ชุดของช่องโหว่ที่ถูกเรียกว่า "NachoVPN" ช่วยให้เซิร์ฟเวอร์ VPN ปลอมสามารถติดตั้งการอัปเดตที่เป็นอันตรายได้ โดยจะเกิดขึ้นเมื่อไคลเอนต์ SSL-VPN ของ Palo Alto และ SonicWall ที่ยังไม่ได้รับการแก้ไขช่องโหว่เชื่อมต่อกับเซิร์ฟเวอร์เหล่านี้ (more…)
“NachoVPN” การโจมตีรูปแบบใหม่ที่ใช้เซิร์ฟเวอร์ VPN ปลอมเพื่อหลอกติดตั้งการอัปเดตที่เป็นอันตราย
Matrix Botnet ใช้ประโยชน์จากช่องโหว่ในอุปกรณ์ IoT ในการโจมตีแบบ DDoS
กลุ่มผู้โจมตีที่ชื่อว่า Matrix ได้ถูกเชื่อมโยงกับการโจมตีแบบ Denial-of-Service (DoS) โดยอาศัยช่องโหว่จากการตั้งค่าที่ผิดพลาดในอุปกรณ์ Internet of Things (IoT) เพื่อนำอุปกรณ์เหล่านั้นมาใช้เป็น botnet เพื่อโจมตีระบบ (more…)
พบช่องโหว่ระดับ Critical ในปลั๊กอินป้องกันสแปมของ WordPress เว็บไซต์กว่า 200,000+ แห่งอาจถูกโจมตี
พบช่องโหว่ด้านความปลอดภัยระดับ Critical สองรายการในปลั๊กอิน Spam protection, Anti-Spam และ FireWall ของ WordPress ที่อาจทำให้ผู้โจมตีที่ไม่ผ่านการยืนยันตัวตน สามารถติดตั้ง และเปิดใช้งานปลั๊กอินที่เป็นอันตรายบนเว็บไซต์ที่มีช่องโหว่ และอาจนำไปสู่การเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกลได้ (more…)
พบ PyPI Python Library “aiocpa” ขโมย Crypto Keys ผ่าน Telegram Bot
ผู้ดูแล Python Package Index (PyPI) ได้ทำการ Quarantined แพ็กเกจ "aiocpa" หลังจากพบว่าการอัปเดตใหม่มีการเพิ่มโค้ดที่เป็นอันตรายสำหรับขโมย private keys ผ่าน Telegram (more…)
ผู้ไม่หวังดีแอบใช้เซิร์ฟเวอร์ที่ตั้งค่าผิดพลาดเพื่อสตรีมถ่ายทอดสดกีฬา
เพื่อให้ทันกับโลกของความปลอดภัยทางไซเบอร์ที่พัฒนาอย่างต่อเนื่อง นักวิจัยจาก Aqua Nautilus ได้ติดตั้ง Honeypot เพื่อจำลองการพัฒนาในสภาพแวดล้อมการใช้งานจริง ในระหว่างการปฏิบัติการค้นหาภัยคุกคามเมื่อไม่นานมานี้ นักวิจัยพบช่องทางการโจมตีใหม่ที่น่าสนใจ โดยผู้ไม่หวังดีจะใช้เซิร์ฟเวอร์ที่มีการตั้งค่าผิดพลาด เพื่อเข้ายึดครองระบบ และดำเนินการสตรีมถ่ายทอดสดเกี่ยวกับการแข่งขันกีฬา โดยการใช้ช่องโหว่ของแอปพลิเคชัน JupyterLab และ Jupyter Notebook ที่ตั้งค่าผิดพลาดเพื่อฝังเครื่องมือจับภาพสตรีมมิง และทำการเผยแพร่เนื้อหาที่ผิดลิขสิทธิ์บนเซิร์ฟเวอร์ ซึ่งเป็นการละเมิดลิขสิทธิ์ของการถ่ายทอดสด
ความพยายามในการค้นหาภัยคุกคามของ Nautilus
เมื่อใช้ Honeypot เพื่อรวบรวมข้อมูลด้านภัยคุกคาม นักวิจัยจะถือว่าเหตุการณ์ทั้งหมดเป็นการโจมตีโดยเจตนา อย่างไรก็ตาม ในความเป็นจริงมีทั้งการสแกนที่เกิดจากเครื่องมือทั่วไป, การกระทำของผู้ที่อยากรู้อยากเห็นโดยไม่มีทักษะ (Script Kiddies) หรือเครื่องมือ และความพยายามโจมตีที่ล้มเหลวซึ่งไม่สามารถพัฒนาไปเป็นการโจมตีเต็มรูปแบบได้ ดังนั้นจึงมีการปรับใช้ระบบอัตโนมัติที่รัดกุม และการเรียนรู้ของเครื่อง Machine Learning เพื่อช่วยแยกระหว่างเหตุการณ์ที่น่าสนใจ และไม่น่าสนใจ อย่างไรก็ตาม บางครั้งอาจมีข้อผิดพลาดเกิดขึ้น และเมื่อเป็นเช่นนั้น นักวิจัยจะใช้วิธี threat hunting เป็นมาตรการชดเชยในการตรวจจับเพิ่มเติม
ในการปฏิบัติการค้นหาภัยคุกคามครั้งล่าสุด นักวิจัยมุ่งเน้นไปที่การวิเคราะห์ทราฟฟิกเครือข่ายขาออก รวมถึงไฟล์ปฏิบัติการ (binaries) ที่ถูก drop และรันภายในในสภาพแวดล้อมแบบคอนเทนเนอร์ เพื่อค้นหาช่องโหว่ด้านความปลอดภัยที่อาจเกิดขึ้น โดย Honeypot พบเหตุการณ์หลายพันรายการต่อวัน ซึ่งถูกบันทึกโดยอัตโนมัติในสภาพแวดล้อมข้อมูลต่าง ๆ สำหรับการจัดเก็บ (Data Lake) และการวิเคราะห์ (Document Database และ Data Warehouse) นักวิจัยใช้ประโยชน์จาก Data Warehouse เพื่อเชื่อมโยงไฟล์ปฏิบัติการที่น่าสงสัยกับเหตุการณ์บนเครือข่าย โดยเปรียบเทียบกับ Signatures เดิมบางส่วน ซึ่งเผยให้เห็นรูปแบบที่แสดงถึงพฤติกรรมที่ผิดปกติ เมื่อสร้างความเชื่อมโยงเหล่านี้ได้แล้ว นักวิจัยจะเจาะลึกลงไปยังเหตุการณ์ และเซสชันที่เกี่ยวข้องกับความผิดปกติที่พบ ทำให้สามารถแยก, วิเคราะห์ และจัดการกับภัยคุกคามด้านความปลอดภัยที่อาจเกิดขึ้นได้แบบเรียลไทม์
นักวิจัยพบเหตุการณ์หลายสิบรายการที่แสดงให้เห็นเครื่องมือที่ไม่มีอันตรายถูก Drop และรันในระบบ ซึ่งเครื่องมือดังกล่าวคือ ffmpeg ซึ่งเป็นซอฟต์แวร์โอเพ่นซอร์สที่ใช้สำหรับการบันทึก, เปลี่ยนแปลง และสตรีมเสียง และวิดีโอ รวมถึงรองรับรูปแบบมัลติมีเดียหลายประเภท และได้รับการใช้งานอย่างแพร่หลายในด้านการประมวลผลวิดีโอ, การบีบอัด และการสตรีมถ่ายทอดสด ซึ่งแพลตฟอร์มด้านข้อมูลภัยคุกคาม เช่น Virus Total ระบุว่าไม่ใช่เครื่องมือที่เป็นอันตราย และไม่ได้ถูกจัดว่าเป็นอันตราย หรือไม่พึงประสงค์ จึงไม่เคยถูกจัดเป็นการโจมตี อย่างน้อยก็จนถึงขณะนี้
รายละเอียดเกี่ยวกับ JupyterLab และ Jupyter Notebooks
JupyterLab และ Jupyter Notebook เป็น interactive environments ที่มีประสิทธิภาพสำหรับการทำงานด้าน Data Science หลายองค์กรใช้เครื่องมือเหล่านี้ในการดำเนินงานข้อมูลประจำวัน แต่ก็มีความเสี่ยงบางประการหากไม่ถูกจัดการอย่างปลอดภัย โดยส่วนใหญ่จะมีผู้ปฏิบัติงานที่อาจขาดความรู้เกี่ยวกับการตั้งค่า ทำให้มีการตั้งค่าที่ผิดพลาด เช่น การเชื่อมต่อเซิร์ฟเวอร์กับอินเทอร์เน็ต โดยเปิดการเข้าถึงโดยไม่มีการยืนยันตัวตน ซึ่งทำให้ผู้ไม่หวังดีสามารถรันโค้ดที่อันตรายได้ นอกจากนี้ การเปิด Jupyter stack ให้เข้าถึงได้จากอินเทอร์เน็ตโดยไม่มีการป้องกันจากไฟร์วอลล์ก็ทำให้เกิดความเสี่ยงต่อการโจมตี การจัดการโทเค็นที่ไม่ถูกต้องก็เป็นอีกปัญหาหนึ่ง เพราะหากโทเค็นถูกเปิดเผย อาจทำให้ผู้ไม่หวังดีสามารถเข้าถึงข้อมูลทั้งหมดได้ จากข้อมูลของ Shodan พบว่าเซิร์ฟเวอร์ Jupyter ประมาณ 15,000 เครื่องเชื่อมต่อกับอินเทอร์เน็ต และประมาณ 150 เครื่อง (1%) สามารถทำให้เกิดการรันโค้ดที่เป็นอันตรายจากระยะไกลได้ การวิเคราะห์ของ Nautilus พบว่า มี Jupyter notebooks ที่ตั้งค่าผิดพลาด รวมถึงเซิร์ฟเวอร์ขององค์กร และ Startup ที่เปิดให้เข้าถึงได้จากภายนอก กำลังถูกโจมตีอยู่
การเรียกใช้งาน Jupyter stack ด้วยการจำกัด IP ที่เข้าถึง, การตรวจสอบสิทธิ์ที่รัดกุม, การใช้ HTTPS และการจัดการโทเค็น สามารถช่วยลดความเสี่ยงเหล่านี้ได้
รายละเอียดเกี่ยวกับการสตรีมถ่ายทอดสดกีฬาที่ผิดลิขสิทธิ์
การสตรีมถ่ายทอดสดกีฬาที่ผิดลิขสิทธิ์เป็นภัยคุกคามที่กำลังเพิ่มสูงขึ้นในอุตสาหกรรมนี้ ซึ่งทำให้รายได้ของลีก, ผู้ถ่ายทอดสด และแพลตฟอร์มที่ถูกลิขสิทธิ์ลดลง ด้วยการเข้าถึงอินเทอร์เน็ตความเร็วสูง และเครื่องมือสตรีมมิงที่สามารถใช้งานได้ง่าย การถ่ายทอดสดที่ไม่ได้รับอนุญาตเหล่านี้จึงแพร่หลาย ซึ่งส่งผลกระทบไม่เพียงแค่ลีกใหญ่ ๆ แต่ยังรวมถึงทีมเล็ก ๆ ที่พึ่งพารายได้จากการรับชมแบบชำระเงิน
เพื่อแก้ไขปัญหานี้ องค์กรกีฬาต่าง ๆ ใช้เทคโนโลยีขั้นสูง เช่น การตรวจจับที่ใช้ปัญญาประดิษฐ์ (AI), การสร้างลายน้ำ (WaterMarking) และการจัดการลิขสิทธิ์ดิจิทัล (DRM) เพื่อติดตาม และหยุดการสตรีมที่ผิดกฎหมายแบบเรียลไทม์ การดำเนินการทางกฎหมาย และความร่วมมือกับรัฐบาลช่วยในการบังคับใช้ลิขสิทธิ์
ขั้นตอนการโจมตี
Honeypot ของ Jupyter Lab และ Jupyter Notebook เปิดเผยทั้งช่องโหว่ และรหัสผ่านที่คาดเดาได้ง่าย ในกรณีนี้ผู้ไม่หวังดีได้ใช้การเข้าถึง Jupyter Lab และ Jupyter Notebook โดยไม่มีการยืนยันตัวตนเพื่อสร้างการเข้าถึงเริ่มต้น และสามารถรันโค้ดที่เป็นอันตรายจากระยะไกลได้
ขั้นตอนแรก ผู้ไม่หวังดีได้ทำการอัปเดตเซิร์ฟเวอร์ จากนั้นดาวน์โหลดเครื่องมือ ffmpeg การดำเนินการนี้เพียงอย่างเดียวไม่สามารถบอกได้ว่าเป็นพฤติกรรมที่เป็นอันตรายสำหรับเครื่องมือด้านความปลอดภัย จากนั้นผู้ไม่หวังดีจะดำเนินการรัน ffmpeg เพื่อจับสัญญาณสตรีมมิงถ่ายทอดสดของการแข่งขันกีฬา และเปลี่ยนเส้นทางไปยังเซิร์ฟเวอร์ของตน
การโจมตีแบบตรงไปตรงมานี้สามารถถูกปล่อยผ่านได้ง่าย แม้ว่าผลกระทบบต่อองค์กรที่เกิดขึ้นในทันทีอาจดูเหมือนเล็กน้อย (แม้ว่าจะส่งผลกระทบอย่างมากต่ออุตสาหกรรมบันเทิง) แต่มันอาจถูกมองข้ามว่าเป็นแค่เรื่องน่ารำคาญเท่านั้น
อย่างไรก็ตาม สิ่งสำคัญที่ต้องจำไว้คือ ผู้ไม่หวังดีสามารถเข้าถึงเซิร์ฟเวอร์ที่มีจุดประสงค์เพื่อการวิเคราะห์ข้อมูล ซึ่งอาจส่งผลกระทบอย่างร้ายแรงต่อการดำเนินงานขององค์กรใด ๆ ความเสี่ยงที่อาจเกิดขึ้นได้แก่ การโจมตีแบบ Denial of Service (DoS), การเปลี่ยนแปลงข้อมูล, การขโมยข้อมูล, ความเสียหายต่อกระบวนการ AI และ ML, การขยายขอบเขตการโจมตีในระบบที่สำคัญมากขึ้น และในกรณีที่เลวร้ายที่สุด อาจส่งผลกระทบทางการเงิน และชื่อเสียงอย่างรุนแรง
วิเคราะห์การโจมตีด้วย Aqua Tracee และ TraceeShark
Tracee ช่วยให้สามารถจับเหตุการณ์ต่าง ๆ บนเซิร์ฟเวอร์ Linux ได้ รวมถึงกิจกรรมบนเครือข่าย, ไฟล์ และการดึงข้อมูลในหน่วยความจำที่น่าสงสัย นักวิจัยรวบรวมเหตุการณ์ และข้อมูลเครือข่ายที่ Tracee สร้างขึ้นให้เป็นไฟล์ .pcapng ที่รองรับ Wireshark เพื่อเริ่มต้นการตรวจสอบ
จากนั้น นักวิจัยอัปโหลดไฟล์ .pcapng ไปยัง Traceeshark ซึ่งเป็นเวอร์ชันดัดแปลงของ Wireshark ที่ออกแบบมาเพื่อการวิเคราะห์โดยเฉพาะ เฟรมเวิร์ก Wireshark ได้รับการปรับปรุงเพื่อรองรับข้อมูลของ Tracee เช่น ประเภทโปรโตคอล, Container ID และ Process ID รวมถึง Parent Process ID เป็นต้น
นักวิจัยพบเหตุการณ์เกิดขึ้นมากกว่า 8,000 รายการ การตรวจสอบทีละรายการอาจใช้เวลานาน และมีความซับซ้อน นักวิจัยจึงใช้ความสามารถด้านการวิเคราะห์ต่าง ๆ เพื่อให้ได้ข้อมูลเชิงลึกเกี่ยวกับการโจมตีนี้อย่างทันท่วงที โดยใช้ตัวเลือกทางสถิติ ทำให้สามารถประเมินปริมาณ Signatures และเหตุการณ์ได้ ซึ่งแสดงให้เห็นว่าเหตุการณ์นี้เป็นเซสชันขนาดเล็กที่มีโอกาสสร้างความเสียหายที่จำกัด อย่างไรก็ตาม นักวิจัยจะดำเนินการวิเคราะห์ต่อเพื่อประเมินสถานการณ์อย่างละเอียด
จนถึงตอนนี้ หลักฐานอาจยังดูไม่น่าสนใจ อย่างไรก็ตาม สถานการณ์เริ่มดูน่าสงสัยเมื่อพิจารณาจาก Process Tree ที่แสดงคำสั่ง ffmpeg จำนวนมาก โดยเฉพาะอย่างยิ่งเมื่อมีรูปแบบของที่อยู่ IP ที่ผิดปกติเข้ามาเกี่ยวข้อง หากคุ้นเคยกับ ffmpeg และการทำงานทั่วไปของมัน อาจจะสังเกตเห็นได้ทันทีว่าพฤติกรรมของเซิร์ฟเวอร์นี้ผิดปกติ หากไม่คุ้นเคย การดำเนินการคำสั่งที่เกี่ยวข้องกับทราฟฟิกหลายครั้งนี้ก็ยังคงเป็นสัญญาณเตือนที่สำคัญ
ด้วยฟิลเตอร์เฉพาะที่เพิ่มเข้าไปใน Traceeshark นักวิจัยสามารถเจาะลึกการวิเคราะห์การโจมตีนี้ได้มากขึ้น โดยใช้ฟิลเตอร์ Container ทำให้สามารถแยกเหตุการณ์ในระดับคอนเทนเนอร์เพื่อดูเฉพาะ Events, Network packets หรือ Signatures ที่ถูกทริกเกอร์ ในกรณีนี้ นักวิจัยจะใช้ฟิลเตอร์ Important ซึ่งถูกตั้งค่าให้เน้นเหตุการณ์ และ Signature ที่สำคัญโดยอ้างอิงจากความเชี่ยวชาญของนักวิจัย
ต่อมา นักวิจัยสังเกตเห็นการดาวน์โหลด ffmpeg (MD5: ecf054bf36972571efa68df489a9e969) จากเว็บไซต์แชร์ไฟล์ (MediaFire) แหล่งดาวน์โหลดนี้เพิ่มความน่าสงสัยขึ้น เนื่องจากไฟล์นี้อาจไม่ใช่เวอร์ชันทางการ หรือเวอร์ชันที่เชื่อถือได้ อาจมีการแก้ไขที่เป็นอันตราย หรือถูกใช้งานในลักษณะที่ไม่ได้รับอนุญาต อย่างไรก็ตาม การตรวจสอบไฟล์ใน Virus Total และ IDA แสดงให้เห็นว่าไฟล์นี้ไม่เป็นอันตราย
Wireshark อนุญาตให้ผู้ใช้ดับเบิลคลิกที่แพ็กเก็ตเพื่อตรวจสอบรายละเอียด และ Traceeshark ขยายฟังก์ชันนี้โดยการแสดงเนื้อหาของ Tracee logs นักวิจัยสามารถสังเกตเห็นคำสั่งที่ถูกรันอย่างละเอียดทันทีที่เครื่องมือ ./ffmpeg ถูกเปิดใช้งาน โดยกำหนดแหล่งสตรีม (-i) เป็น x9pro.
QNAP แก้ไขช่องโหว่ระดับ Critical ในซอฟต์แวร์ NAS และเราเตอร์
QNAP เผยแพร่ประกาศด้านความปลอดภัยในช่วงสุดสัปดาห์ที่ผ่านมา ซึ่งระบุถึงช่องโหว่หลายรายการ รวมถึงช่องโหว่ที่มีความรุนแรงระดับ Critical 3 รายการที่ผู้ใช้งานควรอัปเดตแพทช์โดยเร็วที่สุด
เริ่มต้นด้วย QNAP Notes Station 3 ซึ่งเป็นแอปพลิเคชันสำหรับจดบันทึก และใช้ทำงานร่วมกันในระบบ NAS ของบริษัท โดยมีช่องโหว่ 2 รายการที่ส่งผลกระทบต่อแอปพลิเคชันนี้
CVE-2024-38643 (คะแนน CVSS v4: 9.3 ความรุนแรงระดับ Critical) เป็นช่องโหว่การขาดการตรวจสอบการยืนยันตัวตนในฟังก์ชันที่สำคัญ ซึ่งอาจทำให้ผู้โจมตีจากภายนอกสามารถเข้าถึงระบบได้โดยไม่ได้รับอนุญาต และสามารถเข้าควบคุมระบบบางอย่างได้ การที่ไม่มีระบบการตรวจสอบการยืนยันตัวตนที่เหมาะสมทำให้ผู้โจมตีสามารถใช้ประโยชน์จากช่องโหว่นี้ได้โดยไม่ต้องมีข้อมูล credential
CVE-2024-38645 (คะแนน CVSS v4: 9.4 ความรุนแรงระดับ Critical) เป็นช่องโหว่ Server-side request forgery (SSRF) ที่อาจทำให้ผู้โจมตีจากภายนอกที่มีข้อมูล credentials สำหรับการยืนยันตัวตน สามารถส่ง requests ที่สร้างขึ้นมาเป็นพิเศษเพื่อควบคุมพฤติกรรมของฝั่งเซิร์ฟเวอร์ ซึ่งอาจทำให้ข้อมูลที่สำคัญของแอปพลิเคชันถูกเปิดเผยได้
QNAP ได้แก้ไขช่องโหว่ดังกล่าวใน Notes Station 3 เวอร์ชัน 3.9.7 แล้ว และแนะนำให้ผู้ใช้ทำการอัปเดตเป็นเวอร์ชันดังกล่าว หรือใหม่กว่าเพื่อลดความเสี่ยง
ช่องโหว่อีก 2 รายการที่ระบุในประกาศฉบับเดียวกัน คือ CVE-2024-38644 และ CVE-2024-38646 เป็นช่องโหว่ที่มีความรุนแรงระดับ High (คะแนน CVSS v4: 8.7 และ 8.4) โดยช่องโหว่เหล่านี้เกี่ยวข้องกับการโจมตีแบบ Command Injection และการเข้าถึงข้อมูลโดยไม่ได้รับอนุญาต ซึ่งต้องอาศัยการเข้าถึงในระดับผู้ใช้งานจึงจะสามารถใช้ประโยชน์จากช่องโหว่นี้ได้
ช่องโหว่ใน QuRouter
ช่องโหว่ที่ 3 ระดับ Critical ที่ QNAP แก้ไขคือ CVE-2024-48860 ส่งผลกระทบต่อผลิตภัณฑ์ QuRouter 2.4.x ซึ่งเป็นกลุ่มเราเตอร์ความเร็วสูง และมีความปลอดภัยของ QNAP
ช่องโหว่นี้จัดอยู่ในระดับ "Critical" (คะแนน CVSS v4: 9.5) โดยเป็นช่องโหว่ OS Command Injection ที่อาจทำให้ผู้โจมตีจากภายนอกสามารถรันคำสั่งบนระบบได้
นอกจากนี้ QNAP ยังได้แก้ไขช่องโหว่ command injection ที่มีระดับความรุนแรงต่ำ ซึ่งมีหมายเลข CVE-2024-48861 โดยทั้งสองช่องโหว่ได้รับการแก้ไขแล้วใน QuRouter เวอร์ชัน 2.4.3.106
การแก้ไขอื่น ๆ ของ QNAP
ผลิตภัณฑ์อื่น ๆ ที่ได้รับการแก้ไขช่องโหว่ในช่วงสุดสัปดาห์นี้ ได้แก่ QNAP AI Core (เอนจิน AI), QuLog Center (เครื่องมือจัดการ log), QTS (ระบบปฏิบัติการมาตรฐานสำหรับอุปกรณ์ NAS) และ QuTS Hero (เวอร์ชันขั้นสูงของ QTS)
ช่องโหว่สำคัญที่ได้รับการแก้ไขในผลิตภัณฑ์เหล่านี้ ซึ่งมีคะแนน CVSS v4 อยู่ที่ระหว่าง 7.7 ถึง 8.7 (ความรุนแรงระดับ High)
CVE-2024-38647: เป็นช่องโหว่การเปิดเผยข้อมูล (Information Exposure) ที่อาจทำให้ผู้โจมตีจากภายนอกสามารถเข้าถึงข้อมูลที่สำคัญ และทำให้ความปลอดภัยของระบบถูกโจมตี โดยช่องโหว่นี้ส่งผลกระทบต่อ QNAP AI Core เวอร์ชัน 3.4.x และได้รับการแก้ไขแล้วในเวอร์ชัน 3.4.1 และเวอร์ชันที่ใหม่กว่า
CVE-2024-48862: เป็นช่องโหว่ Link-Following flaw ที่อาจทำให้ผู้โจมตีจากภายนอก สามารถเข้าถึง หรือแก้ไขไฟล์ได้ ช่องโหว่นี้ส่งผลกระทบต่อ QuLog Center เวอร์ชัน 1.7.x และ 1.8.x โดยได้รับการแก้ไขในเวอร์ชัน 1.7.0.831 และ 1.8.0.888
CVE-2024-50396 และ CVE-2024-50397: เป็นช่องโหว่เกี่ยวกับ การจัดการรูปแบบสตริงที่มีการควบคุมจากภายนอก (Improper Handling of Externally Controlled Format Strings) ซึ่งอาจทำให้ผู้โจมตีสามารถเข้าถึงข้อมูลสำคัญ หรือแก้ไขหน่วยความจำของระบบได้ ซึ่งช่องโหว่หมายเลข CVE-2024-50396 สามารถถูกใช้โจมตีจากระยะไกลเพื่อควบคุมหน่วยความจำของระบบได้ ในขณะที่ช่องโหว่ CVE-2024-50397 จำเป็นต้องมีการเข้าถึงในระดับผู้ใช้ก่อนจึงจะสามารถใช้ประโยชน์จากช่องโหว่นี้ โดยช่องโหว่ทั้งสองรายการได้รับการแก้ไขแล้วใน QTS เวอร์ชัน 5.2.1.2930 และ QuTS Hero เวอร์ชัน h5.2.1.2929
QNAP แนะนำให้ลูกค้าทำการติดตั้งแพตซ์อัปเดตโดยเร็วที่สุดเพื่อป้องกันการถูกโจมตีที่อาจเกิดขึ้น
ตามปกติแล้ว อุปกรณ์ QNAP ไม่ควรเชื่อมต่อกับอินเทอร์เน็ตโดยตรง แต่ควรใช้งานผ่าน VPN แทน เพื่อป้องกันการถูกโจมตีจากระยะไกลผ่านช่องโหว่ต่าง ๆ
ที่มา : bleepingcomputer
CISA เรียกร้องให้หน่วยงานต่าง ๆ แก้ไขช่องโหว่ระดับ Critical ใน “Array Networks” ที่กำลังถูกนำไปใช้ในการโจมตี
เมื่อวันจันทร์ที่ผ่านมา CISA ได้เพิ่มช่องโหว่ด้านความปลอดภัยระดับ Critical ที่ได้รับการแก้ไขไปแล้ว ซึ่งส่งผลกระทบต่อ Array Networks AG และ vxAG secure access gateways เข้าไปในรายการ Known Exploited Vulnerabilities (KEV) หลังมีรายงานการโจมตีที่กำลังเกิดขึ้นอยู่ในปัจจุบัน
ช่องโหว่นี้มีหมายเลข CVE-2023-28461 (คะแนน CVSS: 9.8) โดยเป็นช่องโหว่การขาดการตรวจสอบการยืนยันตัวตน ซึ่งอาจถูกโจมตีโดยการเรียกใช้โค้ดจากระยะไกลได้ โดย Array Networks ได้ออกแพตซ์อัปเดตเพื่อแก้ไขช่องโหว่เรียบร้อยแล้วในเวอร์ชัน 9.4.0.484 ตั้งแต่เดือนมีนาคม 2023
Array Networks ระบุว่า "ช่องโหว่การเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกลใน Array AG/vxAG เป็นช่องโหว่ด้านความปลอดภัยบนเว็บที่ทำให้ผู้โจมตีสามารถเข้าถึง filesystem หรือเรียกใช้โค้ดจากระยะไกลบน SSL VPN gateway ได้ โดยใช้ flags attribute ใน HTTP header โดยไม่จำเป็นต้องผ่านการยืนยันตัวตน"
การเพิ่มช่องโหว่นี้ในรายการ KEV catalog เกิดขึ้นไม่นานหลังจากบริษัทด้านความปลอดภัยไซเบอร์ Trend Micro เปิดเผยว่ากลุ่มแฮ็กเกอร์จากจีนที่ชื่อว่า Earth Kasha (หรือที่รู้จักกันในชื่อ MirrorFace) ได้ใช้ประโยชน์จากช่องโหว่ในผลิตภัณฑ์ต่าง ๆ เช่น Array AG (CVE-2023-28461), Proself (CVE-2023-45727) และ Fortinet FortiOS/FortiProxy (CVE-2023-27997) เพื่อเข้าถึงระบบในเบื้องต้น
Earth Kasha มีชื่อเสียงจากการโจมตีองค์กรในญี่ปุ่นอย่างกว้างขวาง อย่างไรก็ตามในช่วงไม่กี่ปีที่ผ่านมาพบว่ากลุ่มนี้ยังได้โจมตีไต้หวัน, อินเดีย และยุโรปอีกด้วย
เมื่อต้นเดือนนี้ ESET ยังได้เปิดเผยแคมเปญของ Earth Kasha ที่มุ่งเป้าหมายไปยังหน่วยงานทางการทูตที่ไม่เปิดเผยชื่อในสหภาพยุโรป เพื่อส่ง backdoor ที่ชื่อว่า ANEL โดยใช้ประโยชน์จากงาน World Expo 2025 ที่มีกำหนดจัดขึ้นในโอซาก้า ประเทศญี่ปุ่น ในเดือนเมษายน 2025
จากการโจมตีที่ยังคงดำเนินอยู่ หน่วยงานของรัฐบาลกลาง (FCEB) ได้รับคำแนะนำให้ดำเนินการอัปเดตแพตช์อุปกรณ์ภายในวันที่ 16 ธันวาคม 2024 เพื่อป้องกันเครือข่ายของตน
VulnCheck ได้ให้ข้อมูลโดยระบุว่า การเปิดเผยข้อมูลนี้เกิดขึ้นในขณะที่กลุ่มแฮ็กเกอร์จีน 15 กลุ่ม จากทั้งหมด 60 กลุ่ม มีความเชื่อมโยงกับการใช้ช่องโหว่ที่ถูกโจมตีบ่อยที่สุด 15 รายการในปี 2023
โดย VulnCheck ระบุว่า พบ hosts ที่เชื่อมต่ออินเทอร์เน็ตมากกว่า 440,000 รายการ ที่มีแนวโน้มอาจตกเป็นเป้าหมายของการโจมตีได้
Patrick Garrity จาก VulnCheck ระบุว่า "องค์กรควรประเมินความเสี่ยงที่เกิดจากช่องโหว่เหล่านี้, เพิ่มความสามารถในการตรวจสอบความเสี่ยงที่อาจเกิดขึ้นกับระบบ, ใช้ประโยชน์จากข้อมูลข่าวสารด้านภัยคุกคาม, รักษามาตรฐานการจัดการแพตช์ที่มีประสิทธิภาพ และดำเนินการควบคุมเพื่อลดความเสี่ยง เช่น ลดการเปิดเผยอุปกรณ์ที่สามารถเข้าถึงได้จากอินเทอร์เน็ตให้น้อยที่สุด"
ที่มา : thehackernews
Meta ลบบัญชีกว่า 2 ล้านบัญชีที่เกี่ยวข้องกับการหลอกลวงแบบ “Pig Butchering”
Meta ประกาศว่าได้ลบบัญชีผู้ใช้ไปแล้วกว่า 2 ล้านบัญชีบนแพลตฟอร์มต่าง ๆ นับตั้งแต่ต้นปี โดยบัญชีเหล่านี้เกี่ยวข้องกับการหลอกลวงแบบ "Pig Butchering" และการหลอกลวงรูปแบบอื่น ๆ
บัญชีเหล่านี้ส่วนใหญ่มาจากประเทศเมียนมา, ลาว, สหรัฐอาหรับเอมิเรตส์, ฟิลิปปินส์ และกัมพูชา ซึ่งเป็นที่รู้จักกันดีว่าเป็นพื้นที่ที่มีการหลอกลวงมากมายที่เรียกว่า "scam slave"
Meta ระบุว่า "ศูนย์กลางอาชญากรรมเหล่านี้หลอกลวงผู้หางานด้วยประกาศรับสมัครงานที่ดูดีเกินจริงบนฟอรัม และแพลตฟอร์มจัดหางาน จากนั้นจะบังคับให้พวกเขาทำงานเป็น online scammers โดยมักมีการข่มขู่ทำร้ายร่างกาย"
ประเภทหลักของการหลอกลวงโดยบัญชีเหล่านี้คือการหลอกลวงแบบ "Pig Butchering" ซึ่งเป็นการหลอกลวงด้านการลงทุนที่สร้างความเสียหายร้ายแรง โดยอาศัยการชักจูงเหยื่อในระยะยาว และการหลอกลวงขั้นสูง
Meta ได้ลบบัญชีเหล่านี้ออกจากระบบของตน และได้ร่วมมือกับหน่วยงานบังคับใช้กฎหมายในประเทศเหล่านั้นเพื่อแบ่งปันข้อมูลข่าวกรอง และขัดขวางการดำเนินการหลอกลวงตั้งแต่ต้นตอ
การหลอกลวงบนโซเชียลมีเดีย
Meta ระบุว่า "กลุ่มอาชญากรรมในภูมิภาคเอเชียแปซิฟิก มักจะใช้การหลอกลวงแบบ Pig Butchering เป็นหลัก และพุ่งเป้าไปที่ผู้ใช้งานจากทั่วโลก"
มีรายงานว่า Meta ได้ต่อสู้กับปัญหาดังกล่าวบนแพลตฟอร์มของตนมานานกว่าสองปีแล้ว โดยพบว่ากลุ่มอาชญากรรมทางไซเบอร์ขยายตัวจากกัมพูชาไปยังประเทศอื่น ๆ เช่น ลาว, เมียนมา และสหรัฐอาหรับเอมิเรตส์
ผู้กระทำความผิดไม่ว่าจะถูกบังคับ หรือสมัครใจ มักจะแสดงตัวเป็นบุคคลโสด หรือเป็นสมาชิกของหน่วยงานรัฐ และบริษัทขนาดใหญ่
พวกเขาจะส่งข้อความไปยังผู้ใช้งานจำนวนมาก ผ่าน DM, SMS และอีเมล โดยหวังว่าบางคนจะตอบกลับ ซึ่งเป็นเทคนิคที่เรียกว่า "spray and pray"
ผู้ที่ติดต่อกลับ จะถูกดึงเข้าสู่กระบวนการหลอกลวงที่นำพวกเขาไปสู่แพลตฟอร์มการลงทุนปลอมที่ดูเหมือนมีความน่าเชื่อถือ และมีการแสดงผลกำไรปลอม แต่ไม่อนุญาตให้ถอนเงิน โดยอาจจะทำเงินได้บ้างในช่วงแรกเพื่อสร้างความไว้วางใจ
แม้จะดูเหมือนว่ามีคนหลงเชื่อการหลอกลวงเหล่านี้ไม่มากนัก แต่ FBI รายงานว่ากลโกงเหล่านี้ได้กลายเป็นแหล่งรายได้มหาศาลสำหรับกลุ่มอาชญากรรม
รายงานอาชญากรรมทางอินเทอร์เน็ตปี 2023 ของ FBI เตือนว่า การหลอกลวงด้านการลงทุนเพิ่มขึ้นถึง 38% โดยมูลค่าความเสียหายเพิ่มจาก 3.31 พันล้านดอลลาร์ในปี 2022 เป็น 4.57 พันล้านดอลลาร์ในปี 2023
สิ่งที่ Meta กำลังดำเนินการเกี่ยวกับปัญหานี้
Meta ระบุว่าได้ใช้มาตรการต่าง ๆ เพื่อพยายามตรวจจับ และหยุดยั้งการหลอกลวงเหล่านี้บนแพลตฟอร์มต่าง ๆ เช่น Facebook, Instagram, WhatsApp และ Messenger ก่อนที่ผู้โจมตีจะมีโอกาสหลอกลวง และทำให้ผู้ใช้งานตกเป็นเหยื่อ
ในประกาศล่าสุดของบริษัท ได้ระบุมาตรการต่าง ๆ ดังนี้
Meta บังคับใช้นโยบายเกี่ยวกับองค์กร และบุคคลอันตราย (Dangerous Organizations and Individuals - DOI) เพื่อแบนกลุ่มหลอกลวง และขัดขวางการทำงานของพวกเขาบนแพลตฟอร์มต่าง ๆ
ใช้ Behavioral และ technical เพื่อระบุ และบล็อกบัญชี รวมไปถึงบล็อกโครงสร้างพื้นฐานที่เกี่ยวข้องกับการหลอกลวง
Meta แลกเปลี่ยนข้อมูลเชิงลึกกับหน่วยงานบังคับใช้กฎหมายทั่วโลกเพื่อขัดขวางการหลอกลวง และจับองค์กรอาชญากรรมมารับผิดชอบ
Meta ร่วมมือกับบริษัทด้านเทคโนโลยี และโครงการต่าง ๆ เช่น Tech Against Scams Coalition เพื่อปรับปรุง cross-platform defenses
เพิ่มฟีเจอร์ป้องกัน เช่น การแจ้งเตือนใน Messenger และ Instagram และในกลุ่มแชท WhatsApp เพื่อช่วยผู้ใช้ระบุ และหลีกเลี่ยงการหลอกลวง
ขอแนะนำให้ผู้ใช้แพลตฟอร์ม Meta เปิดการใช้งาน two-factor authentication บนบัญชีของตน และพิจารณาการใช้ "selfie verification" ในการกู้คืนการเข้าถึงบัญชีที่ถูกขโมย และควรระมัดระวังเมื่อได้รับการติดต่อที่มาจากบุคคลที่ไม่ได้รู้จัก
ระมัดระวังเมื่อถูกขอยืมเงินผ่านทางโซเชียลมีเดีย และแพลตฟอร์มการสื่อสารต่าง ๆ ไม่ว่าจะมาจากบุคคลที่อ้างว่าอยู่ในสถานการณ์ฉุกเฉิน หรือขอให้เข้าร่วมในแผนการลงทุนที่ดูดีเกินกว่าความเป็นจริง
ที่มา : bleepingcomputer
Microsoft กำลังทดสอบการรองรับ Third-party Passkeys บน Windows 11
ปัจจุบัน Microsoft กำลังทดสอบการอัปเดต API ของ WebAuthn ที่จะเพิ่มการรองรับการใช้งานของ third-party passkey สำหรับการยืนยันตัวตนแบบไม่ใช้รหัสผ่านบน Windows 11
โดย Passkeys จะใช้การยืนยันตัวตนแบบ biometric เช่น ลายนิ้วมือ และการจดจำใบหน้า เพื่อเป็นทางเลือกที่ปลอดภัย และสะดวกสบายกว่าการใช้รหัสผ่านแบบดั้งเดิม ซึ่งช่วยลดความเสี่ยงจากการละเมิดข้อมูลอย่างมีนัยสำคัญ
Microsoft ได้ร่วมมือกับผู้ให้บริการข้อมูล credential เช่น 1Password, Bitwarden และอื่น ๆ มาตั้งแต่ต้นเดือนตุลาคม ซึ่งเป็นช่วงเวลาที่บริษัทได้ประกาศเป็นครั้งแรกว่าจะสร้างโมเดลการยืนยันตัวตนแบบปลั๊กอินสำหรับ passkeys ใน Windows
ตามที่บริษัทได้เปิดเผยในวันนี้ ผู้ใช้งานจะสามารถเลือกใช้ผู้ให้บริการ third-party passkey ได้เพิ่มเติม นอกเหนือจากผู้ให้บริการ passkey ที่มีอยู่ของ Windows เพื่อสำหรับการยืนยันตัวตนผ่าน Windows Hello โดยใช้ passkey เดียวกันที่สร้างไว้ในอุปกรณ์มือถือ
ทีม Windows Insider ระบุว่า "เรากำลังปล่อยการอัปเดตสำหรับ WebAuthn APIs เพื่อรองรับโมเดลการยืนยันตัวตนแบบปลั๊กอินสำหรับ passkeys"
"ในอีกไม่กี่เดือนข้างหน้า ผู้ใช้งาน Windows จะสามารถเลือกผู้ให้บริการ third-party เป็นตัวเลือกเพิ่มเติมควบคู่ไปกับผู้ให้บริการ passkey ที่มีอยู่ของ Windows ในขณะที่ผู้ใช้ยังคงรักษาประสบการณ์การใช้งานเดิมไว้ได้"
ข้อความใน WebAuthn flows จะถูกส่งต่อไปยังปลั๊กอิน และการตอบกลับจะถูกส่งกลับไปยังแอปพลิเคชัน WebAuthn client ซึ่งทำให้ปลั๊กอินสามารถสร้าง และยืนยันตัวตนด้วย passkeys เมื่อได้รับ request จากผู้ใช้งาน
การอัปเดตเหล่านี้กำลังเผยแพร่ให้กับผู้ใช้ Windows Insider ใน Beta Channel ได้ใช้งานในวันนี้ โดยจะต้องติดตั้ง Preview Build 22635.4515 (KB5046756) นอกจากนี้ Microsoft ยังขอให้ลูกค้าที่ใช้ฟีเจอร์ใหม่นี้แชร์ความคิดเห็นผ่านแพลตฟอร์ม Feedback Hub ภายใต้หมวดหมู่ Privacy > Passkey
Microsoft ยังได้ปล่อย source code เพื่อช่วยนักพัฒนาสร้างปลั๊กอินของตัวเองเพื่อรองรับแพลตฟอร์ม passkey ของตนเอง
บริษัทได้เข้าร่วมกับ FIDO Alliance และแพลตฟอร์มหลักอื่น ๆ เพื่อสนับสนุนให้ passkeys เป็นวิธีการลงชื่อเข้าใช้แบบ passwordless ตามมาตรฐาน โดยรองรับ Web Authentication (WebAuthn) หรือที่เรียกว่า FIDO credentials
ล่าสุดในเดือนพฤษภาคม Microsoft ได้ปล่อยการรองรับการยืนยันตัวตนด้วย passkey สำหรับบัญชี Microsoft ส่วนบุคคลหลังจากได้เพิ่มตัวจัดการ passkey ในตัว Windows Hello ด้วยการอัปเดตฟีเจอร์ Windows 11 22H2
วันนี้ Microsoft ยังเริ่มปล่อยฟีเจอร์ใหม่ที่ช่วยให้ผู้ใช้สามารถกลับมาทำงานกับไฟล์ OneDrive จากโทรศัพท์ iOS และ Android บน Windows 11 PC ที่ติดตั้ง Windows 11 Beta Preview build ล่าสุดสำหรับ Insiders
ในประกาศที่แยกออกมา บริษัทได้เปิดตัว Microsoft Edge Game Assist (Preview) ซึ่งเป็นเว็บเบราว์เซอร์ในเกมที่ได้รับการปรับแต่งสำหรับการเล่นเกมบน PC ซึ่งจะแสดงอยู่บนหน้าจอเกมใน Game Bar
ที่มา : bleepingcomputer
ตำรวจไทยจับกุม SMS Blaster ที่ใช้ส่งข้อความฟิชชิงผ่าน SMS กว่า 1 ล้านข้อความจากรถตู้
ตำรวจไทยพบรถตู้ และจับกุมคนขับที่ใช้เครื่อง SMS blaster ส่งข้อความฟิชชิงกว่า 100,000 ข้อความต่อชั่วโมงไปยังชาวไทยที่อยู่ในกรุงเทพฯ
อุปกรณ์ SMS blaster มีระยะการส่งข้อความประมาณ 3 กิโลเมตร (10,000 ฟุต) สามารถส่งข้อความได้ในอัตรา 100,000 ข้อความต่อชั่วโมง
ภายในระยะเวลา 3 วัน ผู้ไม่หวังดีส่งข้อความ SMS เกือบ 1 ล้านข้อความไปยังอุปกรณ์มือถือในระยะที่สามารถเข้าถึงได้ โดยข้อความระบุว่า "คะแนน 9,268 ของคุณกำลังจะหมดอายุ! รีบแลกของขวัญของคุณตอนนี้"
ข้อความ SMS ดังกล่าวมีลิงก์ไปยังเว็บไซต์ฟิชชิงชื่อ 'aisthailand' ซึ่งแอบอ้างเป็นผู้ให้บริการโทรศัพท์มือถือรายใหญ่ของประเทศไทย
ผู้ใช้งานที่คลิกลิงก์ฟิชชิงจะถูกนำไปยังหน้าเว็บไซต์ปลอมที่จะขอข้อมูลบัตรเครดิต ซึ่งข้อมูลเหล่านี้จะถูกส่งกลับไปยังผู้ไม่หวังดีเพื่อทำธุรกรรมที่ไม่ได้รับอนุญาตในต่างประเทศ
กลุ่มผู้ไม่หวังดีนี้มีสมาชิกอยู่ในประเทศไทย และต่างประเทศ ซึ่งมีการประสานงานกันผ่านช่องทาง Telegram ส่วนตัว ซึ่งเนื้อหาของข้อความ SMS จะถูกร่วมกันสร้างขึ้นในช่องทางเหล่านี้
ชายชาวจีนวัย 35 ปี ซึ่งขับรถตู้ที่บรรทุกอุปกรณ์ SMS blaster ถูกจับกุม และตำรวจกำลังตามหาสมาชิกกลุ่มคนอื่น ๆ อีกอย่างน้อยสองคน
Khaosod English รายงานว่า AIS ได้ดำเนินการช่วยเหลือตำรวจในการระบุตำแหน่งของอุปกรณ์ SMS blaster แต่ทาง AIS ยังไม่ได้ออกมาเปิดเผยรายละเอียดเกี่ยวกับวิธีการที่ใช้ เพื่อป้องกันไม่ให้ผู้ส่งข้อความฟิชชิ่งปรับเปลี่ยนกลยุทธ์ของพวกเขา
แม้ว่าข้อความฟิชชิงเหล่านี้ส่วนใหญ่มีอัตราความสำเร็จที่ค่อนข้างต่ำ เนื่องจากความตระหนักรู้ที่เพิ่มขึ้นของประชาชน แต่เมื่อถูกส่งในอัตราที่สูง และในพื้นที่ที่มีประชากรหนาแน่นก็สามารถสร้างผลกำไรอย่างมีนัยสำคัญให้กับผู้ไม่หวังดีได้
ที่มา : bleepingcomputer