OpenSSL Project ได้ทำการปล่อยแพทช์ Security Update ใหม่หมายเลข CVE-2015-1793 สำหรับผู้ที่ใช้งาน OpenSSL เพื่ออุดช่องโหว่ความรุนแรงสูงที่ช่วยให้ผู้ไม่ประสงค์ดีสามารถปลอมแปลง Certificate ได้ โดยแฮกเกอร์สามารถเปลี่ยน Certificate ของตนจาก Untrusted Certificate กลายเป็น Trusted Certificate ซึ่งอาจเสี่ยงถูกโจมตีแบบ Man-in-the-middle

ช่องโหว่การปลอม Certificate นี้พบใน OpenSSL เวอร์ชัน 1.0.1 และ 1.0.2 ที่เปิดให้ใช้งานหลังเดือนมิถุนายน 2015 ซึ่งได้แก่ เวอร์ชัน 1.0.1n, 1.0.1o, 1.0.2b และ 1.0.2c สำหรับเวอร์ชัน 0.9.8 และ 1.0.0 นั้นไม่ได้รับผลกระทบต่อช่องโหว่ดังกล่าวแต่อย่างใด อย่างไรก็ตาม ทั้ง 2 เวอร์ชันนี้จะถูกปลดระวาง (End of Support) ในวันที่ 31 ธันวาคม 2015 นี้ จึงแนะนำให้ผู้ใช้งานเตรียมแผนอัพเกรดเป็นเวอร์ชันใหม่โดยเร็ว

OpenSSL Project แนะนำให้ผู้ที่ใช้งานเวอร์ชัน 1.0.1 อัพเกรดเป็น 1.0.1p และผู้ที่ใช้งานเวอร์ชัน 1.0.2 อัพเกรดเป็น 1.0.2d

ที่มา : threat post

Akamai หนึ่งในผู้ให้บริการ Cloud Services และ Content Delivery Network ขนาดใหญ่ที่สุดของโลก ได้ออกมาเตือนภัยของการโจมตี DDoS รูปแบบใหม่ที่ใช้เราท์เตอร์ตามบ้านหรือธุรกิจขนาดเล็ก (SOHO Router) เป็นตัวเร่งปริมาณทราฟฟิค เพื่อโจมตีเป้าหมาย หรือที่เรียกว่า Amplification Attack โดยใช้โปรโตคอลแลกเปลี่ยนข้อมูลเส้นทางเก่าแก่อย่าง RIPv1 ในการเร่งปริมาณทราฟฟิคถึง 130 เท่า

แทนที่จะใช้โปรโตคอล DNS หรือ NTP ทาง Akamai ตรวจพบ DDoS ทราฟฟิคที่ใช้โปรโตคอล RIPv1 ซึ่งคาดว่าแฮกเกอร์ได้ทำการส่ง Request ไปยังกลุ่มเราท์เตอร์ที่ใช้ RIPv1 เพื่อให้เราท์เตอร์เหล่านั้นส่ง Response ซึ่งมีขนาดใหญ่กว่าหลายเท่าไปยังเป้าหมายที่ต้องการโจมตี จากการตรวจสอบ พบว่า Request ทั่วไปจะมีขนาด 24 Bytes แต่ Response จะมีขนาดใหญ่เป็นจำนวนเท่าของ 504 Bytes ซึ่งบางครั้งอาจใหญ่ถึง 10 เท่า (5,040 Bytes) ซึ่งทราฟฟิค DDoS ที่ตรวจจับได้มีค่าเฉลี่ยในการเร่งขนาดถึง 13,000 เปอร์เซ็น จากต้นทุน Request ขนาด 24 Bytes

Akamai ระบุว่า จากการตรวจสอบการโจมตี DDoS ที่ใช้โปรโตคอล RIPv1 นี้ พบว่ามีขนาดใหญ่สุดที่ 12.8 Gbps โดยใช้เราท์เตอร์ประมาณ 500 เครื่องในการรุมโจมตีเป้าหมาย นอกจากนี้ Akamai ยังได้ทำการตรวจสอบอุปกรณ์ที่คาดว่ามีความเสี่ยงที่จะถูกใช้ในการโจมตีรูปแบบดังกล่าว มีปริมาณมากถึง 53,693 เครื่อง ซึ่งส่วนใหญ่เป็นเราท์เตอร์ที่ใช้งานตามบ้านหรือธุรกิจขนาดเล็ก
เพื่อหลีกเลี่ยงการตกเป็นเหยื่อของการโจมตีแบบ RIPv1-based DDoS Attack แนะนำว่าผู้ใช้งานควรจำกัดการเข้าถึงพอร์ท UDP 520 ซึ่งเป็นพอร์ทของโปรโตคอล RIP และสำหรับผู้ที่ใช้เราท์เตอร์ที่ใช้งาน RIPv1 อยู่ แนะนำว่าให้เปลี่ยนไปใช้ RIPv2 แทน

ที่มา : eWEEK

Kevin Beaumont นักวิจัยด้านความปลอดภัยได้ออกมาเปิดเผยช่องโหว่บน OLE Packager (รวมถึง Office 2013 x64 บน Windows 10 x64 ด้วยเช่นกัน) ซึ่งเป็นฟีเจอร์สำคัญของ MS Office ช่วยให้ผู้ใช้งานสามารถฝังไฟล์ต่างๆ ลงบนไฟล์เอกสารได้ เช่น ฝังไฟล์ Excel ลงบน Powerpoint ซึ่งจุดนี้เองทำให้แฮ็คเกอร์สามารถแอบฝังไฟล์มัลแวร์ เช่น .exe หรือ .js ลงบนไฟล์เอกสารได้เช่นเดียวกัน เมื่อผู้ใช้งานเปิดไฟล์เอกสารดังกล่าว มัลแวร์ก็จะรันโดยอัตโนมัติทันทีและซอฟต์แวร์รักษาความปลอดภัยไม่สามารถตรวจจับได้

Beaumont ได้ทำการทดสอบช่องโหว่ดังกล่าวกับโปรแกรมรักษาความปลอดภัยหลากหลายประเภท เช่น MessageLabs ระบบรักษาควาปลอดภัยบนคลาวด์ของ Symantec, Cuckoo Sandbox, Palo Alto WildFire Sandbox และ Malwarebytes Anti-Exploit ผลปรากฏว่าไม่มีโปรแกรมใดที่สามารถตรวจจับไฟล์เอกสารที่แอบฝังมัลแวร์มาได้เลย

นักวิจัยได้แจ้งเรื่องช่องโหว่บน OLE Packager ไปยัง Microsoft เมื่อเดือนมีนาคมที่ผ่านมาพร้อมหลักฐาน POC ต่างๆ แต่ทาง Microsoft ตอบกลับมาว่า ให้ช่วยปิดเรื่องดังกล่าวไว้เป็นความลับ เพราะ Microsoft ไม่ได้มองช่องโหว่นี้เป็นปัญหา และเชื่อว่ามันเป็นฟีเจอร์ของ MS Office อย่างไรก็ตาม ท้ายที่สุด Beaumont ก็ตัดสินใจเปิดเผยปัญหานี้สู่สาธารณะ

ในอดีตทาง Microsoft เองเคยพยายามแก้ไขประเด็นดังกล่าวโดยการทำ Pop-up ข้อความแจ้งเตือนเมื่อผู้ใช้งานเปิดไฟล์ที่มีความเสี่ยง แต่ก็ไม่ได้มีการอัพเดทมานานมากแล้ว นอกจากนี้ ผู้ใช้งานสามารถคลิ๊กผ่านข้อความแจ้งเตือนนั้นเพื่อเปิดไฟล์ได้ทันที ซึ่งคนส่วนใหญ่คงทำแบบนั้นโดยไม่สนใจว่าไฟล์จะมีมัลแวร์แฝงอยู่แต่อย่างใด

ที่มา : SECLISTS

Linus Sarud และ Matthew Bryant นักวิจัยด้านความปลอดภัยได้ค้นพบช่องโหว่ใหญ่บน NoScript ปลั๊กอินยอดนิยมบน Firefox ที่ป้องกันไม่ให้เว็บเบราเซอร์รันโค้ดหรือสคริปต์ต่างๆ เช่น JavaScript, Java, Flash รวมทั้งป้องกันไม่ให้เว็บเบราเซอร์ดาวน์โหลดปลั๊กอินอื่นมาติดตั้งนอกจากปลั๊กอินที่ถูกระบุว่าเชื่อถือได้

Bryant พบช่องโหว่บน Whitelist ของ NoScript ที่ระบุเว็บไซต์ที่อนุญาตให้รันสคริปต์บนเว็บเบราเซอร์ได้ ซึ่ง Whitelist ดังกล่าวจะยินยอมให้ Subdomain ของเว็บไซต์นั้นๆ รันสคริปต์ได้ด้วยเช่นกัน หลังจากตรวจสอบโดเมนที่เชื่อถือได้แล้ว พบว่า หนึ่งในนั้น คือ โดเมน zendcdn.

นักวิจัยด้านความปลอดภัย Sucuri infosec ได้ค้นพบช่องโหว่ Zero - Day บน Magento ส่งผลกระทบทำให้แฮกเกอร์สามารถเข้ามาขโมยข้อมูลบัตรเครดิตของลูกค้าที่ใช้บริการกับพวกร้านค้าออนไลน์ได้ (ซึ่งก่อนหน้านี้ ในช่วงเดือนเมษายนได้มีข่าว พบช่องโหว่ Remote Code Execution (RCE) ซึ่งเป็นช่องโหว่ที่สำคัญ และมีผลกระทบต่อร้านค้าออนไลน์จำนวนมาก)

จากข่าวรายงานว่า แฮกเกอร์มีการใช้สคริปทำการโจมตี เมื่อมีการร้องขอเข้ามาที่เว็บเซิฟร์เวอร์ด้วย Method POST หลังจากนั้นแฮกเกอร์สามารถเข้าถึงข้อมูลการชำระเงิน ก่อนที่จะมีการเก็บข้อมูลให้เป็นไฟล์ภาพที่มีการเข้ารหัสไว้ จึงทำให้แฮกเกอร์สามารถได้ข้อมูลที่สำคัญทางการเงินได้

ที่มา : theregister