ช่องโหว่ความมั่นคงปลอดภัย TOP 30 ที่แฮกเกอร์ใช้มากที่สุด

TOP 30

Top 30 Most Exploited Vulnerabilities

อ้างอิง https://thehackernews.com/

เมื่อวันพฤหัสบดีที่ 29 กรกฎาคม 2564 ได้มีรายละเอียดเกี่ยวกับช่องโหว่ความมั่นคงปลอดภัยที่ถูกโจมตีมากที่สุดในปี 2563  และ 2564 จากหน่วยข่าวกรองในออสเตรเลีย และ สหรัฐอเมริกา
 
ซึ่งเกิดจากผู้ไม่ประสงค์ดีใช้ประโยชน์จากซอฟต์แวร์เวอร์ชันเก่าที่ไม่มีการอัพเดตข้อมูลและมีการใช้งานกันอย่างแพร่หลาย ในองค์กรภาครัฐและเอกชนทั่วโลก
 
โดยช่องโหว่ 30 อันดับแรกที่ครอบคลุมซอฟต์แวร์จำนวนมาก เช่น ซอฟต์แวร์ควบคุมการทำงานระยะไกล ซอฟต์แวร์เครือข่ายเสมือนส่วนตัว (VPN) และเทคโนโลยีบนคลาวด์อย่าง Microsoft, VMware, Pulse Secure, Fortinet, Accellion, Citrix, F5 BIG IP, Atlassian และ Drupal
 
 
ช่องโหว่ที่ถูกใช้ประโยชน์มากที่สุดในปี 2563  มีดังนี้
 
• CVE-2019-19781 (คะแนน CVSS: 9.8) – Citrix Application Delivery Controller (ADC) คือ ช่องโหว่ที่อนุญาติให้ผู้ไม่ประสงค์ดีสามารถเข้าถึงไฟล์ข้อมูลผ่าน HTTP Request
• CVE-2019-11510 (คะแนน CVSS: 10.0) – Pulse Connect Secure คือ ช่องโหว่ที่อนุญาตให้ผู้ไม่ประสงค์ดีสามารถส่งคำสั่งระยะไกลเพื่อเข้าถึงไฟล์ข้อมูลผ่าน HTTP Request โดยไม่ต้องพิสูจน์และยืนยันตัวตน
• CVE-2018-13379 (คะแนน CVSS: 9.8) – ช่องโหว่ที่อนุญาตให้ผู้ไม่ประสงค์ดีดาวน์โหลดไฟล์ระบบผ่าน HTTP resource requests ของ Fortinet FortiOS โดยไม่ต้องพิสูจน์และยืนยันตัวตน
• CVE-2020-5902 (คะแนน CVSS: 9.8) – ช่องโหว่ที่อนุญาตให้ผู้ไม่ประสงค์ดีสามารถส่งคำสั่งระยะไกลที่เกิดจากการตั้งค่าไม่เหมาะสม BIG-IP ที่ไม่ปลอดภัย
• CVE-2020-15505 (คะแนน CVSS: 9.8) – ช่องโหว่ที่อนุญาตให้ผู้ไม่ประสงค์ดีสามารถส่งคำสั่งอันตรายโดยไม่ต้องพิสูจน์และยืนยันตัวตน
• CVE-2020-0688 (คะแนน CVSS: 8.8) – ช่องโหว่ที่อนุญาตให้ผู้ไม่ประสงค์ดีสามารถส่งคำสั่งระยะไกลของ Microsoft Exchange ที่เกิดการเรียกใช้หน่วยความจำผิดพลาด (Memory Corruption)
• CVE-2019-3396 (คะแนน CVSS: 9.8) – ช่องโหว่ที่อนุญาตให้ผู้ไม่ประสงค์ดีข้าม path ของ Atlassian Confluence Server และส่งคำสั่งระยะไกลผ่านการ Template inject บนฝั่งเซิร์ฟเวอร์
• CVE-2017-11882 (คะแนน CVSS: 7.8) – ช่องโหว่การเรียกใช้หน่วยความจำผิดพลาดของ Microsoft Office สามารถส่งคำสั่งอันตรายโดยไม่ต้องยืนยันสิทธิ์การเข้าถึงข้อมูล
• CVE-2019-11580 (คะแนน CVSS: 9.8) – ช่องโหว่ที่อนุญาตให้ผู้ไม่ประสงค์ดีสามารถส่งคำสั่งระยะไกลของ Atlassian Crowd และ Crowd Data Center โดยไม่ต้องพิสูจน์ตัวตน
• CVE-2018-7600 (คะแนน CVSS: 9.8) – ช่องโหว่โหว่ที่อนุญาตให้ผู้ไม่ประสงค์ดีสามารถส่งคำสั่งระยะไกลของ Drupal ซึ่งเกิดจากการตั้งค่าไม่เหมาะสมหรือการตั้งค่าเริ่มต้นของการติดตั้ง
• CVE-2019-18935 (คะแนน CVSS: 9.8) – ช่องโหว่การ Deserialization ของ Telerik .NET ที่อนุญาตให้ผู้ไม่ประสงค์ดีสามารถส่งคำสั่งระยะไกลได้ในกรณีที่ทราบคีย์การเข้ารหัส
• CVE-2019-0604 (คะแนน CVSS: 9.8) – ช่องโหว่อนุญาตให้ผู้ไม่ประสงค์ดีสามารถส่งคำสั่งระยะไกลของ Microsoft SharePoint
• CVE-2020-0787 (คะแนน CVSS: 7.8) – ช่องโหว่ Windows Background Intelligent Transfer Service (BITS) ทำให้ผู้ไม่ประสงค์ดีสามารถยกระดับสิทธิ์ตนเองเกิดจากการจัดการ symbolic links ที่ไม่เหมาะสม

• CVE-2020-1472 (คะแนน CVSS: 10.0) – ช่องโหว่ยกระดับสิทธิ์เกิดจากผู้ไม่ประสงค์ดีทำการเชื่อมต่อช่องทางที่ปลอดภัยบน Windows Netlogon ผ่านตัวควบคุมโดเมน โดยใช้ Netlogon Remote Protocol (MS-NRPC)

 
รายการช่องโหว่ที่ถูกใช้ประโยชน์มากที่สุดในปี 2564 มีดังต่อไปนี้
 
Microsoft Exchange Server :
• CVE-2021-26855 (คะแนน CVSS: 7.5) – ช่องโหว่ที่อนุญาตให้ผู้ไม่ประสงค์ดีสามารถส่งคำสั่งระยะไกลของ Microsoft Exchange Server
• CVE-2021-26857 (คะแนน CVSS: 6.8) – ช่องโหว่ที่อนุญาตให้ผู้ไม่ประสงค์ดีสามารถส่งคำสั่งระยะไกลของ Microsoft Exchange Server
• CVE-2021-26858 และ CVE-2021-27065 (คะแนน CVSS: 6.8)  – ช่องโหว่ที่อนุญาตให้ผู้ไม่ประสงค์ดีสามารถส่งคำสั่งระยะไกลของ Microsoft Exchange Server
 
Pulse Secure :
• CVE-2021-22893 (คะแนน CVSS: 7.5) – ช่องโหว่ที่อนุญาตให้ผู้ไม่ประสงค์ดีสามารถส่งคำสั่งระยะไกลโดยไม่ต้องพิสูจน์และยืนยันตัวตน
• CVE-2021-22894 (คะแนน CVSS: 9.0) – ช่องโหว่ที่อนุญาตให้ผู้ไม่ประสงค์ดีสามารถส่งคำสั่งระยะไกลด้วยสิทธิ์สูงสุดของ Pulse Connect Secure ที่เกิดจากช่องโหว่ Buffer Overflow
• CVE-2021-22899 (คะแนน CVSS: 6.5) – ช่องโหว่ command injection ที่อนุญาตให้ผู้ไม่ประสงค์ดีสามารถส่งคำสั่งระยะไกลผ่านฟีเจอร์โปรไฟล์ทรัพยากรของ Windows
• CVE-2021-22900 (คะแนน CVSS: 6.5) – ช่องโหว่ที่อนุญาตให้อัพโหลดได้ไม่จำกัด ทำให้สามารถเขียนไฟล์ ออกแบบไฟล์ที่เป็นอันตรายด้วยสิทธิ์ผู้ดูแลระบบและอัพโหลดผ่าน web interface
 
Accellion :
• CVE-2021-27101 (คะแนน CVSS: 7.5) – ช่องโหว่ SQL Injection ที่ Host Header ส่งผ่านคำขอ document_root.html
• CVE-2021-27102 (คะแนน CVSS: 7.2) – ช่องโหว่ OS Command Injection ที่ผู้ไม่ประสงค์ดีสามารถสั่งรันโค้ดอันตรายโดยไม่ต้องยืนยันสิทธิ์
• CVE-2021-27103 (คะแนน CVSS: 7.5) – ช่องโหว่ Server-side request forgery (SSRF) ส่งคำขอผ่าน POST ที่สร้างขึ้นของ wmProgressstat.html
• CVE-2021-27104 (คะแนน CVSS: 10.0) – ช่องโหว่ OS Command Injection ส่งคำขอผ่าน POST ที่สร้างขึ้นเพื่อใช้สิทธิ์ผู้ดูแลระบบ
 
VMware :
• CVE-2021-21985 (คะแนน CVSS: 10.0) – ช่องโหว่อนุญาตให้ผู้ไม่ประสงค์ดีสามารถส่งคำสั่งระยะไกลด้วยสิทธิ์สูงสุดของ vCenter Server ที่เกิดจาก input ในปลั๊กอินใน Virtual SAN Health Check ที่เปิดใช้งานโดยค่าเริ่มต้นหรือไม่ปลอดภัย
 
Fortinet:
• CVE-2018-13379 (คะแนน CVSS: 5.0) – ช่องโหว่ที่อนุญาตให้ผู้ไม่ประสงค์ดีดาวน์โหลดไฟล์ระบบผ่าน HTTP resource requests ที่สร้างขึ้นเป็นพิเศษโดยไม่ต้องยืนยันสิทธิ์การเข้าถึง
• CVE-2020-12812 (คะแนน CVSS: 7.5) – ช่องโหว่ในการรับรองความถูกต้องที่ไม่เหมาะสมใน SSL VPN ส่งผลให้ผู้ไม่ประสงค์ดีเข้าสู่ระบบโดยไม่ต้องยืนยันตัวตนแบบ 2FA
• CVE-2019-5591 (คะแนน CVSS: 3.3) – ช่องโหว่การกำหนดค่าเริ่มต้นใน FortiOS อาจทำให้ผู้ไม่ประสงค์ดีสามารถดักจับข้อมูลส่วนบุคคลผ่านการปลอมเป็น LDAP โดยไม่ต้องยืนยันตัวตน
 
ซึ่งได้มีการพัฒนาขึ้นในหนึ่งสัปดาห์หลังจากที่ MITRE เผยแพร่รายการข้อผิดพลาดของซอฟต์แวร์ที่ “อันตรายที่สุด” 25 อันดับแรก ที่อาจนำไปสู่ช่องโหว่ร้ายแรงที่ผู้ไม่ประสงค์ดีอาจใช้ประโยชน์เพื่อควบคุมระบบที่ได้รับผลกระทบ และขโมยข้อมูลสำคัญองค์กรหรือข้อมูลส่วนบุคคล หรือทำให้ระบบหยุดชะงักจนไม่สามารถให้บริการได้
 
แนวทางการป้องกัน
1. ใช้ IOC ที่เกี่ยวกับช่องโหว่หมายเลข CVE นั้นๆ นำเข้าไปเพิ่มในอุปกรณ์ Security Device ต่างๆ เพื่อใช้ในการเฝ้าระวังและป้องกัน
2. ดำเนินการอัพเดต Software เป็นประจำอย่างสม่ำเสมอ
 
 
 
ผู้เขียน : นาย วสุพล ไชยสง่าศิลป์
ผู้ตรวจทาน : นายเจษฏา ทองก้านเหลือง
เผยแพร่ : วันที่ 10 สิงหาคม 2564