Lỗ hổng windows short file name

1       Các mối đe dọa nâng cao – Advanced Threats

1.1       Nhóm APT Trung Quốc Aquatic Panda sử dụng Log4Shell trong chiến dịch tấn công của nhóm

Nhóm nghiên cứu của CrowdStrike đã phát hiện ra chiến dịch tấn công của 1 nhóm APT Trung Quốc mới, được đặt tên là Aquatic Panda, lợi dụng lỗ hổng bảo mật Log4Shell nhằm vào 1 tổ chức giáo dục lớn. Nhóm APT này được cho là bắt đầu hoạt động từ giữa năm 2020, được nhà nước tài trợ và chuyên thực hiện các chiến dịch tấn công nhắm đến các công ti viễn thông, công nghệ và các tổ chức thuộc chính phủ nhằm thu thập thông tin và gián điệp công nghiệp.

Aquatic Panda đã lợi dụng lỗ hổng Log4Shell (CVSS score: 10.0) nhằm chiếm quyền truy cập đến các ứng dụng Vmware Horizon desktop và app virtualization, sau đó thực hiện 1 loạt các câu lệnh nhằm tải xuống mã độc và công cụ mà nhóm sử dụng. 

Lỗ hổng windows short file name

Đội ngũ của CrowdStrike đã kịp thời phát hiện và thông báo đến nạn nhân các hành vi tấn công của nhóm, qua đó giúp nhanh chóng triển khai các biện pháp phòng thủ và phản ứng với sự cố, ngăn chặn thành công cuộc tấn công.

1.2     OceanLotus sử dụng web archive files để triển khai backdoor

Đội ngũ Netskope Threat Labs gần đây đã phát hiện một chiến dịch tấn công sử dụng web archive files (định dạng “.mht” hoặc “.mhtml”) để triển khai backdoor lên các hệ thống bị tấn công. Dựa trên các kỹ thuật được sử dụng và 1 mẫu backdoor được tìm thấy trong chiến dịch này, Netskope team tin rằng chiến dịch này do nhóm APT32 – OceanLotus thực hiện.

Chuỗi tấn công bắt đầu bằng việc lan truyền 1 file RAR là bản nén của 1 web archive file có dung lượng lớn, từ 35-63 MB, có chứa tài liệu Word độc hại ở bên trong.

Lỗ hổng windows short file name

Để bypass các chức năng bảo vệ của Microsoft Office, nhóm tấn công đã đặt giá trị ZoneID trong metadata bằng “2” nhằm thể hiện file này được tải về từ 1 nguồn đáng tin cậy.

Lỗ hổng windows short file name

Khi nạn nhân mở web archive file bằng Microsoft Word sẽ được hướng dẫn để “Enable Content”, cho phép thực hiện các đoạn VBA macro code độc hại. Đoạn mã độc thực hiện các chức năng sau trên máy của nạn nhân:

·       Đặt payload tại "C:\ProgramData\Microsoft\User Account Pictures\guest.bmp"

·       Copy payload đến "C:\ProgramData\Microsoft Outlook Sync\guest.bmp"

·       Tạo và hiện file tài liệu giả mạo “Document.doc”

·       Đổi tên payload từ "guest.bmp" thành "background.dll"

·       Thực thi file DLL bằng cách gọi các chức năng "SaveProfile" hoặc "OpenProfile"

File DLL độc hại được cài đặt thực thi mỗi 10 phút thông qua 1 scheduled task giả mạo.

Lỗ hổng windows short file name

Mẫu backdoor được injected vào process rundll32.exe chạy trong bộ nhớ hệ thống nhằm tránh bị phát hiện, tiến hành thu thập thông tin về network adapter information, computer name, username, system directories, system files, running processes.

Dữ liệu thu thập được được gửi về 1 máy chủ C2 đặt tại Glitch, 1 cloud service hợp pháp, giúp giảm khả năng bị phát hiện thông qua theo dõi network traffic.

Indicators of Compromise (IoCs)

RAR Files

SHA256

14e3c13e7455e571bd4bc010d174a6a0f7d416216b77c1e0d27f0f3be59e3bf2

1eb5421cae14cc706efdb9e911608c2c4759ccc446f6e1a62ecf5ba20e5b3482

54aac0840808311e3ab47f76f8ea4b5639bcaac49e3bb4e3c4c6fd6240c21590

720a06e64e4fb85ff82dd2f225789a46b58303399b12b8390bbd3bdc4d5c5774

8fd9915997ebd3b04ad170186aba94e88222e45c6e46168d19ba7f9df3625210

9e3b04b2717ac796c71eea419b6d50531cb24a9e2a4bd63c6c6d9d044488828f

a571a35c182c209ab755a8e3ec483b155a2b686de0e3ffc382d569cdef80c227

ebadb19c6ab42eb54e57a4d31682f7918630312e9ba77cbebe4efcf046312695

ff987e40e87262801b7080624fdcb6d3392b4ad4fca2ef8412c37be7ba3ed63f

Web Archives (*.doc)

·       SHA256

15dc11e9ab8ef00fc8469c0bc0cd2127f9cd6a759514acbbb9395931a99f3207

8745e69246e2f0f7281ed0b329b2eb7647efc354af2bf2b5338621f9c1306564

9e0a30502393dbf30376289c7460129c7e46dfea1d77c06a124690f8b9e11cfc

b704ec4d0fdcbc0e370ccb1e3c48d1f55ee4a253f59bdd1529fa7d31302c9807

1a7a5228aa8e598d0225caa15d2a7fca2523ff23c35ce53a5bf4f228ad079608

6fa56ddaacf8a0bdb35766667b9ed348bcf4ebf0dc04249ee1de31bfd5d8a4f3

0f537c15a62cf31907b87b46e5d205932af899f984c770592b77a6765bfeb15c

faf58097a6142a97022a4a26316bf22a22122a329acf99299b3ec52a98e48b95

53e0f230a5d7cc615fbffaf423a5336112a3966c64d965a1cb883d17edd82e7d

·       Created Files

C:\ProgramData\Microsoft\User Account Pictures\guest.bmp

C:\ProgramData\Microsoft Outlook Sync\guest.bmp

C:\ProgramData\Microsoft Outlook Sync\background.dll

Backdoor (background.dll)

·       SHA256

baaff5982c5991593c560ceb536b19f4aab78b83ddbcdeaa98be8ffca56beee6

2d765673b9bef7da6612e4c5d3d3ccb286d0e003d4efa5b77575e39eee9ac309

c00ede542256087df36c2418a177eaf54919d4ab3b0f57977f106ca3ba2bff86

dce58b999d3d93024ebabf95e9d8497a4218283a7e42c352b536ccb9b6a5fdb4

048e8132e520cd31d0be512e8568ae2db30a6ea128fce83668485aa41313a2bd

ceda18081b48401a6ae57517e0b2a908100153908b83388285474cccd56b4372

f3ec9e5379b0419dad74e112c62ffe9ad19ee714aef7dee35dd694d4b0c6a758

01a7531a667feed1df2bc18c7f7734a0f503e5c60ac27a3d9b05bf14e5cec492

79defb37958694daabea46494163d7cbbb30c18d332f14cb495b7c9edbe42732

·       C2 Servers

hxxps://confusion-cerulean-samba.glitch[.]me/0627f41878D

hxxps://confusion-cerulean-samba.glitch[.]me/192f188023

hxxps://confusion-cerulean-samba.glitch[.]me/2e06bb0ce9

hxxps://confusion-cerulean-samba.glitch[.]me/55da2c2031

hxxps://confusion-cerulean-samba.glitch[.]me/e1db93941c

hxxps://elemental-future-cheetah.glitch[.]me/559084b660P

hxxps://elemental-future-cheetah.glitch[.]me/afe92a2bd2P

hxxps://torpid-resisted-sugar.glitch[.]me/5db81501e9P

hxxps://torpid-resisted-sugar.glitch[.]me/fb3b5e76b4P

1.3     Nhóm APT Triều Tiên BlueNoroff tấn công các công ty startups về cryptocurrency

Các chuyên gia của Kaspersky đã khám phá ra 1 chuỗi các cuộc tấn công của nhóm APT đến từ Triều Tiên BlueNoroff nhắm đến các công ty làm về Fintech, cryptocurrency và smart contracts. Chiến dịch tấn công, được đặt tên SnatchCrypto, được cho rằng bắt đầu từ năm 2017 với danh sách các nạn nhân nằm ở Trung Quốc, Hong Kong, Ấn Độ, Ba Lan, Nga, Singapore, Slovenia, Cộng Hòa Séc, U.A.E, Mỹ, Ukraine và Việt Nam.

Hầu hết các nạn nhân đều là các startups vừa và nhỏ, không có nhiều kinh phí để đầu tư cho hệ thống bảo mật nên đã bị nhóm tấn công lợi dụng và tấn công thông qua các kịch bản social engineering tinh vi.

Để đánh lừa các nạn nhân, BlueNoroff thường tiến hành giả mạo các công ty hoặc quỹ đầu tư. Các nhà nghiên cứu đã phát hiện ra trên 15 công ty hoặc quỹ đầu tư đã bị nhóm APT lợi dụng thương hiệu hoặc tên các thành viên, gửi đến các nạn nhân một file contract có chứa 1 mẫu Windows backdoor đầy đủ chức năng. 1 phương thức khác để cài đặt mã độc của nhóm là thông qua Windows shortcut files. Ngoài ra, BlueNoroff còn triển khai các công cụ khác để tiến hành theo dõi nạn nhân như keylogger và screenshot taker.

Lỗ hổng windows short file name

Lỗ hổng windows short file name

Sau đó, những kẻ tấn công thực hiện theo dõi nạn nhân trong 1 thời gian dài, thu thập các thông tin cần thiết để lập kế hoạch đánh cắp tài chính từ nạn nhân. Một khi phát hiện nạn nhân thực hiện các giao dịch chuyển khoản lớn, nhóm tấn công sẽ tiến hành can thiệp và chỉnh sửa để thay đổi địa chỉ người nhận thành địa chỉ của nhóm đồng thời tăng tối đa khối lượng giao dịch để đánh cắp toàn bộ số tiền của nạn nhân chỉ trong 1 giao dịch.

Indicators of Compromise (IoCs)

Danh sách đầy đủ IoCs xem thêm tại link: https://securelist.com/the-bluenoroff-cryptocurrency-hunt-is-still-on/105488/

2     Malware

2.1     Phân tích mẫu mã độc sử dụng bởi nhóm Belly Cerebral APT tấn công vào Bangladesh.

Gần đây, Red Raindrops của Qi’anxin Threat Intelligence Center phát hiện một cuộc tấn công nghi ngờ từ nhóm Belly Cerebral APT nhắm mục tiêu vào Bangladesh. Nhóm tấn công sử dụng cách thức phishing, mã độc được nhúng trong file PowerPoint. Khi người dùng mở file PowerPoint, marco trong file sẽ được thực thi. Mã độc gửi thông tin người dùng lên máy chủ C2 và tải thêm mã độc xuống máy nạn nhân.

Thông tin mã độc:

·       File Name: EE 2021 B Final ppt BUP.ppt

·       MD5: 6e4699cd07f8c5da62c5c4acc4b392b7

Sau khi người dùng mở file EE 2021 B Final ppt BUP.ppt, marco trong file .ppt sẽ được thực thi. Marco có nhiệm vụ drop ra hai file trên máy nạn nhân, file delta.dll tại đường dẫn %Public%\Music\delta.dll và sdelta.bat tại thư mục Startup

Lỗ hổng windows short file name

File sdelta.bat có nhiệm vụ:

-       Tạo scheduled task có tên “deckteck” thực thi file delta.dll

-       Sử dụng rundll32.exe thực thi delta.dll (hàm export qdsfakraksdfkdkfjk trong delta.dll sẽ được load)

Lỗ hổng windows short file name

Phân tích delta.dll

·       File name: delta.dll

·       MD5: 6867687889de3c7f82999a82505c2c4b

Dll thực hiện nhiệm vụ sau:

-       Kiểm tra nếu file acrobat.dll tại đường dẫn “%public%\Music\”, nếu acrobat.dll không tồn tại, dll sẽ upload thông tin computername, username và GUID global tới địa chỉ https[:]//stickme[.]live thông qua GET request theo định dạng sau: 

computer name~user name~GUID global identifier/uiekkdslrertukjudjkgfkkj. Sau đó, nó sẽ đọc kết quả trả về và lưu vào file acrobat.dll tại đường dẫn %public%\Music\

Lỗ hổng windows short file name

-       Nếu file acrobat.dll tại đường dẫn %public%\Music\ tồn tại, delta.dll sẽ lập lịch với tên “hmomci“. DLL acrobat.dll sẽ được thực thi bằng tiến trình rundll32.exe và load hàm export nikioioeioolla

Lỗ hổng windows short file name

Trong quá trình phân tích, C2 của attacker vẫn mở cổng để nhận thông tin gửi lên từ máy nạn nhân. Tuy nhiên, máy chủ không trả về data của acrobat.dll.

Indicator of Compromise (IoCs) 

MD5

6e4699cd07f8c5da62c5c4acc4b392b7

6867687889de3c7f82999a82505c2c4b

URL

stickme[.]live

2.2   Phân tích mẫu mã độc tấn công Ukraine

15-01-2022, MSTIC (Microsoft Threat Intelligence Center) công bố cuộc tấn công mạng sử dụng các phần mềm độc nhằm mục đích phá hoại nhắm vào nhiều tổ chức ở Ukraine.

Quá trình tấn công bao gồm 3 giai đoạn sau:

Giai đoạn 1: Ghi đè MBR, tạo ransom note và phá hủy các phân vùng.

Giai đoạn 2: Tải xuống thêm payload mới từ Discord chanel.

Giai đoạn 3: Giải mã các payload mới từ resource và thực thi 

Giai đoạn 1 (Stage 1):

SHA256: a196c6b8ffcb97ffb276d04f354696e2391311db3841ae16c8c9f56f36a38e92

File Type: PE 32

Ở stage 1, mã độc có chức năng truy cập tới MBR (Master Boot Record) và ghi đè dữ liệu có kích thước 0x200. Sau khi máy khởi động lại, đoạn mã được ghi đè sẽ được thực thi và hiển thị ransom note lên màn hình

Lỗ hổng windows short file name

Lỗ hổng windows short file name

Giai đoạn 2 (Stage 2):

                  SHA256: dcbbae5a1c61dbbbb7dcd6dc5dd1eb1169f5329958d38b58c3fd9384081c9b78

                  File Type: Portable Executable 32 .NET Assembly 

Ở stage 2, nhằm lẩn tránh sự phát hiện của AV, mã độc cấu hình sleep 20s. Được thực hiện thông qua command sau 2 lần: 

Command: powershell -enc UwB0AGEAcgB0AC0AUwBsAGUAZQBwACAALQBzACAAMQAwAA==

—> Start-Sleep -s 10

Lỗ hổng windows short file name

Sau đó, mã độc tải xuống thêm một file với định dạng là JPG từ discord có URL: https[:]//cdn.discordapp[.]com/attachments/928503440139771947/930108637681184768/Tbopbh.jpg

Lỗ hổng windows short file name

Giai đoạn 3 (Stage 3):

File name: Tbopbh.jpg

SHA256: 923eb77b3c9e11d6c56052318c119c1a22d11ab71675e6b95d05eeb73d1accd6

File Tbopbh.jpg đã được đảo ngược các byte, kết quả sau khi đảo ngược các byte lại sẽ được một file PE

Lỗ hổng windows short file name

Mã độc ở stage 3 được viết bằng ngôn ngữ C# tương tự như mã độc ở Stage 2 và được obfuscation bằng công cụ có tên Eazfuscator 

Lỗ hổng windows short file name

3 data được nhúng trong resource của file Tbopbh.jpg. Bài viết tập trung chính đến data có tên “78c855a088924e92a7f60d661c3d1845

Lỗ hổng windows short file name

Mã độc ở stage 3 load data 78c855a088924e92a7f60d661c3d1845 từ resource, giải mã bằng thuật toán XOR. Sau giải mã thu được DLL mới. DLL này có 2 resource lần lượt có tên “Advanced Run” và “Waqybg”

AdvanceRun có chức năng sau:

-       Thực thi file vbs tại đường dẫn “%Temp%Nmddfrqqrbyjeygggda.vbs”  để chỉ định ổ đĩa C là thư mục ngoại lệ

Command: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe” Set-MpPreference -ExclusionPath ‘C:\’

-       Stop service Windows Defender thông qua AdvancedRun.exe và xóa bỏ thư mục tại đường dẫn “C:\ProgramData\Microsoft\Windows Defender”

Command: “C:\Users\Administrator\AppData\Local\Temp\AdvancedRun.exe” /EXEFilename “C:\Windows\System32\sc.exe” /WindowState 0 /CommandLine “stop WinDefend” /StartDirectory “” /RunAs 8 /Run

Command: “C:\Users\Administrator\AppData\Local\Temp\AdvancedRun.exe” /EXEFilename 

“C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe” /WindowState 0 /CommandLine “rmdir ‘C:\ProgramData\Microsoft\Windows Defender’ -Recurse” /StartDirectory “” /RunAs 8 /Run

Waqybg có chức năng sau:

-       Ghi đè byte 0xCC vào các file với extensions được chỉ định với kích thước 0x100000 (1MB)

Lỗ hổng windows short file name

-       Thực hiện ping command và tự xóa bỏ mã độc

cmd.exe /min /C ping 111.111.111.111 -n 5 -w 10 > Nul & Del /f /q \”[Filepath]\”

Indicator of Compromise (IoCs) 

SHA256:

Stage1: a196c6b8ffcb97ffb276d04f354696e2391311db3841ae16c8c9f56f36a38e92

Stage2: dcbbae5a1c61dbbbb7dcd6dc5dd1eb1169f5329958d38b58c3fd9384081c9b78 

Stage3 (Tbopbh.jpg): 923eb77b3c9e11d6c56052318c119c1a22d11ab71675e6b95d05eeb73d1accd6 

Stage3 (Reversed Tbopbh.jpg )

9ef7dbd3da51332a78eff19146d21c82957821e464e8133e9594a07d716d892d

            (Decoded Resource “78c855a088924e92a7f60d661c3d1845)

35FEEFE6BD2B982CB1A5D4C1D094E8665C51752D0A6F7E3CAE546D770C280F3A

AdvancedRun.exe

29AE7B30ED8394C509C561F6117EA671EC412DA50D435099756BBB257FAFB10B

Nmddfrqqrbyjeygggda.vbs

DB5A204A34969F60FE4A653F51D64EEE024DBF018EDEA334E8B3DF780EDA846F

URL

https[:]//cdn.discordapp[.]com/attachments/928503440139771947/930108637681184768/Tbopbh.jpg

3     CVE và các khuyến nghị bảo mật

3.1     Microsoft Patch Tuesday – January 2022

Vào tháng 01/2022, Microsoft đã phát hành các bản vá cho 96 CVE mới trong các sản phẩm của Microsoft Windows và Windows Components, Microsoft Edge (Chromium-based), Exchange Server, Microsoft Office and Office Components, SharePoint Server, .NET Framework, Microsoft Dynamics, Open-Source Software, Windows Hyper-V, Windows Defender, and Windows Remote Desktop Protocol (RDP). Trong số này, 9 CVE được đánh giá là Nghiêm trọng và 89 CVE được đánh giá về mức độ nghiêm trọng là Improtant. 

DướiđâylàmtsCVE nibật: 

3.1.1     CVE-2022-21907 - HTTP Protocol Stack Remote Code Execution Vulnerability. 

CVSS v3:9.8

Mô tả: Lỗ hổng tồn tại trong HTTP Protocol Stack (http.sys). Cho phép kẻ tấn công thực thi mã tùy ý trên hệ thống bị ảnh hưởng. Lỗ hổng được khai thác mà không yêu cầu điều kiện như quyền hay tương tác từ người dùng. 

Hiện tại PoC mã khai thác đã được public trên Internet.

Phiên bản ảnh hưởng

Windows

10 Version 1809 for 32-bit Systems

10 Version 1809 for x64-based Systems

10 Version 1809 for ARM64-based Systems

10 Version 21H1 for 32-bit Systems

10 Version 21H1 for x64-based System

10 Version 21H1 for ARM64-based Systems

10 Version 20H2 for 32-bit Systems

10 Version 20H2 for x64-based Systems

10 Version 20H2 for ARM64-based Systems

10 Version 21H2 for 32-bit Systems

10 Version 21H2 for x64-based Systems

10 Version 21H2 for ARM64-based Systems

11 for x64-based Systems

11 for ARM64-based Systems

Windows Server

Windows Server 2019

Windows Server 2019 (Core installation)

Windows Server 2022

Windows Server 2022 (Server Core installation)

Windows Server version 20H2 (Server Core Installation)

Khuyến nghị

Cài đặt cập nhật bản vá theo hướng dẫn của hãng: https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-21907. Hoặc áp dụng các biện pháp khắc phục theo hướng dẫn của hãng bằng loại bỏ giá trị registry “EnableTrailerSupport” tại đường dẫn HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\HTTP\Parameters (lưu ý: cách giảm thiểu trên chỉ áp dụng cho phiên bản Windows Server 2019 và Windows 10 version 1809)

3.1.2    CVE-2022-21846 - Microsoft Exchange Server Remote Code Execution

CVSS v3:9.0

Mô tả: Lỗ hổng RCE tồn tại trên nền tảng Microsoft Exchange. Cho phép kẻ tấn công thực thi mã từ xa. Tuy nhiên, để khai thác được lỗ hổng, kẻ tấn công cần có quyền truy cập vào mạng cục bộ mà hệ thống bị ảnh hưởng được kết nối

Phiên bản ảnh hưởng

Microsoft Exchange Server 2019 Cumulative Update 10

            Microsoft Exchange Server 2016 Cumulative Update 21

Microsoft Exchange Server 2013 Cumulative Update 23

Microsoft Exchange Server 2019 Cumulative Update 11

Microsoft Exchange Server 2016 Cumulative Update 22

Khuyến nghị

Cài đặt cập nhật bản vá theo hướng dẫn của hãng: https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-21846

3.1.3    CVE-2022-21840 - Microsoft Office Remote Code Execution Vulnerability

CVSS v3:8.8

Mô tả: Lỗ hổng tồn tại trong Microsoft Office, kẻ tấn công cần tạo một file Office nhúng các đoạn mã độc hại. Thông qua các cách thức như phishing lừa nạn nhân mở các file tài liệu độc hại nhằm thực thi mã tùy ý trên máy nạn nhân.

Phiên bản ảnh hưởng

Microsoft SharePoint Foundation 2013 Service Pack

Microsoft Office Web Apps Server 2013

Microsoft Office 2013 Service Pack 1

Microsoft Office 2013 Service Pack 1

Microsoft Office 2013 RT Service Pack

Microsoft Excel 2013 Service Pack 1

Microsoft Excel 2013 Service Pack 1

Microsoft Excel 2013 RT Service Pack

Microsoft Office 2016 (64-bit edition)

Microsoft Office 2016 (32-bit edition)

Microsoft Excel 2016 (64-bit edition)

Microsoft Excel 2016 (32-bit edition)

SharePoint Server Subscription Edition Language Pack

Microsoft SharePoint Server Subscription Edition

Microsoft Office LTSC 2021 for 32-bit

Microsoft Office LTSC 2021 for 64-bit

Microsoft Office LTSC for Mac 2021

Microsoft 365 Apps for Enterprise for

Microsoft 365 Apps for Enterprise for

Microsoft Office Online Server Execution

Microsoft Office 2019 for Mac

Microsoft Office 2019 for 64-bit editions

Microsoft Office 2019 for 32-bit editions

Microsoft SharePoint Server 2019 Execution

Microsoft SharePoint Enterprise Server 2013 Service

 Microsoft SharePoint Enterprise Server 2016

Khuyến nghị

Cài đặt cập nhật bản vá theo hướng dẫn của hãng: https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-21840

3.2   Ứngdụngwebvàcácsảnphẩmkhác

3.2.1    CVE-2021-44224 NULL dereference or SSRF in forward proxy configurations in Apache HTTP Server 2.4.7 to 2.4.51

Mô tả:

Kẻ tấn công tạo crafted URI được cấu hình forward proxy gửi đến httpd khiến máy chủ có thể crash (NULL pointer dereference) hoặc đối với các cấu hình kết hợp forward và reverse proxy, khiến tồn tại lỗ hổng SSRF do các requets có thể chuyển hướng đến Unix Domain Socket endpoint.

Phiên bản ảnh hưởng

Apache HTTP Server phiên bản từ 2.47 đến 2.4.51 (>=2.4.7, <=2.4.51)

Khuyến nghị: Cài đặt cập nhật bản vá theo hướng dẫn của hãng.

https://httpd.apache.org/security/vulnerabilities_24.html

3.2.2  CVE-2021-44757 Authentication bypass vulnerability in Desktop Central

Mô tả: Lỗ hổng cho phép kẻ tấn công vượt qua xác thực (bypass authentication) đọc, ghi dữ liệu tùy ý trên máy chủ Desktop Central

Phiên bản ảnh hưởng

ManageEngine Desktop Central trước phiên bản 10.1.2137.9

            Desktop Central MSP trước phiên bản 10.1.2137.9 

Khuyến nghị: Cài đặt cập nhật bản vá theo hướng dẫn của hãng.

https://pitstop.manageengine.com/portal/en/community/topic/a-critical-security-patch-released-in-desktop-central-and-desktop-central-msp-for-cve-2021-44757-17-1-2022

https://www.manageengine.com/products/desktop-central/cve-2021-44757.html

https://www.manageengine.com/desktop-management-msp/cve-2021-44757.html

3.2.3  CVE-2022-21661 WordPress Core WP_Query SQL Injection Information Disclosure Vulnerability

CVSSv3: 7.5

Mô tả: Lỗ hổng tồn tại trong class WP_Query do không validation dữ liệu nhập từ người dùng. Cho phép kẻ tấn công không cần xác thực có thể truy vấn được thông tin trong cơ sở dữ liệu 

Phiên bản ảnh hưởng

WordPress phiên bản từ 3.7 đến 5.8

Khuyến nghị: Cài đặt cập nhật bản vá theo hướng dẫn của hãng.

https://wordpress.org/news/2022/01/wordpress-5-8-3-security-release/