พบช่องโหว่ของ pfSense เวอร์ชั่นต่ำกว่า 2.3.1_1 ลงไปได้รับผลกระทบจากช่องโหว่จาก OS command injection ในขั้นตอนการ Authetication ควรอัพเกรดเป็น pfSense เวอร์ชันล่าสุด 2.3.1_5 หรือลดผลกระทบด้วยการจำกัดการเข้าถึง Firewall GUI โดยการกำหนด Firewall Rule และไม่ให้ผู้ใช้ที่ไม่น่าเชื่อถือมีบัญชีที่มีสิทธิ์การเข้าถึง GUI ด้วย
ที่มา Cxsecuticy
เมื่อวันจันทร์ที่แล้ว Amazon ออกฟีเจอร์ด้านความปลอดภัย 5 รายการ บน Simple Storage Service (S3) เพื่อช่วยให้ลูกค้าสามารถจัดเก็บและจัดการข้อมูลได้อย่างปลอดภัยมากขึ้น
ฟีเจอร์ใหม่นี้จะช่วยให้สามารถจัดการสถานะการเข้ารหัสและสิทธิ์การเข้าถึง S3 buckets ซึ่งประกอบด้วย :
1. Default encryption
สามารถกำหนดให้ Object ทั้งหมดที่อยู่ใน Bucket ถูกเก็บในรูปแบบที่มีการเข้ารหัสจากการติดตั้ง bucket encryption configuration โดยมีทางเลือกที่ใช้สำหรับเข้ารหัสฝั่งเซิร์ฟเวอร์ได้ 3 แบบสำหรับ S3 objects คือ : SSE-S3 (จัดการคีย์โดย S3), SSE-KMS (จัดการคีย์โดย AWS KMS) และ SSE-C (จัดการคีย์โดยผู้ใช้งาน)
2. Permission checks
S3 Console จะมีการแสดง Indicator ของแต่ละ Bucket ที่สามารถถูกเข้าถึงได้จากภายนอก และจะมีการแจ้งเตือนโดยเร็วที่สุด หากพบว่ามีการเปลี่ยนแปลง Bucket Policies และ ACL ที่อาจส่งผลกระทบ
3. Cross-region replication ACL overwrite
ลูกค้า AWS มักใช้เครื่องมือ Cross-Region ของ S3 เพื่อคัดลอก objects และข้อมูลที่มีความสำคัญไปยังบัญชีปลายทางที่เป็นคนละบัญชี กระบวนการนี้จะช่วยคัดลอก ACL และ Tag ที่เชื่อมโยงกับแต่ละ Object ให้ด้วย สำหรับในฟีเจอร์ใหม่นี้ เมื่อมีการ Replicate Object ข้าม Account ผู้ใช้งานสามารถระบุได้ว่า account ที่ย้ายไปให้นั้น จะมีสิทธิ์เต็มใน Object หรือไม่ ซึ่งช่วยให้สามารถจัดการเรื่องความเป็นเจ้าของของ Object เดิมและใหม่ได้
4. Cross-region replication with KMS
ลูกค้าสามารถเลือกคีย์ปลายทางเมื่อตั้งค่า cross-region replication ด้วย AWS Key Management Service (KMS) ดังนั้นระหว่าง Replicate จะมีกระบวนการเข้ารหัสข้อมูลให้ผ่านการเชื่อมต่อโดยใช้ SSL ทำให้เมื่อมาถึงปลายทางแล้วข้อมูลสำคัญจะถูกเข้ารหัสด้วย KMS master key ที่ผู้ใช้ระบุไว้ใน replication configuration
5. Detailed inventory report
การออกรายงานของ S3 จะมีการแสดงสถานะการเข้ารหัสของแต่ละ Object นอกจากนี้ผู้ใช้ยังสามารถขอรับการเข้ารหัส SSE-S3 หรือ SSE-KMS สำหรับรายงานที่ออกได้ด้วย
ที่มา Techrepublic
เมื่อเร็ว ๆ นี้นักวิจัยของ Trustwave ค้นพบช่องโหว่สำคัญในเครื่องพิมพ์ Brother ของบริษัทอิเล็กทรอนิกส์ผู้ผลิตอุปกรณ์ไฟฟ้าของญี่ปุ่น
ช่องโหว่ (CVE-2017-16249) อยู่ในส่วนหน้าเว็บแสดงผลของเครื่องพิมพ์ Brother ที่เรียกว่า Debut(Remote un-authenticated DoS in Debut embedded httpd server in Brother printers) สามารถทำให้เกิด Denial of Service (DoS) ผ่านทางเครื่องพิมพ์ของเหยื่อได้ การโจมตีดำเนินการโดยการส่งคำขอ HTTP POST ที่มีรูปแบบไม่ปกติไปยังเครื่อง เมื่อผู้โจมตีได้รับรหัส 500 error code เว็บเซิร์ฟเวอร์จะแสดงผลว่าไม่สามารถเข้าถึงได้และการพิมพ์ทั้งหมดหยุดทำงาน โดยช่องโหว่ดังกล่าวมีผลต่อเครื่องพิมพ์ Brother ทั้งหมด
ปัจจุบันมีอุปกรณ์ที่มีช่องโหว่กว่า 16,000 รายการ ซึ่งทาง Brother ยังไม่มีการแก้ไขใดๆ แม้ทาง Trustwave จะแจ้งเตือนไปหลายครั้งเกี่ยวกับช่องโหว่ที่สำคัญต่างๆ ทำให้ Trustwave ตัดสินใจเปิดเผยช่องโหว่นี้ออกมา ก่อนหน้านี้เครื่องพิมพ์ HP เองก็มีช่องโหว่ที่ผู้ไม่หวังดีสามารถวางไฟล์ที่เป็นอันตรายบนฮาร์ดไดรฟ์ได้ โดยในเดือนกุมภาพันธ์ปีนี้แฮกเกอร์ได้โจมตีเครื่องพิมพ์มากกว่า 150,000 เครื่องทั่วโลกแล้ว พร้อมทั้งมีการส่งคำเตือนของช่องโหว๋ให้ผู้ใช้งานทราบด้วย
ที่มา Hackread
แพตช์ล่าสุดสำหรับ OpenSSL มาแล้ว
โครงการ OpenSSL ได้มีการประกาศแพตช์ด้านความปลอดภัยล่าสุดสำหรับซอฟต์แวร์ OpenSSL ในวันที่ 2 พฤศจิกายนที่ผ่านมา โดยแพตช์ในรอบนี้นั้นปิดช่องโหว่สองช่องโหว่ที่ระดับความรุนแรงปานกลางและต่ำ โดยมีรายละเอียดของช่องโหว่ดังนี้
ช่องโหว่แรกรหัส CVE-2017-3736 เป็นช่องโหว่ในกระบวนการคำนวณหาค่าตัวเลขที่มีขนาดใหญ่อย่างรวดเร็วซึ่งถูกคิดค้นโดย Peter Montgomery ช่องโหว่นี้ถูกรายงานว่าไม่กระทบต่อกระบวนการสร้างคีย์ในอัลกอริธึมที่อยู่บนพื้นฐานของ Elliptic-curve แต่ส่งผลกระทบ "ในระดับที่น้อยมากและเป็นไปได้ยากมากๆ ที่จะโจมตี" กับ RSA และ DSA และจะส่งผลกระทบในระบบที่ใช้โปรเซสเซอร์ที่มีส่วนเสริม BMI1, BMI2 และ ADX อาทิ Intel Broadwell และ AMD Ryzen เท่านั้น
ช่องโหว่ที่สองรหัส CVE-2017-3735 เป็นช่องโหว่ one-byte buffer overread หากมีการกำหนดค่าในฟิลด์ IPAddressFamily ของ certificate แบบ X.509 ที่ไม่เหมาะสม ซึ่งอาจส่งผลกระทบต่อการแสดงข้อมูลเมื่อมีการเรียก certificate มาดูได้
ทั้งสองช่องโหว่สามารถแพตช์ได้ผ่านการอัพเดตซอฟต์แวร์ โดยสำหรับผู้ใช้งานที่ใช้รุ่น 1.1.0 ให้ทำการอัพดตไปเป็น 1.1.0g และสำหรับผู้ใช้งานที่ใช้รุ่น 1.0.2 ให้ทำการอัพเดตไปเป็น 1.0.2m
ที่มา openssl
การดำเนินการเปลี่ยนแปลง Border Gateway Protocol (BGP) บน Ethernet VPN ทำให้เกิดช่องโหว่ในซอฟต์แวร์ IOE XE
Cisco ได้เปิดเผยการปรับปรุงซอฟต์แวร์สำหรับ IOS XE เพื่อแก้ไขปัญหาการโจมตีจากระยะไกลได้ โดยไม่ต้องพิสูจน์ตัวตน ทำให้เกิดข้อผิดพลาดหรือความเสียหายกับ BGP routing table ส่งผลให้เกิดความไม่เสถียรของเครือข่าย ได้รับรหัสเป็น CVE-2017-12319
Cisco กล่าวว่า IOS XE เวอร์ชันก่อนหน้า 16.3 ที่รองรับการใช้งาน BGP บน Ethernet VPN มีความเสี่ยง ผู้บุกรุกสามารถใช้ประโยชน์จากช่องโหว่นี้ได้โดยการส่งแพคเก็ต BGP ที่สร้างขึ้นมาให้กับอุปกรณ์ที่ได้รับผลกระทบ ทำให้ผู้โจมตีสามารถรีโหลด หรือสร้างความเสียหายต่อ BGP routing table ส่งผลให้เกิดการ DoS ได้
ที่มา : Threatpost
นักวิจัยด้านความปลอดภัยจาก Cisco Talos ตรวจพบการโจมตีโดยการใช้ประโยชน์จาก Google search-engine optimization (SEO) สำหรับการค้นหา Keywords ที่เกี่ยวข้องกับสถาบันการเงิน โดยใช้วิธีการยึดเว็บไซต์ และใช้มาโครสคริปส์ที่เป็นอันตรายในการแพร่กระจาย Zeus Panda banking Trojan เพื่อขโมยข้อมูลส่วนตัวของผู้ใช้งาน
ซึ่งก่อนหน้านี้เคยพบการโจมตีโดยใช้ประโยชน์จาก SEO ในการแพร่กระจายมัลแวร์มาก่อนแล้ว แต่กลุ่มนี้มีการพุ่งเป้าไปยังผู้ใช้งานเฉพาะที่ต้องการค้นหาข้อมูลที่เกี่ยวข้องกับสถาบันการเงิน โดยการใช้ประโยชน์จากผลการจัดอันดับที่แสดงบน Google อย่าง SERP (Search Engine Result Page) เพื่อทำให้ผู้ค้นหาเห็นเว็ปไซต์ที่ต้องการเป็นอันดับแรก โดยเป้าหมายหลักในการโจมตีครั้งนี้จะเป็นลูกค้าในสถาบันการเงินอินเดีย, สวีเดน, ออสเตรเลีย และซาอุดิอาระเบีย นอกจากนี้กลุ่มผู้โจมตีได้ทำการกำหนดเป้าหมายไปยังกลุ่มผู้ใช้งานที่กำลังค้นหารายละเอียดเกี่ยวกับระบบ SWIFT ด้วย
อันดับแรกผู้โจมตีจะทำการยึดเว็ปไซต์จริง และทำการ Optimize เพื่อให้ได้ผลลัพธ์การค้นหาเป็นอันดับแรกจากคำค้นหาที่ต้องการ โดยตัวอย่างของคำค้นหา เช่น
"al rajhi bank working hours during ramadan"
"how many digits in karur vysya bank account number"
"free online books for bank clerk exam"
"how to cancel a cheque commonwealth bank"
"salary slip format in excel with formula free download" เป็นต้น
หากผู้ใช้เข้าถึงเว็บไซต์ที่มีการฝั่ง JavaScript ที่เป็นอันตรายเอาไว้ หน้าเว็บจะทำการ Redirect ไปยังหน้าเพจเพื่อทำการดาวน์โหลดไฟล์เอกสารที่เป็นอันตราย โดยผู้โจมตีจะพยายามหลอกให้ผู้ใช้หลงเชื่อเพื่อเปิดใช้งานมาโครสคริปส์ เมื่อผู้ใช้งานเปิดไฟล์เอกสาร และเปิดใช้งานมาโครสคริปส์ จะทำการดาวน์โหลด Zeus Panda มาติดตั้งบนเครื่อง
ที่มา : Hackread
พบ CoreBot Trojan อีกครั้งหลังจากหายไปสองปี นับตั้งแต่การโจมตีลูกค้าธนาคารออนไลน์ครั้งล่าสุด CoreBot Trojan ถูกพบบ่อยในช่วงหน้าร้อน 2015 หลังจากที่เปลี่ยนเป้าหมายมาโจมตีธนาคาร หลังจากมีการระบาดช่วงสั้นๆ CoreBot Trojan ดูเหมือนว่าจะหายไปก่อนจะกลับมาอีกครั้งในช่วงสัปดาห์ที่ผ่านมา นักวิจัยจาก Deep Instinct ออกมาให้รายละเอียดว่าเวอร์ชันใหม่ของ CoreBot กำลังแพร่กระจายผ่านการ Spam Email เพื่อขโมยข้อมูลของลูกค้า ลูกค้าของ TD, Des-Jardins, RBC, Scotia Bank, Banque National ล้วนเป็นเป้าหมายของการโจมตี หากสามารถเจาะเข้ามาสำเร็จจะทำให้ผู้ที่โจมตีได้ข้อมูลสำคัญๆ ของเหยื่อจากการที่เหยื่อล็อกอินเข้าระบบเว็บไซต์เหล่านั้น CoreBot เวอร์ชันใหม่จะมีการแสดงข้อความปลอมว่าขอบคุณที่จ่ายเงินให้เพื่อทำให้เหยื่อตื่นตระหนก และคิดตัวเองได้เสียเงินไปแล้ว
ลิ้งค์ที่อยู่ในอีเมลหากถูกกดเข้าไปแล้วจะเป็นการสั่งเริ่มกระบวนการดาวน์โหลดไฟล์อันตราย ซึ่งแตกตายกับ CoreBot เวอร์ชันเก่าตรงที่เวอร์ชันเก่าจะมีไฟล์อันตรายดังหล่าวอยู่ในเมลแล้ว เวอร์ชันยังมีเทคนิคใหม่เพิ่มขึ้นมาเพื่อหลบหลีกการตรวจจับโค้ดแปลกปลอมในไฟล์ นักวิจัยให้ข้อมูลเพิ่มเติมว่า command and control server domain ได้มีการเปลี่ยน IP จากการโจมตีครั้งก่อน ในขณะเดียวกัน IP ที่ใช้ในการกระจายเมลครั้งนี้ดูเหมือนว่าจะมาจากประเทศฝรั่งเศษ และประเทศแคนนาดา นักวิจัยยังบอกอีกว่า CoreBot เวอร์ชันนี้มีความคล้ายกับ Banking Malware ตัวอื่นๆ แต่ยังไม่ได้บอกว่าตัวไหน Deep Instinct บอกกับ ZDNet ว่าจากการตรวจสอบโค้ด พบว่าอาจมาจากประเทศจีน ปัจจุบันยังคงมีการวิเคราะห์เกี่ยวกับ CoreBot และลูกค้าธนาคารได้รับคำเตือนให้ระวังข้อความแปลกๆ เกี่ยวกับการทำธุรกรรมใดๆ
ที่มา : ZDNet
ผู้เข้าร่วมแข่งขันในงาน Mobile Pwn2Own competition 2017 ได้รับรางวัลประมาณ $500,000 หลังจากประสบความสำเร็จในการพิสูจน์ช่องโหว่ใน Huawei’s Mate 9 Pro, Apple’s iPhone 7 และ Samsung Galaxy S8 ซึ่งเป็นช่องโหว่ในส่วนของเบราว์เซอร์ , Messaging , การสื่อสารระยะสั้น เช่น การสื่อสารผ่าน NFC , Wi-Fi และ Bluetooth รวมถึง baseband components
ในวันแรกผู้ร่วมแข่งขันได้รับเงินรางวัลจำนวน $350,000 ในการค้นพบช่องโหว่ที่ทำให้สามารถโจมตี Internet Browser บน Galaxy S8 , Safari บน iPhone7 , Baseband บน Mate 9 Pro และ Wi-Fi บน iPhone 7
ในวันที่สอง MWR Labs ได้รับเงินรางวัลจำนวน $25,000 ที่สามารถแฮกแอพพลิเคชันของ Huawei และสามารถเปิดเผยช่องโหว่จำนวน 5 ช่องโหว่ของ Google Chrome บน Mate 9 Pro ได้สำเร็จ
ซึ่งช่องโหว่ดังกล่าวช่วยให้ผู้โจมตีสามารถใช้ช่องโหว่ช่วยให้ผู้โจมตีสามารถหลบหลีกการทำงานของ browser sandbox และ data exfiltration นอกจากนี้ทีม MWR ยังได้เงินรางวัลเพิ่มอีก $25,000 ในการแฮก Internet Browser บน Galaxy S8 หลังจากใช้ประโยชน์จาก 11 ช่องโหว่ จาก 6 แอพที่แตกต่างกัน และทำการฝังโค้ดที่เป็นอันตราย รวมทั้งขโมยข้อมูลสำคัญต่างๆ ได้สำเร็จ
Amat Cama นักวิจัยด้านความปลอดภัยที่ใช้นามแฝงว่า Acez ได้รายงานถึงช่องโหว่ stack-based buffer overflow ใน baseband บน Galaxy S8 ที่ทำให้ผู้โจมตีสามารถฝั่งโค้ดที่เป็นอันตรายลงบนเครื่องได้ จึ
งทำให้เขาได้รับเงินรางวัลจำนวน $50,000
เป็นที่น่าสังเกตว่า ถึงแม้จะมีข้อบกพร่องอยู่ในเบราเซอร์ Google Chrome จำนวนมาก แต่ก็ไม่มีใครสามารถตรวจพบช่องโหว่บน Google’s Pixel ได้เลย อย่างไรก็ตามช่องโหว่ที่ถูกค้นพบได้ถูกรายงานไปยังผู้ผลิตที่ได้รับผลกระทบ และได้กำหนดให้เวลาดำเนินการแก้ไข 90 วัน ก่อนที่จะมีการเผยแพร่ช่องโหว่ดังกล่าวนี้สู่สาธารณะ
ที่มา : Hackread
เมื่อเดือนกันยายนที่ผ่านมา พบว่ามีการโจมตีสถาบันการเงินโดยการใช้ Trojan เหยื่อผู้เคราะห์ร้ายส่วนใหญ่เป็นธนาคารของรัสเซีย แต่ยังพบว่ามีองค์กรที่ถูกโจมตีอยู่ในมาเลเซียและอาร์เมเนียด้วย ผู้โจมตีใช้วิธีการเข้าถึงเครือข่ายภายในธนาคาร จากนั้นจึงทำการแฝงตัวอยู่ในระบบเป็นระยะเวลานาน เพื่อทำการบันทึกวิดีโอเกี่ยวกับกิจกรรมประจำวันบนเครื่องของพนักงาน และศึกษาพฤติกรรมการทำงานต่างๆในธนาคารเป้าหมาย ดูว่ามีการใช้ Software ใดบ้างในระบบ และใช้ข้อมูลที่ได้มานั้นในการขโมยเงินให้มากที่สุด
ลักษณะการแพร่กระจายจะเริ่มจากการเข้าถึงระบบของธนาคาร แล้วใช้ Email ของพนักงานในการส่ง Email Phishing เพื่อทำการขอเปิดบัญชี โดย Email ที่ส่งไปนั้นจะแนบไฟล์รูปแบบ "Microsoft Compiled HTML Help" โดยมีนามสกุลไฟล์คือ .CHM ที่สามารถใส่คำสั่ง JavaScript ทำการ redirect ผู้ใช้ไปที่ URL ภายนอกได้ หลังจากเมื่อเปิดไฟล์ที่แนบมาจะทำการดาวน์โหลดและดำเนินขั้นตอนอื่นๆต่อไป ทั้งนี้ dropper ที่พบ จะเป็น win32 binary ไฟล์ และหน้าที่หลักคือการสื่อสารกับ C&C เพื่อส่ง ID ของเครื่องที่ติด, ดาวน์โหลด และสั่งให้ payload ทำงาน
ที่มา : Securelist
ต่อเนื่องจากข่าวมัลแวร์ที่รันสคริปต์ขุดเหมืองบนบราวเซอร์ ในช่วงสัปดาห์ที่ผ่านมา และล่าสุดที่พบแอพพลิเคชัน
บน Google Play Store ของแอนดรอยด์("Recitiamo Santo Rosario Free" และ "SafetyNet Wireless App") โดยพบครั้งแรกเป็นการติดตั้งบนส่วนหนึ่งของ botnet บนเว็บไซต์ WordPress ที่ถูกแฮ็ก
เนื่องจากปัจจุบันมีผู้คนจำนวนมากบนตลาดการขุดเหมือง Coinhive จึงเป็นตัวเลือกที่ถูกใช้อันดับต้นๆ ของผู้ไม่หวังดี ดังที่เราได้เห็นว่ามีการเปิดตัวบริการที่ชื่อว่า "WhoRunsCoinhive" ออกมา ผู้ใช้งานคอมพิวเตอร์ส่วนใหญ่สามารถติดตั้งและใช้โปรแกรมป้องกันโฆษณาหรือโปรแกรมป้องกันไวรัสที่สามารถบล็อกสคริปส์เหล่านี้ได้ แต่ผู้ใช้งานมือถือส่วนใหญ่ไม่มีการติดตั้งโปรแกรมดังกล่าว Trend Micro ซึ่งได้ค้นพบแอพพลิเคชันสองตัวที่มีสคริปส์การขุดเหมือง Coinhive โดยทั้งสองแอพพลิเคชันจะซ่อนสคริปส์ของ Coinhive อยู่ใน WebView ของเบราว์เซอร์ และจะทำงานเมื่อมีการเปิดใช้งานแอพ โดยปัญหาคือแอพจะไม่มีการร้องขอสิทธิ์ในการทำงาน และการขุดเหมืองที่เกิดขึ้นส่งผลให้อุปกรณ์มือถือร้อนขึ้น, ทำให้อายุการใช้งานแบตเตอรี่ลดลง, ประสิทธิภาพการทำงานของเครื่องลดลง, รวมถึงการสึกหรอโดยทั่วไปของอุปกรณ์มือถือ
นอกเหนือจากแอพพลิเคชันที่เป็นอันตรายแล้ว สัปดาห์ที่ผ่านมาผู้ให้บริการ WordPress WAF เช่น Sucuri และ Wordfence เตือนว่าได้พบการเพิ่มจำนวนของเว็บไซต์ที่ถูกแฮ็กเพื่อใช้ในการขุดเหมืองโดยเฉพาะการใช้สคริปส์จาก Coinhive นอกจากนี้ยังได้ตรวจพบแอพพลิเคชันใน Play Store ที่ชื่อว่า "Car Wallpaper HD: mercedes, ferrari, bmw and audi" อีกตัว โดยจะใช้ cryptocurrency miner ที่ซ่อนอยู่ในไลบารี ซึ่งแตกต่างกับแอพพลิเคชันสองตัวแรกที่กล่าวถึง แอพนี้ไม่ได้ทำงานในเบราว์เซอร์ แต่จะใช้งานไลบรารี CpuMiner ที่สามารถทำงานได้โดยไม่จำเป็นต้องเปิดเบราว์เซอร์ ทาง Microsoft เองก็ได้ออกมาเตือนเกี่ยวกับโดเมน cryptocurrency mining 185 [.] 14 [.] 28 [.] 10 เช่นเดียวกัน
ทั้งนี้แนะนำผู้ใช้งานควรหลีกเลี่ยงแอพพลิเคชั่นที่ไม่น่าเชื่อถือ และหมั่นสังเกตสัญญาณการใช้งานที่ดูผิดปกติ เช่น เครื่องร้อนกว่าปกติหลังการลงแอพพลิเคชั่นใหม่บนเครื่อง หรือแบตเตอรี่ลดลงเร็วกว่าปกติ เป็นต้น
ที่มา : Bleepingcomputer