Instagram ประกาศแผนการปรับปรุงกลไกการตรวจสอบสิทธิ์แบบ 2FA โดยการเพิ่มการตรวจสอบสิทธิ์จากแอพพลิเคชั่นภายนอกเพื่อเพิ่มความปลอดภัยให้กับบัญชีของผู้ใช้งานทั่วโลก
แต่เดิม Instagram มีการใช้งาน 2FA (การยืนยันแบบสองขั้นตอน) ผ่าน SMS เท่านั้น ซึ่งสองสัปดาห์ก่อนหน้าการประกาศนี้มีรายงานข่าวว่า ผู้ใช้งาน Instagram ถูก hack account ทั้งที่บาง account มีการเปิดใช้งาน 2FA แต่
สามารถโดนแฮกและทำการเปลี่ยนแปลงโปรไฟล์ บางรายถูกลบโพสข้อมูลเก่า รวมถึงการปิดการยืนยันตรวจ 2FA และเปลี่ยนแปลง email ให้เป็น email ใหม่ที่มี domain จากรัสเซีย
ตั้งแต่วันนี้เป็นต้นไปผู้ใช้ Instagram จะทยอยได้รับการรองรับ 2FA ด้วยรหัสที่สร้างขึ้นโดยแอปพลิเคชัน "authenticator" แทนรหัสที่ได้รับผ่านทาง SMS ได้ โดยน่าจะครอบคลุมผู้ใช้ทั่วโลกในอีกไม่กี่สัปดาห์นี้

ทั้งนี้การใช้งาน 2FA ผ่าน SMS ได้รับการเตีอนว่าไม่ปลอดภัย https://www.

บัญชีทวิตเตอร์ @SandboxEscaper ได้โพสทวิตเกี่ยวกับการพบช่องโหว่บน ALPC ที่ถูกใช้งานใน task scheduler ซึ่งไม่มีใครค้นพบมาก่อนบน Microsoft Windows (ช่องโหว่ zero day) ผู้เชี่ยวชาญ CERT/CC ตรวจสอบข้อผิดพลาดดังกล่าว พร้อมยืนยันการค้นพบช่องโหว่นี้

Microsoft Windows task scheduler มีช่องโหว่ในการยกระดับสิทธิ์ ที่ ALPC สามารถอนุญาตให้ local user ยกระดับสิทธิ์เป็น SYSTEM ได้ หากช่องโหว่นี้ถูกประยุกต์ใช้จะทำให้ malware ทำการควบคุมเครื่องได้ที่ถูกโจมตีได้

ช่องโหว่ทำงานได้ทั้ง windows 10 64-bit, windows 10 32-bit และ windows Server 2016 ทั้งนี้ Microsoft ได้ออกมาแจ้งว่า จะให้คำแนะนำในการรับมือกับผลกระทบโดยเร็วที่สุด

ที่มา: The Register

รัฐบาลสหรัฐฯกำลังดำเนินการแก้ไขโครงการ CVE : Common Vulnerabilities and Exposures ที่มีปัญหาในช่วงหลายปีที่ผ่านมา

CVE ก่อตั้งมาเพื่อเป็นมาตรฐานกำหนดชื่อช่องโหว่ด้านความปลอดภัยซึ่งได้ยอมรับจากภาครัฐและเอกชน ก่อตั้งโดย MITRE โดยใช้เงินสนับสนุนจากรัฐบาลสหรัฐฯ ซอฟต์แวร์รักษาความปลอดภัยที่ทันสมัยที่สุดทั่วโลกต่างใช้หมายเลข CVE เพื่อระบุและติดตามการโจมตีด้านไซเบอร์ โดยเจาะจงเฉพาะข้อบกพร่องของซอฟต์แวร์

ตั้งแต่ช่วงปลายปี 2015 ระบบ CVE เกิดปัญหาหลายอย่าง เช่น ออกเลข CVE ล่าช้า ซึ่ง MITRE กล่าวว่าสาเหตุความล่าช้าเกิดจากการเพิ่มจำนวนอย่างรวดเร็วของผู้ผลิตซอฟต์แวร์และการเพิ่มของ IOT โดยรายงานเมื่อปลายปี 2016 พบว่าองค์กรล้มเหลวในการออกเลข CVE ให้กับช่องโหว่กว่า 6,000 รายการที่ถูกค้นพบในปี 2015

ในช่วงปลายเดือนมีนาคมปี 2017 คณะกรรมการจากรัฐบาลสหรัฐฯได้เริ่มทำการตรวจสอบระบบ CVE ซึ่งเมื่อวันจันทร์ที่ผ่านมาคณะกรรมการได้สรุปผลการตรวจสอบและแนวทางปฏิบัติที่เสนอเพื่อแก้ไขปัญหาที่พบในระบบ CVE โดยพบปัญหาใหญ่สองข้อคือ 1. เงินทุนที่ได้รับลดลง และ 2. ขาดการกำกับดูแลโครงการ CVE

1. ปัญหาเงินทุนลดลง
คณะกรรมการพบว่าเงินทุนสนับสนุนโครงการ CVE ต่อปีลดลงกว่า 37 เปอร์เซ็นในช่วงปี 2012 ถึง 2015 จึงเสนอให้แก้ด้วยการจัดหาเงินทุนสนับสนุนอย่างต่อเนื่อง เพื่อลดความผันผวนของงบประมาณ น่าจะทำให้ MITER มุ่งเน้นที่จะใช้ฐานข้อมูล CVE แทนการกังวลเกี่ยวกับเงินทุนในอนาคต

2.ปัญหาขาดการกำกับดูแลโครงการ CVE
คณะกรรมการพบว่าแนวทางที่ปฏิบัติในอดีตสำหรับการจัดการโครงการ CVE ยังไม่เพียงพอ จึงเสนอให้ MITER ดำเนินการตรวจสอบเสถียรภาพและประสิทธิภาพของโครงการ CVE ในทุกๆ ปี เพื่อให้พบปัญหาก่อนที่มีปัญหาจะร้ายแรงและกระทบกับภาคอุตสาหกรรมด้านความปลอดภัยไซเบอร์

ที่มา: BLEEPINGCOMPUTER

OCR Software ที่กำลังพัฒนาของ Abbyy ทำข้อมูลเอกสารลูกค้าจำนวน 200,000 ฉบับรั่วไหล เนื่องจากฐานข้อมูล MongoDB มีการรักษาความปลอดภัยไม่เพียงพอ

เมื่อวันที่ 19 สิงหาคม นักวิจัย Bob Diachenko ได้ค้นพบฐานข้อมูล MongoDB มีการตั้งค่าที่ผิดพลาดบนแพลตฟอร์มระบบคลาวด์ Amazon Web Services (AWS) มีขนาด 142GB และอนุญาตให้เข้าถึงได้โดยไม่ต้องเข้าสู่ระบบ ทำให้ผู้บุกรุกสามารถเข้าถึงไฟล์ลูกค้าได้

ฐานข้อมูลเก็บเอกสารที่สแกนโดยมีข้อมูลสำคัญ ได้แก่ สัญญาข้อตกลง ข้อมูลจดหมายภายในและบันทึกช่วยจำ รวมถึงไฟล์มากกว่า 200,000 ไฟล์ของลูกค้า Abbyy ที่สแกนข้อมูลและเก็บไว้ในระบบพร้อมใช้งานในระบบคลาวด์ หลักฐานบ่งบอกว่าฐานข้อมูลเป็นของ Abbyy มาจากชุดเอกสารที่มีชื่อผู้ใช้งาน Abbyy อยู่ในรูปแบบที่อยู่อีเมลของบริษัท และรหัสผ่านที่เข้ารหัส โดยกลุ่มลูกค้าของ Abbyy ชื่อดังมีอยู่ในหลายภาคส่วนเช่น Volkswagen, Deloitte, PwC, PepsiCo, Sberbank, McDonald's

Diachenko กล่าวว่าสองวันหลังจากการแจ้งเตือนของเขา ทีมรักษาความปลอดภัยที่ Abbyy ได้ทำการปิดการเข้าถึงข้อมูลดังกล่าวแล้ว

ที่มา: BLEEPINGCOMPUTER

Google เตือนธุรกิจต่างๆให้ระวัง Phishing Attack ที่มีรัฐบาลหนุนหลัง

การโจมตีแบบฟิชชิ่งอาจไม่ใช่ปัญหาใหม่ แต่ก็ไม่ใช่เรื่องง่ายที่บริษัทจะป้องกันการโจมตี ซึ่งเป็นเรื่องสำคัญของความปลอดภัยที่จะต้องสนใจ ไม่เสมอไปที่ผู้โจมตีจะต้องใช้ช่องโหว่ zero day หรือเขียนมัลแวร์ที่มีความสามารถในการดักจับการพิมพ์ (keystroke) แต่ทั้งหมดที่ต้องทำคือหลอกล่อให้ผู้ใช้งานคลิ๊กไปยังเว็บไซต์ที่ดูเหมือนจะน่าเชื่อถือ เพื่อที่จะขโมยรหัสผ่าน

เมื่อไม่นานมานี้มีการโจมตีแบบฟิชชิ่งเป็นจำนวนมากซึ่งดูเหมือนว่าแฮกเกอร์ได้รับการหนุนหลังจากหน่วยงานรัฐบาล การโจมตีแบบฟิชชิ่งนี้อาจพบได้น้อยกว่าการขโมยข้อมูลส่วนตัวและอาชญากรออนไลน์ทั่วไป แต่อย่างไรก็ตามการรั่วไหลของข้อมูลก็ยังคงที่เป็นที่ต้องติดตามและให้ความสนใจ ฟิชชิ่งแบบที่มีรัฐบาลหนุนหลังนั้นอาจจะมีเป้าหมาย เช่น นักข่าว นักวิจารณ์การเมือง และองค์กรต่าง ๆ อย่างไรก็ตามหากไม่สามารถได้ข้อมูลที่ต้องการจากบัญชี Gmail ของบุคคลเหล่านี้ได้ ก็อาจะทำการเปลี่ยนเป้าหมายเป็นคนใดคนหนึ่งที่ทำงานอยู่ในองค์กรแทน

ธุรกิจกว่า 4 ล้านรายทั่วโลก มีการใช้งาน G Suite ที่ประกอบด้วยเครื่องมือหลากหลายใช้งานอยู่บนระบบ Cloud ของ Google ที่ถูกออกแบบมาเพื่อให้พนักงานทำงานอย่างมีประสิทธิภาพ ซึ่งไม่ต้องแปลกใจเลยว่าเหตุใดจึงเป็นที่สนใจของหน่วยงานและรัฐบาลทั่วโลก และเพื่อปกป้องลูกค้าขององค์กรให้ดียิ่งขึ้น เมื่อต้นเดือนที่ผ่านมา Google ได้ประกาศว่าให้ผู้ดูแลระบบ G Suite สามารถรับคำเตือนเมื่อ Google เชื่อว่าผู้บุกรุกที่ได้รับการสนับสนุนจากรัฐบาลมีความพยายามที่จะเข้าถึงข้อมูลผู้ใช้หรือเข้าถึงคอมพิวเตอร์โดยใช้วิธีการฟิชชิ่งหรือวิธีอื่น ๆ

ที่มา: Business Insights

Cobalt Dickens ซึ่งเป็นกลุ่มที่เชื่อมโยงกับรัฐบาลอิหร่านตกเป็นผู้ต้องสงสัยอยู่เบื้องหลังการโจมตีมหาวิทยาลัยทั่วโลกเพื่อขโมยข้อมูลประจำตัว

กลุ่มนักวิจัยของ Secureworks ได้เปิดเผยการโจมตีหลังจากเริ่มพบ URL ปลอมแปลงในหน้าเว็บเข้าสู่ระบบของมหาวิทยาลัย หลังจากนำหมายเลข IP ไปวิเคราะห์เพิ่มเติมพบการโจมตีขนาดใหญ่ที่เกี่ยวข้องกับ 16 โดเมนที่มีเว็บไซต์ปลอมแปลงมากกว่า 300 แห่งและหน้าเว็บเข้าสู่ระบบของ 76 มหาวิทยาลัยใน 14 ประเทศ ผู้บุกรุกมุ่งเป้าไปที่โรงเรียนในสหรัฐอเมริกา, สหราชอาณาจักร, ออสเตรเลีย, แคนาดา, จีน, อิสราเอล, ญี่ปุ่นและตุรกี เป็นต้น และได้แจ้งเตือนไปยังเป้าหมายดังกล่าว

ผู้ที่ตกเป็นเหยื่อจะถูกหลอกให้ป้อนข้อมูลเข้าสู่ระบบในหน้าเข้าสู่ระบบปลอม หลังจากนั้นจะเปลี่ยนเส้นทางไปยังหน้าเว็บที่ถูกต้อง เพื่อให้เหยื่อป้อนข้อมูลเข้าสู่ระบบเป็นครั้งที่สอง โดเมนส่วนใหญ่ในเหตุการณ์ดังกล่าวจะเชื่อมต่อกับบาง IP และ DNS ซึ่งโดเมนหนึ่งถูกจดทะเบียนในเดือนพฤษภาคมปีพ.ศ. 2561 เพื่อนำโดเมนย่อยที่ออกแบบมาใช้หลอกเป้าหมายของมหาวิทยาลัยและเปลี่ยนเส้นทางผู้เข้าชมไปยังหน้าการเข้าสู่ระบบปลอมบนโดเมนอื่นที่ควบคุมโดยผู้บุกรุก เพื่อใช้ข้อมูลประจำตัวที่ได้มาขโมยทรัพย์สินทางปัญญาอย่างงานวิจัยต่างๆ

ที่มา: DARKReading , INDEPENDENT

ข้อมูลของโรงแรม Huazhu Hotels Group Ltd. รั่วไหล ซึ่งดำเนินธุรกิจโรงแรม 13 กลุ่ม มีทั้งหมด 5,162 โรงแรม ตั้งอยู่ในประเทศจีน 1,119 โรงแรม ถือว่าเป็นกลุ่มธุรกิจโรงแรมที่ใหญ่ที่สุดในประเทศจีนอีกด้วย

จากข่าวรายงานว่า แฮกเกอร์ได้ประกาศขายรายละเอียดข้อมูลส่วนตัวของแขกที่เข้าพักในโรงแรมกว่า 130 ล้านคน โดยมีมูลค่า 8 Bitcoin (56,000 ดอลล่าร์สหรัฐฯ) โดยประกาศขายที่ Dark Web ของประเทศจีน ประกอบไปด้วยข้อมูลดังต่อไปนี้ หมายเลขบัตรประจำตัว, หมายเลขโทรศัพท์มือถือ, ที่อยู่อีเมล, รหัสผ่านเข้าสู่ระบบ, ข้อมูลการลงทะเบียนการเช็คอิน (ชื่อลูกค้า, หมายเลขบัตรประจำตัว, ที่อยู่บ้าน, วันเกิด) และข้อมูลการจองห้องพัก (ชื่อ, หมายเลขบัตร, หมายเลขโทรศัพท์มือถือ, เวลาเช็คอิน, เวลาออกเดินทาง, หมายเลขโรงแรม, หมายเลขห้อง) โดยส่วนใหญ่จะเป็นข้อมูลลูกค้าที่เข้าพักโรงแรมในเครือของ Huazhu ซึ่ง ได้แก่ Hanant Hotel, Grand Mercure, Joye, Manxin, Novotel, Mercure, CitiGo, Orange, All Season, Starway, Ibis, Elan และ Haiyou

ปัจจุบันทางโรงแรม Huazhu ก็ได้ออกมายอบรับว่าเป็นข้อมูลของลูกค้าจริง เกิดจากความผิดพลาดของทีม development มีการอัปโหลดสำเนาข้อมูลเก็บไว้ที่ GitHub อาจเป็นสาเหตุที่ทำให้เกิดข้อมูลรั่วไหลในครั้งนี้

ที่มา : bleepingcomputer

Cobalt Dickens ซึ่งเป็นกลุ่มที่เชื่อมโยงกับรัฐบาลอิหร่านตกเป็นผู้ต้องสงสัยอยู่เบื้องหลังการโจมตีมหาวิทยาลัยทั่วโลกเพื่อขโมยข้อมูลประจำตัว

กลุ่มนักวิจัยของ Secureworks ได้เปิดเผยการโจมตีหลังจากเริ่มพบ URL ปลอมแปลงในหน้าเว็บเข้าสู่ระบบของมหาวิทยาลัย หลังจากนำหมายเลข IP ไปวิเคราะห์เพิ่มเติมพบการโจมตีขนาดใหญ่ที่เกี่ยวข้องกับ 16 โดเมนที่มีเว็บไซต์ปลอมแปลงมากกว่า 300 แห่งและหน้าเว็บเข้าสู่ระบบของ 76 มหาวิทยาลัยใน 14 ประเทศ ผู้บุกรุกมุ่งเป้าไปที่โรงเรียนในสหรัฐอเมริกา, สหราชอาณาจักร, ออสเตรเลีย, แคนาดา, จีน, อิสราเอล, ญี่ปุ่นและตุรกี เป็นต้น และได้แจ้งเตือนไปยังเป้าหมายดังกล่าว

ผู้ที่ตกเป็นเหยื่อจะถูกหลอกให้ป้อนข้อมูลเข้าสู่ระบบในหน้าเข้าสู่ระบบปลอม หลังจากนั้นจะเปลี่ยนเส้นทางไปยังหน้าเว็บที่ถูกต้อง เพื่อให้เหยื่อป้อนข้อมูลเข้าสู่ระบบเป็นครั้งที่สอง โดเมนส่วนใหญ่ในเหตุการณ์ดังกล่าวจะเชื่อมต่อกับบาง IP และ DNS ซึ่งโดเมนหนึ่งถูกจดทะเบียนในเดือนพฤษภาคมปีพ.ศ. 2561 เพื่อนำโดเมนย่อยที่ออกแบบมาใช้หลอกเป้าหมายของมหาวิทยาลัยและเปลี่ยนเส้นทางผู้เข้าชมไปยังหน้าการเข้าสู่ระบบปลอมบนโดเมนอื่นที่ควบคุมโดยผู้บุกรุก เพื่อใช้ข้อมูลประจำตัวที่ได้มาขโมยทรัพย์สินทางปัญญาอย่างงานวิจัยต่างๆ

ที่มา : darkreading

พบช่องโหว่ XSS CVE-2018-15605 ใน phpMyAdmin เป็นช่องโหว่ในส่วน file import ทำให้ผู้โจมตีสามารถใส่คำสั่ง Payload เพื่อโจมตีผู้ใช้ผ่านทางไฟล์ที่สร้างขึ้นเป็นพิเศษด้วยการ import ไฟล์นั้น โดยความความรุนแรงของช่องโหว่นี้อยู่ในระดับปานกลางและมีผลกับ phpMyAdmin เวอร์ชันเก่ากว่า 4.8.3

อัปเดตเป็น phpMyAdmin รุ่น 4.8.3 หรือใหม่กว่า หรือสามารถแพตช์ช่องโหว่นี้ได้โดยดูรายละเอียดจาก
github

ที่มา : phpmyadmin

พบช่องโหว่ CVE-2018-11776 ที่ส่งผลต่อโค้ดหลักโดยไม่ต้องใช้งานปลั๊กอิน และช่วยให้สามารถสั่งรันโค้ดจากระยะไกลบนเซิร์ฟเวอร์และเว็บไซต์ที่มีช่องโหว่ ที่มีการใช้งาน Apache Struts 2 ซึ่งถือว่าเป็น open-source ที่ได้รับความนิยมเป็นอย่างมาก

จากข่าวรายงานว่า ช่องโหว่ CVE-2018-11776 ถูกค้นพบโดยทีม Semmle Security Research Team ตั้งแต่เดือนเมษายนที่ผ่านมาและได้รายงานไปยัง Apache ซึ่งก็ได้มีการออก Patch ออกมาแล้ว ( 2.3.35 สำหรับผู้ใช้รุ่น 2.3 และ 2.5.17 สำหรับกลุ่มที่ 2.5 )

ปัจจัยที่ทำให้เกิดช่องโหว่

• ค่าสถานะ alwaysSelectFullNamespace ถูกตั้งค่าเป็น true โดยปกติจะถูกกำหนดค่านี้เป็น default
• ไฟล์ Struts Configuration ที่มีแท็ก ที่ไม่ได้ระบุ optional namespace attribute หรือมีการระบุเป็น wildcard namespace เช่น . '/*'

หาก Application ของผู้ใช้งานไม่ได้เป็นไปตามเงื่อนไขตามที่รายงานไว้ ก็จะไม่มีความเสี่ยงที่จะถูกโจมตีจากแฮกเกอร์ อย่างไรก็ตาม อาจจะมีการแจ้งเตือนถึงการโจมตีใหม่ๆเกิดขึ้นอยู่ วิธีที่ดีที่สุดควรอัพเดตเป็นเวอร์ชันล่าสุดอยู่เสมอ

ที่มา : securityaffairs