Microsoft ออกแพตซ์อัปเดต Exchange อีกครั้ง ภายหลังจากการแก้ไขปัญหาการส่งอีเมล

Microsoft ออกแพตช์อัปเดตของเดือนพฤศจิกายน 2024 สำหรับ Exchange Server อีกครั้ง หลังจากถอนการอัปเดตดังกล่าวออกมาเมื่อต้นเดือนนี้ เนื่องจากเกิดปัญหาการส่งอีเมลบนเซิร์ฟเวอร์ที่ใช้รูปแบบการจัดการอีเมลแบบ Custom

บริษัทประกาศว่าได้ถอนการอัปเดตเหล่านี้ออกจาก Download Center และ Windows Update หลังจากได้รับรายงานจำนวนมากจากผู้ดูแลระบบว่าอีเมลไม่สามารถส่งได้ (more…)

Cloudflare เผยแพร่เหตุการณ์ข้อมูล Log ที่ส่งถึงลูกค้าสูญหายไปกว่า 55% ในช่วงเวลา 3.5 ชั่วโมง

Cloudflare บริษัทด้านความปลอดภัยบนอินเทอร์เน็ต ได้เผยแพร่เหตุการณ์ข้อมูล Log ที่ส่งถึงลูกค้าสูญหายถึง 55% ภายในช่วงเวลา 3.5 ชั่วโมง เนื่องมาจากข้อผิดพลาดใน log collection service เมื่อวันที่ 14 พฤศจิกายน 2024 ที่ผ่านมา

Cloudflare มีบริการ logging service อย่างครอบคลุมสำหรับลูกค้า ซึ่งช่วยให้ลูกค้าสามารถตรวจสอบการใช้งาน traffic บนระบบ และสามารถ filter การใช้งานดังกล่าวตามเงื่อนไขต่าง ๆ ซึ่ง log เหล่านี้ช่วยให้ลูกค้าสามารถวิเคราะห์ปริมาณการรับส่งข้อมูลไปยังโฮสต์ของตน เพื่อตรวจสอบเหตุการณ์ด้านความปลอดภัย, แก้ไขปัญหา, การโจมตีแบบ DDoS, รูปแบบปริมาณการรับส่งข้อมูล หรือเพื่อดำเนินการเพิ่มประสิทธิภาพของระบบ (more…)

การอัปเดตเฟิร์มแวร์ของ QNAP ทำให้ผู้ดูแลระบบ NAS ไม่สามารถเข้าถึงอุปกรณ์ได้

การอัปเดตเฟิร์มแวร์ล่าสุดที่ถูกส่งไปยังอุปกรณ์ QNAP Network Attached Storage (NAS) ทำให้ผู้ดูแลระบบหลายรายไม่สามารถเข้าถึงระบบจัดเก็บข้อมูลของตนได้ บริษัทได้ถอนการอัปเดตเฟิร์มแวร์ และปล่อยเวอร์ชันที่ได้รับการแก้ไขแล้ว แต่การตอบสนองของบริษัททำให้บางผู้ (more…)

Firewall ของ Zyxel กำลังเป็นเป้าหมายการโจมตีด้วย Ransomware

Zyxel ออกมาแจ้งเตือนเกี่ยวกับการพบกลุ่มแรนซัมแวร์ที่กำลังใช้ประโยชน์จากช่องโหว่ Command Injection ที่เพิ่งได้รับการแก้ไขในแพตช์ล่าสุดบน Firewall และมีหมายเลข CVE-2024-42057 ซึ่งช่องโหว่นี้ถูกใช้เป็นการโจมตีเพื่อเข้าสู่ระบบในเบื้องต้น (more…)

ช่องโหว่ใน VMware Aria Operations ทำให้สามารถยกระดับสิทธิ์ และถูกโจมตีแบบ XSS (Cross-Site Scripting) ได้

VMware ซึ่งเป็นผู้ให้บริการซอฟต์แวร์คลาวด์คอมพิวติ้ง และ virtualization software ได้เปิดเผยช่องโหว่ระดับ Critical หลายรายการในผลิตภัณฑ์ Aria Operations โดยช่องโหว่ที่อันตรายที่สุดเป็นช่องโหว่ที่ทำให้ผู้โจมตีสามารถยกระดับสิทธิ์เป็น root บนระบบที่มีช่องโหว่ได้ (more…)

“NachoVPN” การโจมตีรูปแบบใหม่ที่ใช้เซิร์ฟเวอร์ VPN ปลอมเพื่อหลอกติดตั้งการอัปเดตที่เป็นอันตราย

ชุดของช่องโหว่ที่ถูกเรียกว่า "NachoVPN" ช่วยให้เซิร์ฟเวอร์ VPN ปลอมสามารถติดตั้งการอัปเดตที่เป็นอันตรายได้ โดยจะเกิดขึ้นเมื่อไคลเอนต์ SSL-VPN ของ Palo Alto และ SonicWall ที่ยังไม่ได้รับการแก้ไขช่องโหว่เชื่อมต่อกับเซิร์ฟเวอร์เหล่านี้ (more…)

Matrix Botnet ใช้ประโยชน์จากช่องโหว่ในอุปกรณ์ IoT ในการโจมตีแบบ DDoS

กลุ่มผู้โจมตีที่ชื่อว่า Matrix ได้ถูกเชื่อมโยงกับการโจมตีแบบ Denial-of-Service (DoS) โดยอาศัยช่องโหว่จากการตั้งค่าที่ผิดพลาดในอุปกรณ์ Internet of Things (IoT) เพื่อนำอุปกรณ์เหล่านั้นมาใช้เป็น botnet เพื่อโจมตีระบบ (more…)

พบช่องโหว่ระดับ Critical ในปลั๊กอินป้องกันสแปมของ WordPress เว็บไซต์กว่า 200,000+ แห่งอาจถูกโจมตี

พบช่องโหว่ด้านความปลอดภัยระดับ Critical สองรายการในปลั๊กอิน Spam protection, Anti-Spam และ FireWall ของ WordPress ที่อาจทำให้ผู้โจมตีที่ไม่ผ่านการยืนยันตัวตน สามารถติดตั้ง และเปิดใช้งานปลั๊กอินที่เป็นอันตรายบนเว็บไซต์ที่มีช่องโหว่ และอาจนำไปสู่การเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกลได้ (more…)

พบ PyPI Python Library “aiocpa” ขโมย Crypto Keys ผ่าน Telegram Bot

ผู้ดูแล Python Package Index (PyPI) ได้ทำการ Quarantined แพ็กเกจ "aiocpa" หลังจากพบว่าการอัปเดตใหม่มีการเพิ่มโค้ดที่เป็นอันตรายสำหรับขโมย private keys ผ่าน Telegram (more…)

ผู้ไม่หวังดีแอบใช้เซิร์ฟเวอร์ที่ตั้งค่าผิดพลาดเพื่อสตรีมถ่ายทอดสดกีฬา

เพื่อให้ทันกับโลกของความปลอดภัยทางไซเบอร์ที่พัฒนาอย่างต่อเนื่อง นักวิจัยจาก Aqua Nautilus ได้ติดตั้ง Honeypot เพื่อจำลองการพัฒนาในสภาพแวดล้อมการใช้งานจริง ในระหว่างการปฏิบัติการค้นหาภัยคุกคามเมื่อไม่นานมานี้ นักวิจัยพบช่องทางการโจมตีใหม่ที่น่าสนใจ โดยผู้ไม่หวังดีจะใช้เซิร์ฟเวอร์ที่มีการตั้งค่าผิดพลาด เพื่อเข้ายึดครองระบบ และดำเนินการสตรีมถ่ายทอดสดเกี่ยวกับการแข่งขันกีฬา โดยการใช้ช่องโหว่ของแอปพลิเคชัน JupyterLab และ Jupyter Notebook ที่ตั้งค่าผิดพลาดเพื่อฝังเครื่องมือจับภาพสตรีมมิง และทำการเผยแพร่เนื้อหาที่ผิดลิขสิทธิ์บนเซิร์ฟเวอร์ ซึ่งเป็นการละเมิดลิขสิทธิ์ของการถ่ายทอดสด

ความพยายามในการค้นหาภัยคุกคามของ Nautilus

เมื่อใช้ Honeypot เพื่อรวบรวมข้อมูลด้านภัยคุกคาม นักวิจัยจะถือว่าเหตุการณ์ทั้งหมดเป็นการโจมตีโดยเจตนา อย่างไรก็ตาม ในความเป็นจริงมีทั้งการสแกนที่เกิดจากเครื่องมือทั่วไป, การกระทำของผู้ที่อยากรู้อยากเห็นโดยไม่มีทักษะ (Script Kiddies) หรือเครื่องมือ และความพยายามโจมตีที่ล้มเหลวซึ่งไม่สามารถพัฒนาไปเป็นการโจมตีเต็มรูปแบบได้ ดังนั้นจึงมีการปรับใช้ระบบอัตโนมัติที่รัดกุม และการเรียนรู้ของเครื่อง Machine Learning เพื่อช่วยแยกระหว่างเหตุการณ์ที่น่าสนใจ และไม่น่าสนใจ อย่างไรก็ตาม บางครั้งอาจมีข้อผิดพลาดเกิดขึ้น และเมื่อเป็นเช่นนั้น นักวิจัยจะใช้วิธี threat hunting เป็นมาตรการชดเชยในการตรวจจับเพิ่มเติม

ในการปฏิบัติการค้นหาภัยคุกคามครั้งล่าสุด นักวิจัยมุ่งเน้นไปที่การวิเคราะห์ทราฟฟิกเครือข่ายขาออก รวมถึงไฟล์ปฏิบัติการ (binaries) ที่ถูก drop และรันภายในในสภาพแวดล้อมแบบคอนเทนเนอร์ เพื่อค้นหาช่องโหว่ด้านความปลอดภัยที่อาจเกิดขึ้น โดย Honeypot พบเหตุการณ์หลายพันรายการต่อวัน ซึ่งถูกบันทึกโดยอัตโนมัติในสภาพแวดล้อมข้อมูลต่าง ๆ สำหรับการจัดเก็บ (Data Lake) และการวิเคราะห์ (Document Database และ Data Warehouse) นักวิจัยใช้ประโยชน์จาก Data Warehouse เพื่อเชื่อมโยงไฟล์ปฏิบัติการที่น่าสงสัยกับเหตุการณ์บนเครือข่าย โดยเปรียบเทียบกับ Signatures เดิมบางส่วน ซึ่งเผยให้เห็นรูปแบบที่แสดงถึงพฤติกรรมที่ผิดปกติ เมื่อสร้างความเชื่อมโยงเหล่านี้ได้แล้ว นักวิจัยจะเจาะลึกลงไปยังเหตุการณ์ และเซสชันที่เกี่ยวข้องกับความผิดปกติที่พบ ทำให้สามารถแยก, วิเคราะห์ และจัดการกับภัยคุกคามด้านความปลอดภัยที่อาจเกิดขึ้นได้แบบเรียลไทม์

นักวิจัยพบเหตุการณ์หลายสิบรายการที่แสดงให้เห็นเครื่องมือที่ไม่มีอันตรายถูก Drop และรันในระบบ ซึ่งเครื่องมือดังกล่าวคือ ffmpeg ซึ่งเป็นซอฟต์แวร์โอเพ่นซอร์สที่ใช้สำหรับการบันทึก, เปลี่ยนแปลง และสตรีมเสียง และวิดีโอ รวมถึงรองรับรูปแบบมัลติมีเดียหลายประเภท และได้รับการใช้งานอย่างแพร่หลายในด้านการประมวลผลวิดีโอ, การบีบอัด และการสตรีมถ่ายทอดสด ซึ่งแพลตฟอร์มด้านข้อมูลภัยคุกคาม เช่น Virus Total ระบุว่าไม่ใช่เครื่องมือที่เป็นอันตราย และไม่ได้ถูกจัดว่าเป็นอันตราย หรือไม่พึงประสงค์ จึงไม่เคยถูกจัดเป็นการโจมตี อย่างน้อยก็จนถึงขณะนี้

รายละเอียดเกี่ยวกับ JupyterLab และ Jupyter Notebooks

JupyterLab และ Jupyter Notebook เป็น interactive environments ที่มีประสิทธิภาพสำหรับการทำงานด้าน Data Science หลายองค์กรใช้เครื่องมือเหล่านี้ในการดำเนินงานข้อมูลประจำวัน แต่ก็มีความเสี่ยงบางประการหากไม่ถูกจัดการอย่างปลอดภัย โดยส่วนใหญ่จะมีผู้ปฏิบัติงานที่อาจขาดความรู้เกี่ยวกับการตั้งค่า ทำให้มีการตั้งค่าที่ผิดพลาด เช่น การเชื่อมต่อเซิร์ฟเวอร์กับอินเทอร์เน็ต โดยเปิดการเข้าถึงโดยไม่มีการยืนยันตัวตน ซึ่งทำให้ผู้ไม่หวังดีสามารถรันโค้ดที่อันตรายได้ นอกจากนี้ การเปิด Jupyter stack ให้เข้าถึงได้จากอินเทอร์เน็ตโดยไม่มีการป้องกันจากไฟร์วอลล์ก็ทำให้เกิดความเสี่ยงต่อการโจมตี การจัดการโทเค็นที่ไม่ถูกต้องก็เป็นอีกปัญหาหนึ่ง เพราะหากโทเค็นถูกเปิดเผย อาจทำให้ผู้ไม่หวังดีสามารถเข้าถึงข้อมูลทั้งหมดได้ จากข้อมูลของ Shodan พบว่าเซิร์ฟเวอร์ Jupyter ประมาณ 15,000 เครื่องเชื่อมต่อกับอินเทอร์เน็ต และประมาณ 150 เครื่อง (1%) สามารถทำให้เกิดการรันโค้ดที่เป็นอันตรายจากระยะไกลได้ การวิเคราะห์ของ Nautilus พบว่า มี Jupyter notebooks ที่ตั้งค่าผิดพลาด รวมถึงเซิร์ฟเวอร์ขององค์กร และ Startup ที่เปิดให้เข้าถึงได้จากภายนอก กำลังถูกโจมตีอยู่

การเรียกใช้งาน Jupyter stack ด้วยการจำกัด IP ที่เข้าถึง, การตรวจสอบสิทธิ์ที่รัดกุม, การใช้ HTTPS และการจัดการโทเค็น สามารถช่วยลดความเสี่ยงเหล่านี้ได้

รายละเอียดเกี่ยวกับการสตรีมถ่ายทอดสดกีฬาที่ผิดลิขสิทธิ์

การสตรีมถ่ายทอดสดกีฬาที่ผิดลิขสิทธิ์เป็นภัยคุกคามที่กำลังเพิ่มสูงขึ้นในอุตสาหกรรมนี้ ซึ่งทำให้รายได้ของลีก, ผู้ถ่ายทอดสด และแพลตฟอร์มที่ถูกลิขสิทธิ์ลดลง ด้วยการเข้าถึงอินเทอร์เน็ตความเร็วสูง และเครื่องมือสตรีมมิงที่สามารถใช้งานได้ง่าย การถ่ายทอดสดที่ไม่ได้รับอนุญาตเหล่านี้จึงแพร่หลาย ซึ่งส่งผลกระทบไม่เพียงแค่ลีกใหญ่ ๆ แต่ยังรวมถึงทีมเล็ก ๆ ที่พึ่งพารายได้จากการรับชมแบบชำระเงิน

เพื่อแก้ไขปัญหานี้ องค์กรกีฬาต่าง ๆ ใช้เทคโนโลยีขั้นสูง เช่น การตรวจจับที่ใช้ปัญญาประดิษฐ์ (AI), การสร้างลายน้ำ (WaterMarking) และการจัดการลิขสิทธิ์ดิจิทัล (DRM) เพื่อติดตาม และหยุดการสตรีมที่ผิดกฎหมายแบบเรียลไทม์ การดำเนินการทางกฎหมาย และความร่วมมือกับรัฐบาลช่วยในการบังคับใช้ลิขสิทธิ์

ขั้นตอนการโจมตี

Honeypot ของ Jupyter Lab และ Jupyter Notebook เปิดเผยทั้งช่องโหว่ และรหัสผ่านที่คาดเดาได้ง่าย ในกรณีนี้ผู้ไม่หวังดีได้ใช้การเข้าถึง Jupyter Lab และ Jupyter Notebook โดยไม่มีการยืนยันตัวตนเพื่อสร้างการเข้าถึงเริ่มต้น และสามารถรันโค้ดที่เป็นอันตรายจากระยะไกลได้

ขั้นตอนแรก ผู้ไม่หวังดีได้ทำการอัปเดตเซิร์ฟเวอร์ จากนั้นดาวน์โหลดเครื่องมือ ffmpeg การดำเนินการนี้เพียงอย่างเดียวไม่สามารถบอกได้ว่าเป็นพฤติกรรมที่เป็นอันตรายสำหรับเครื่องมือด้านความปลอดภัย จากนั้นผู้ไม่หวังดีจะดำเนินการรัน ffmpeg เพื่อจับสัญญาณสตรีมมิงถ่ายทอดสดของการแข่งขันกีฬา และเปลี่ยนเส้นทางไปยังเซิร์ฟเวอร์ของตน

การโจมตีแบบตรงไปตรงมานี้สามารถถูกปล่อยผ่านได้ง่าย แม้ว่าผลกระทบบต่อองค์กรที่เกิดขึ้นในทันทีอาจดูเหมือนเล็กน้อย (แม้ว่าจะส่งผลกระทบอย่างมากต่ออุตสาหกรรมบันเทิง) แต่มันอาจถูกมองข้ามว่าเป็นแค่เรื่องน่ารำคาญเท่านั้น

อย่างไรก็ตาม สิ่งสำคัญที่ต้องจำไว้คือ ผู้ไม่หวังดีสามารถเข้าถึงเซิร์ฟเวอร์ที่มีจุดประสงค์เพื่อการวิเคราะห์ข้อมูล ซึ่งอาจส่งผลกระทบอย่างร้ายแรงต่อการดำเนินงานขององค์กรใด ๆ ความเสี่ยงที่อาจเกิดขึ้นได้แก่ การโจมตีแบบ Denial of Service (DoS), การเปลี่ยนแปลงข้อมูล, การขโมยข้อมูล, ความเสียหายต่อกระบวนการ AI และ ML, การขยายขอบเขตการโจมตีในระบบที่สำคัญมากขึ้น และในกรณีที่เลวร้ายที่สุด อาจส่งผลกระทบทางการเงิน และชื่อเสียงอย่างรุนแรง

วิเคราะห์การโจมตีด้วย Aqua Tracee และ TraceeShark

Tracee ช่วยให้สามารถจับเหตุการณ์ต่าง ๆ บนเซิร์ฟเวอร์ Linux ได้ รวมถึงกิจกรรมบนเครือข่าย, ไฟล์ และการดึงข้อมูลในหน่วยความจำที่น่าสงสัย นักวิจัยรวบรวมเหตุการณ์ และข้อมูลเครือข่ายที่ Tracee สร้างขึ้นให้เป็นไฟล์ .pcapng ที่รองรับ Wireshark เพื่อเริ่มต้นการตรวจสอบ

จากนั้น นักวิจัยอัปโหลดไฟล์ .pcapng ไปยัง Traceeshark ซึ่งเป็นเวอร์ชันดัดแปลงของ Wireshark ที่ออกแบบมาเพื่อการวิเคราะห์โดยเฉพาะ เฟรมเวิร์ก Wireshark ได้รับการปรับปรุงเพื่อรองรับข้อมูลของ Tracee เช่น ประเภทโปรโตคอล, Container ID และ Process ID รวมถึง Parent Process ID เป็นต้น

นักวิจัยพบเหตุการณ์เกิดขึ้นมากกว่า 8,000 รายการ การตรวจสอบทีละรายการอาจใช้เวลานาน และมีความซับซ้อน นักวิจัยจึงใช้ความสามารถด้านการวิเคราะห์ต่าง ๆ เพื่อให้ได้ข้อมูลเชิงลึกเกี่ยวกับการโจมตีนี้อย่างทันท่วงที โดยใช้ตัวเลือกทางสถิติ ทำให้สามารถประเมินปริมาณ Signatures และเหตุการณ์ได้ ซึ่งแสดงให้เห็นว่าเหตุการณ์นี้เป็นเซสชันขนาดเล็กที่มีโอกาสสร้างความเสียหายที่จำกัด อย่างไรก็ตาม นักวิจัยจะดำเนินการวิเคราะห์ต่อเพื่อประเมินสถานการณ์อย่างละเอียด

จนถึงตอนนี้ หลักฐานอาจยังดูไม่น่าสนใจ อย่างไรก็ตาม สถานการณ์เริ่มดูน่าสงสัยเมื่อพิจารณาจาก Process Tree ที่แสดงคำสั่ง ffmpeg จำนวนมาก โดยเฉพาะอย่างยิ่งเมื่อมีรูปแบบของที่อยู่ IP ที่ผิดปกติเข้ามาเกี่ยวข้อง หากคุ้นเคยกับ ffmpeg และการทำงานทั่วไปของมัน อาจจะสังเกตเห็นได้ทันทีว่าพฤติกรรมของเซิร์ฟเวอร์นี้ผิดปกติ หากไม่คุ้นเคย การดำเนินการคำสั่งที่เกี่ยวข้องกับทราฟฟิกหลายครั้งนี้ก็ยังคงเป็นสัญญาณเตือนที่สำคัญ

ด้วยฟิลเตอร์เฉพาะที่เพิ่มเข้าไปใน Traceeshark นักวิจัยสามารถเจาะลึกการวิเคราะห์การโจมตีนี้ได้มากขึ้น โดยใช้ฟิลเตอร์ Container ทำให้สามารถแยกเหตุการณ์ในระดับคอนเทนเนอร์เพื่อดูเฉพาะ Events, Network packets หรือ Signatures ที่ถูกทริกเกอร์ ในกรณีนี้ นักวิจัยจะใช้ฟิลเตอร์ Important ซึ่งถูกตั้งค่าให้เน้นเหตุการณ์ และ Signature ที่สำคัญโดยอ้างอิงจากความเชี่ยวชาญของนักวิจัย

ต่อมา นักวิจัยสังเกตเห็นการดาวน์โหลด ffmpeg (MD5: ecf054bf36972571efa68df489a9e969) จากเว็บไซต์แชร์ไฟล์ (MediaFire) แหล่งดาวน์โหลดนี้เพิ่มความน่าสงสัยขึ้น เนื่องจากไฟล์นี้อาจไม่ใช่เวอร์ชันทางการ หรือเวอร์ชันที่เชื่อถือได้ อาจมีการแก้ไขที่เป็นอันตราย หรือถูกใช้งานในลักษณะที่ไม่ได้รับอนุญาต อย่างไรก็ตาม การตรวจสอบไฟล์ใน Virus Total และ IDA แสดงให้เห็นว่าไฟล์นี้ไม่เป็นอันตราย

Wireshark อนุญาตให้ผู้ใช้ดับเบิลคลิกที่แพ็กเก็ตเพื่อตรวจสอบรายละเอียด และ Traceeshark ขยายฟังก์ชันนี้โดยการแสดงเนื้อหาของ Tracee logs นักวิจัยสามารถสังเกตเห็นคำสั่งที่ถูกรันอย่างละเอียดทันทีที่เครื่องมือ ./ffmpeg ถูกเปิดใช้งาน โดยกำหนดแหล่งสตรีม (-i) เป็น x9pro.