พบกล้องวงจรปิดหลายๆแห่งในประเทศญี่ปุ่นถูกเจาะระบบ และทำการเปลี่ยนหน้าจอแสดงผล !!!
เมื่อวันที่ 6 พฤษภาคมที่ผ่านมา สื่อท้องถิ่นในประเทศญี่ปุ่นได้รายงานว่ากล้องวงจรปิดในหลายๆแห่งของประเทศญี่ปุ่น ซึ่งรวมถึงหน่วยงานราชการหลายๆแห่งถูกเจาะระบบ และเพิ่มข้อความว่า "I'm Hacked.
เมื่อช่วงต้นสัปดาห์ที่แล้ว นักวิจัยด้านความปลอดภัยได้เผยแพร่รายละเอียดของช่องโหว่บนเราเตอร์จำนวนสองช่องโหว่ผ่านบล็อกของ VPNMentor ช่องโหว่ดังกล่าวมีผลกระทบต่อเราเตอร์ GPON-capable มากกว่า 1 ล้านเครื่องที่ผลิตโดยบริษัทสัญชาติเกาหลีใต้ชื่อว่า Dasan และพบว่ากำลังถูกโจมตีผ่าน botnet
ช่องโหว่แรกทำให้ผู้โจมตีสามารถหลีกเลี่ยงกลไกการพิสูจน์ตัวตนเพียงแค่ใส่สตริง "?images" ต่อท้าย URL บนหน้าเว็บของอุปกรณ์ (CVE-2018-10561) เพื่อเข้าถึงการตั้งค่าของอุปกรณ์เราเตอร์ได้ และอีกหนึ่งช่องโหว่ทำให้ผู้โจมตีสามารถฝังโค้ดที่เป็นอันตรายจากระยะไกลลงบนอุปกรณ์ (CVE-2018-10562)
นักวิจัยกล่าวว่าช่องโหว่ดังกล่าวส่งผลกระทบกับเราเตอร์ที่ใช้งานออนไลน์กว่าหนึ่งล้านเครื่อง ส่วนใหญ่ตั้งอยู่ในเขตขนาดใหญ่ในเม็กซิโก, คาซัคสถาน และเวียดนาม
ที่มา : Bleepingcomputer
ทวิตเตอร์ประกาศแจ้งเตือนผู้ใช้งานกว่า 300 ล้านคนวันนี้ให้ดำเนินการเปลี่ยนรหัสของบัญชีผู้ใช้งานหลังจากมีการค้นพบการรั่วไหลของรหัสผ่านภายในระบบภายในเอง
ที่มาของการรั่วไหลของรหัสผ่านดังกล่าวนั้นเกิดขึ้นจากการที่ระบบ logging หรือระบบบันทึกการทำงานของแอปพลิเคชันนั้นมีการบันทึกและแสดงรหัสผ่านที่ผู้ใช้งานส่งเข้ามายังระบบก่อนที่จะถูกนำไปผ่านกระบวนการป้องกันและเข้าสู่ฐานข้อมูล ทำให้รหัสผ่านมีโอกาสที่รั่วไหลในสภาพที่ยังไม่มีการป้องกันได้
ทวิตเตอร์ค้นพบปัญหานี้ด้วยตนเอง และได้นำฟังก์ชันการทำงานที่มีปัญหานั้นออกแล้ว
Recommendation แม้ว่าจะการรั่วไหลของข้อมูลจะอยู่ในขอบเขตที่จำกัด แต่ทวิตเตอร์ก็แนะนำให้ผู้ใช้งานทุกคนทำการเปลี่ยนรหัสผ่านของบัญชีทวิตเตอร์รวมไปถึงตั้งค่าความปลอดภัยเพิ่มเติมโดยการเปิดใช้งานฟีเจอร์ Two Factor Authentication ควบคู่ไปด้วยเพื่อความปลอดภัยสูงสุด
ที่มา : Blog.
นักวิจัยด้านความปลอดภัย Wolfgang Ettlinger จาก SEC Consult Vulnerability Lab ได้มีการเปิดเผยถึงการค้นพบช่องโหว่ล่าสุดรหัส CVE-2018-2879 ในซอฟต์แวร์ Oracle Access Manager (OAM) ซึ่งทำให้ผู้โจมตีสามารถข้ามผ่านระบบการตรวจสอบตัวตน รวมไปถึงยึดบัญชีของผู้ใช้งานอื่นๆ ได้
Oracle Access Manager (OAM) เป็นซอฟต์แวร์จากค่าย Oracle ซึ่งมีหน้าที่ในการช่วยจัดการกระบวนการพิสูจน์และยืนยันตัวตนในรูปแบบของ Single Sign-On ในหลายรูปแบบอุปกรณ์
สำหรับช่องโหว่ที่มีการค้นพบนั้น ที่มาที่แท้จริงของช่องโหว่มาจากปัญหาในการทำ Padding อย่างไม่เหมาะสมเมื่อมีการเข้ารหัสข้อมูลซึ่งนำไปสู่การโจมตีที่เรียกว่า Padding Oracle ได้ การทำ Padding Oracle จะทำให้กระบวกการเข้ารหัสที่มีอยู่นั้นอ่อนแอลง และนำไปสู่การเข้าถึงและแก้ไขข้อมูลที่ความอ่อนไหวสูงได้
Recommendation ช่องโหว่ดังกล่าวถูกค้นพบใน OAM รุ่น 11.1.2.3.0 และ 12.2.1.3.0 รวมไปถึงเวอร์ชันก่อนหน้าทั้งหมด ในขณะนี้ Oracle ได้มีการประกาศแพตช์สำหรับช่องโหว่นี้ออกมาแล้วในซอฟต์แวร์รุ่นล่าสุด แนะนำให้ผู้ดูแลระบบทำการอัปเดตซอฟต์แวร์เป็นเวอร์ชันล่าสุดโดยด่วน
ที่มา : Theregister
ผู้เชี่ยวชาญด้านความปลอดภัยจาก Bitdefender "Marius Tivadar" ได้มีการเผยแพร่โค้ดสำหรับโจมตีช่องโหว่ซึ่งทำให้เกิดการจอฟ้า (Bluescreen of Death - BSoD) หลังจากที่ไมโครซอฟต์ปฏิเสธที่จะแก้ไขช่องโหว่ดังกล่าว โดยช่องโหว่นี้นั้นสามารถถูกโจมตีได้แม้ระบบที่มีช่องโหว่นั้นจะถูกล็อคอยู่
โค้ดสำหรับโจมตีช่องโหว่นั้นอยู่ในลักษณะของ NTFS image ที่สามารถถูกใส่ไว้ในไดร์ฟ USB ได้ เมื่อไดร์ฟ USB ที่มี NTFS image ดังกล่าวถูกเชื่อมต่อกับระบบก็จะส่งผลให้ระบบทำงานล้มเหลวและเกิดอาการจอฟ้าขึ้นมาทันที Tivadar กล่าวเพิ่มเติมว่าแม้จะมีการปิดฟังก์ชัน Autoplay เพื่อป้องกันการเปิดไฟล์ที่มีช่องโหว่โดยอัตโนมัติ แต่หากมีพฤติกรรมใดๆ ที่พยายามจะยุ่งเกี่ยวกับไฟล์นั้น เช่น การสแกนไฟล์ของ Windows Defender ช่องโหว่ดังกล่าวก็จะถูกเริ่มต้นการทำงานได้เช่นเดียวกัน
ไมโครซอฟต์ปฏิเสธที่จะแก้ไขช่องโหว่ดังกล่าวด้วยเหตุผลที่ว่าช่องโหว่ดังกล่าวไม่ถือเป็นช่องโหว่ด้านความปลอดภัย
สำหรับผู้ใช้งานทั่วไป การป้องกันไม่ให้มีการใช้งานไดร์ฟ USB จนกว่าจะได้รับอนุญาตเป็นรายอุปกรณ์จากผู้ใช้งานเองก็เป็นวิธีการหนึ่งที่สามารถช่วยป้องกันการโจมตีในลักษณะนี้ได้
ที่มา : bleepingcomputer
ธนาคารสัญชาติสหรัฐฯ SunTrust ได้เปิดเผยความร่วมมือกับหน่วยงานทางด้านกฎหมายหลังจากค้นพบว่าอดีตพนักงานของธนาคารนั้นได้มีการขโมยข้อมูลของลูกค้ากว่า 1.5 รายการออกไปจากระบบของธนาคาร อีกทั้งอาจมีการแชร์ข้อมูลดังกล่าวกับอาชญากรอีกด้วย
ข้อมูลที่ถูกนำออกไปไหนประกอบไปด้วยชื่อของลูกค้า, ที่อยู่, หมายเลขโทรศัพท์และจำนวนเงินคงเหลือในบางบัญชี SunTrust ยืนยันว่าข้อมูลดังกล่าวนั้นไม่มีส่วนที่เป็นข้อมูลความลับ อาทิ รหัสผ่าน, หมายเลขรหัสประจำสังคม, หมายเลขบัญชีและข้อมูลในลักษณะอื่นๆ ออกไปด้วย
ในขณะนี้ยังไม่มีรายละเอียดจากธนาคารว่าผู้ประสงค์ร้ายซึ่งเป็นอดีตพนักงานนั้นนำข้อมูลออกไปได้อย่างไร ในขณะนี้ทางธนาคารได้ประกาศและแจ้งเตือนไปยังลูกค้าที่ได้รับผลกระทบแล้ว พร้อมทั้งมีการเปิดให้ใช้บริการปกป้องและตรวจสอบการใช้งานเครดิตเพื่อตรวจสอบการใช้ข้อมูลที่ไม่พึงประสงค์ด้วย
ที่มา : scmagazine
แจ้งเตือนช่องโหว่ iOS Trustjacking ยึดอุปกรณ์ได้จากระยะไกล
นักวิจัยด้านความปลอดภัยจาก Symantec ได้มีการเปิดเผยช่องโหว่สำหรับอุปกรณ์ iOS ล่าสุดภายใต้ชื่อ "Trustjacking" ซึ่งส่งผลให้ผู้โจมตีสามารถควบคุมและยึดครองอุปกรณ์ได้จากระยะไกลโดยอาศัยการเชื่อมต่อที่มีอยู่ก่อนแล้วของอุปกรณ์กับอุปกรณ์อื่นๆ
ที่มาที่แท้จริงของปัญหานี้มาจากฟีเจอร์ iTunes Wi-Fi Sync ซึ่งอนุญาตให้คอมพิวเตอร์สามารถควบคุมอุปกรณ์ iOS ได้ผ่านทั้งทางสายและทาง Wi-Fi ผู้โจมตีจะอาศัยข้อเท็จจริงที่อุปกรณ์ iOS จะ "เชื่อถือ" คอมพิวเตอร์ในการสั่งผ่าน iTunes API เพื่อแอบถ่ายภาพหน้าจอ ลงแอป หรือบังคับให้ทำ remote backup เพื่อขโมยข้อมูลได้ และแม้ว่าผู้ใช้งานจะไม่เคยเชื่อมต่อกับคอมพิวเตอร์ที่น่าสงสัยเลย ผู้โจมตีก็สามารถหลอกให้ผู้ใช้งานทำการเชื่อมต่อเอาไว้ด้วยวิธีการวิศวกรรมทางสังคมและใช้การเชื่อมต่อดังกล่าวเพื่อควบคุมได้เช่นเดียวกันตราบเท่าที่ยังอยู่ในเครือข่ายเดียวกัน
แอปเปิลได้ให้คำแนะนำในการป้องกันเบื้องต้นคือ ผู้ใช้ควรมีการตั้งค่า Passcode ซึ่งจะบังคับให้ต้องกรอกทุกครั้งเมื่อมีการเชื่อมต่อกับอุปกรณ์ใดๆ รวมไปถึงล้างการตั้งค่าคอมพิวเตอร์ใดๆ ที่อุปกรณ์ iOS เคยเชื่อถือผ่านทาง Settings > General > Reset > Reset Location & Privacy
ที่มา:bleepingcomputer
สำหรับผู้ใช้งานทั่วไป ให้ทำการตรวจสอบการดำเนินการเพื่อป้องกันการโจมตีดังนี้
- ในกรณีที่ผู้ใช้งานมีการใช้ Drupal 8 ให้ทำการดาวโหลดไปเป็น Drupal 8.5.2 ถึง 8.4.7
- สำหรับ Drupal 7.x ที่ใช้งาน CKEditor ในเวอร์ชัน 7.x-1.18 จาก CDN โดยตรงจะไม่ได้รับผลกระทบจากช่องโหว่นี้ อย่างไรก็ตามหากมีการติดตั้งไลบรารีจากช่องทางอื่น และ CKEditor ที่ติดตั้งเองนั้นอยู่ในช่องรุ่น 4.5.11 - 4.9.1 ให้ทำการอัปเดตไปเป็น CKEdit 4.9.2 โดยทันที
Recommendation Drupal ออกประกาศเตือนช่องโหว่ XSS ความรุนแรงระดับ "เกือบ" วิกฤติ
Drupal ได้มีการประกาศแพตช์ด้านความปลอดภัยรหัส SA-CORE-2018-003 ซึ่งเป็นช่องโหว่ XSS ในไลบรารี CKEditor ที่ความรุนแรงระดับสูง (moderately critical) ช่องโหว่ XSS สามารถช่วยให้ผู้โจมตีเข้าถึงข้อมูลในการยืนยันตัวตนและปลอมแปลงเป็นผู้ใช้งานอื่นได้
ที่มา:drupal
บริการ LocalBox ทำข้อมูลรั่ว กระทบผู้ใช้งาน Facebook, LinkedIn และ Twitter กว่า 48 ล้านคน
บริการ LocalBox ซึ่งเป็นบริการจัดเก็บข้อมูลตามที่สาธารณะเพื่อทำการวิเคราะห์และวิจัยเฉพาะทางนั้นได้มีการเปิดการเข้าถึงบริการจัดเก็บข้อมูล S3 ซึ่งเป็นผลิตภัณฑ์ในเครือ AWS เอาไว้ โดยภายในมีการจัดเก็บข้อมูลของผู้ใช้งานกว่า 48 ล้านคน ซึ่งโดยมากนั้นมีที่มาจาก Facebook, LinkedIn และ Twitter
จากการเปิดเผยของนักวิจัยด้านความปลอดภัยจาก UpGuard ข้อมูลใน bucket ดังกล่าวนั้นมีขนาด (ที่ถูกบีบอัดแล้ว) ทั้งหมด 151.3 GB หรือ 1.2 TB เมื่อคลายการบีบอัดมาแล้ว ประกอบด้วยข้อมูล อาทิ ชื่อ-นามสกุล, ที่อยู่จริง, วันเกิด, หมายเลขไอพีแอดเดรสและอีเมล โดยที่มาของข้อมูลทั้งหมดนั้นมาจากการดึงโดยข้อมูลโดยตรงจากโปรไฟล์ที่สามารถเข้าถึงได้โดยสาธารณะ
หลังจากการเปิดเผยดังกล่าว LocalBox กล่าวหา UpGuard ว่าตั้งใจ "แฮก" เข้าไปดูข้อมูล และกล่าวว่าข้อมูลดังกล่าวถูกใช้เพื่อการทดสอบเท่านั้น ก่อนจะทำการปิดการเข้าถึงไป
ที่มา:bleepingcomputer
Cisco ประกาศแพตช์ช่องโหว่ครั้งใหญ่ ปิดช่อง WebEx รันโค้ดได้จากระยะไกล
นักวิจัยด้านความปลอดภัย Alexandros Zacharis จาก ENISA ได้แจ้งเตือนและประกาศการค้นพบช่องโหว่ระดับวิกฤติในซอฟต์แวร์ Cisco WebEx หลังจากค้นพบช่องโหว่ที่ทำให้ผู้โจมตีสามารถอัปโหลดไฟล์แฟลชที่เป็นอันตรายซึ่งจะทำให้เกิดการรันโค้ดที่เป็นอันตรายได้
แม้ว่าช่องโหว่นี้จะยังไม่มีรายงานถึงการใช้งานในการโจมตีจริง แต่ก็เป็นช่องโหว่ที่ผู้ใช้งานควรทำการแพตช์เป็นอย่างสูงเนื่องจากความรุนแรงของช่องโหว่นี้นั้นสูงถึง 9 เต็ม 10 ะแนนจากมาตรฐาน CVSS ซึ่งวิธีการลดผลกระทบนี้นั้นไม่สามารถดำเนินการด้วยวิธีการอื่นได้นอกจากการแพตช์ โดยเวอร์ชันที่มีการแพตช์แล้วจะอยู่ในรุ่น T32.10
นอกเหนือจากแพตช์ของ WebEx แล้ว Cisco ยังได้มีการประกาศแพตช์ให้กับอีกหลายซอฟต์แวร์ในเครือ เช่น ช่องโหว่ใน Unified Computing System (UCS) แนะนำให้ตรวจสอบกับ Cisco Security Advisory และทำการอัปเดตโดยด่วน
ที่มา:theregister