กลุ่ม Ransomware กำลังโจมตีโดยใช้ช่องโหว่ที่ได้รับการแก้ไขล่าสุดของ WS_FTP Server แอปพลิเคชันแชร์ไฟล์โดย Progress Software หรือที่รู้จักกันในชื่อ MOVEit file transfer tool ช่องโหว่ Critical zero-day ที่พบใน MOVEit ในช่วงปลายเดือนพฤษภาคมที่ถูกโจมตีโดยกลุ่ม cl0p ransomware ที่ผ่านมา และมีรายงานว่าส่งผลกระทบต่อองค์กรกว่า 600 แห่งและผู้คน 40 ล้านคน โดยผลกระทบที่ว่ายังคงเพิ่มขึ้น
จาก 8 ช่องโหว่ของ WS_FTP Server ที่ได้รับการแก้ไขแล้ว มี 2 ช่องโหว่ที่ได้รับการจัดอันดับความรุนแรงเป็น Critical
ช่องโหว่แรกใช้หมายเลย CVE คือ CVE-2023-40044 (CVSS score 10) เป็นช่องโหว่ Deserialization ของ .NET ที่ช่วยให้ผู้โจมตีสามารถรันโค้ดที่เป็นอันตรายจากระยะไกลโดยไม่ต้องมีการตรวจสอบสิทธิ์ ผ่าน HTTP request ซึ่งมีผลกระทบเฉพาะ WS_FTP Server ที่ติดตั้ง Ad Hoc Transfer module
ช่องโหว่ที่สองใช้หมายเลย CVE คือ CVE-2023-42657 (CVSS score 9.9) เป็นช่องโหว่ Directory Traversal ผู้โจมตีอาจใช้ประโยชน์จากช่องโหว่นี้เพื่อดำเนินการลบ เปลี่ยนชื่อ ของไฟล์และโฟลเดอร์ที่
เนื่องจากมีนักวิจัยด้านความปลอดภัยบน Twitter/X และทาง Assetnote ได้ปล่อย PoC ของ CVE-2023-40044 จึงอาจเป็นสาเหตุทำให้ผู้ไม่หวังดีได้ Exploit จากช่องโหว่นี้
ระบบที่ได้รับผลกระทบ
แนวทางการลดผลกระทบ
อ้างอิง
แฮกเกอร์ใช้ประโยชน์จากช่องโหว่ในโมดูล Facebook ระดับพรีเมียมสำหรับ PrestaShop ที่ชื่อว่า pkfacebook เพื่อปล่อย Card skimmer บนไซต์ E-commerce ที่มีช่องโหว่ และขโมยข้อมูลบัตรเครดิตการชำระเงิน
นักวิจัยจาก Sonatype นามว่า Ax Sharma พบแพ็กเกจอันตรายของ PyPi ที่เป็นส่วนหนึ่งของแคมเปญที่ผ่านมาชื่อว่า 'Cool package' ตั้งชื่อตามสตริงในข้อมูล Metadata ของแพ็กเกจที่กำหนดเป้าหมายผู้ใช้ Windows เมื่อปีที่แล้ว
Google ปล่อยแพตช์แก้ไขช่องโหว่ด้านความปลอดภัยทั้งหมด 9 ช่องโหว่บนเบราว์เซอร์ Chrome รวมถึงช่องโหว่ Zero-Day ที่มีรายงานว่าถูกใช้ในการโจมตีจริงแล้ว