกิดจากช่องโหว่ Buffer Overflow

    • CVE-2021-22899 (คะแนน CVSS: 6.5) - ช่องโหว่ command injection ที่อนุญาตให้ผู้ไม่ประสงค์ดีสามารถส่งคำสั่งระยะไกลผ่านฟีเจอร์โปรไฟล์ทรัพยากรของ Windows

    • CVE-2021-22900 (คะแนน CVSS: 6.5) – ช่องโหว่ที่อนุญาตให้อัพโหลดได้ไม่จำกัด ทำให้สามารถเขียนไฟล์ ออกแบบไฟล์ที่เป็นอันตรายด้วยสิทธิ์ผู้ดูแลระบบและอัพโหลดผ่าน web interface

  • Accellion :

    • CVE-2021-27101 (คะแนน CVSS: 7.5) - ช่องโหว่ SQL Injection ที่ Host Header ส่งผ่านคำขอ document_root.html

    • CVE-2021-27102 (คะแนน CVSS: 7.2) - ช่องโหว่ OS Command Injection ที่ผู้ไม่ประสงค์ดีสามารถสั่งรันโค้ดอันตรายโดยไม่ต้องยืนยันสิทธิ์

    • CVE-2021-27103 (คะแนน CVSS: 7.5) - ช่องโหว่ Server-side request forgery (SSRF) ส่งคำขอผ่าน POST ที่สร้างขึ้นของ wmProgressstat.html

    • CVE-2021-27104 (คะแนน CVSS: 10.0) - ช่องโหว่ OS Command Injection ส่งคำขอผ่าน POST ที่สร้างขึ้นเพื่อใช้สิทธิ์ผู้ดูแลระบบ

  • VMware :

    • CVE-2021-21985 (คะแนน CVSS: 10.0) - ช่องโหว่อนุญาตให้ผู้ไม่ประสงค์ดีสามารถส่งคำสั่งระยะไกลด้วยสิทธิ์สูงสุดของ vCenter Server ที่เกิดจาก input ในปลั๊กอินใน Virtual SAN Health Check ที่เปิดใช้งานโดยค่าเริ่มต้นหรือไม่ปลอดภัย

  • Fortinet:

    • CVE-2018-13379 (คะแนน CVSS: 5.0) - ช่องโหว่ที่อนุญาตให้ผู้ไม่ประสงค์ดีดาวน์โหลดไฟล์ระบบผ่าน HTTP resource requests ที่สร้างขึ้นเป็นพิเศษโดยไม่ต้องยืนยันสิทธิ์การเข้าถึง

    • CVE-2020-12812 (คะแนน CVSS: 7.5) - ช่องโหว่ในการรับรองความถูกต้องที่ไม่เหมาะสมใน SSL VPN ส่งผลให้ผู้ไม่ประสงค์ดีเข้าสู่ระบบโดยไม่ต้องยืนยันตัวตนแบบ 2FA

    • CVE-2019-5591 (คะแนน CVSS: 3.3) - ช่องโหว่การกำหนดค่าเริ่มต้นใน FortiOS อาจทำให้ผู้ไม่ประสงค์ดีสามารถดักจับข้อมูลส่วนบุคคลผ่านการปลอมเป็น LDAP โดยไม่ต้องยืนยันตัวตน

 

ซึ่งได้มีการพัฒนาขึ้นในหนึ่งสัปดาห์หลังจากที่ MITRE เผยแพร่รายการข้อผิดพลาดของซอฟต์แวร์ที่ "อันตรายที่สุด" 25 อันดับแรก ที่อาจนำไปสู่ช่องโหว่ร้ายแรงที่ผู้ไม่ประสงค์ดีอาจใช้ประโยชน์เพื่อควบคุมระบบที่ได้รับผลกระทบ และขโมยข้อมูลสำคัญองค์กรหรือข้อมูลส่วนบุคคล หรือทำให้ระบบหยุดชะงักจนไม่สามารถให้บริการได้

 

แนวทางการป้องกัน

  1. ใช้ IOC ที่เกี่ยวกับช่องโหว่หมายเลข CVE นั้นๆ นำเข้าไปเพิ่มในอุปกรณ์ Security Device ต่างๆ เพื่อใช้ในการเฝ้าระวังและป้องกัน

  2. ดำเนินการอัพเดต Software เป็นประจำอย่างสม่ำเสมอ

 

อ้างอิง: https://thehackernews.com/2021/07/top-30-critical-security.html

ผู้เขียน : นาย วสุพล ไชยสง่าศิลป์

ผู้ตรวจทาน : นายเจษฏา ทองก้านเหลือง

เผยแพร่ : วันที่ 10 สิงหาคม 2564