ผู้ไม่หวังดีกำลังใช้การ์ดเชิญงานแต่งงานปลอม เพื่อมุ่งเป้าไปที่ผู้ใช้งานในมาเลเซีย และบรูไน เพื่อแพร่กระจายมัลแวร์ Android ตัวใหม่ชื่อ 'Tria'

(more…)

CISA (Cybersecurity and Infrastructure Security Agency) ยืนยันว่าเครื่องมอนิเตอร์ผู้ป่วย Contec CMS8000 ซึ่งผลิตโดยบริษัทจากประเทศจีน และ Epsimed MN-120 ซึ่งเป็นเครื่องมอนิเตอร์ลักษณะเดียวกัน แต่มีการเปลี่ยนชื่อ มีการส่งข้อมูลของผู้ป่วยไปยังที่อยู่ IP ที่ถูกกำหนดล่วงหน้า และมี backdoor ที่สามารถใช้ในการดาวน์โหลด และดำเนินการไฟล์ที่ไม่ได้รับการตรวจสอบ
(more…)

บริษัทยักษ์ใหญ่ด้านประกันภัย Globe Life ได้เสร็จสิ้นการสอบสวนเหตุการณ์ข้อมูลรั่วไหลที่เกิดขึ้นเมื่อเดือนมิถุนายนที่ผ่านมา และระบุว่าเหตุการณ์ดังกล่าวอาจส่งผลกระทบต่อผู้ใช้เพิ่มเติมอีก 850,000 ราย
(more…)

Tata Technologies Ltd. จำเป็นต้องระงับบริการไอทีบางส่วนหลังจากเผชิญกับการโจมตีด้วยแรนซัมแวร์ที่ส่งผลกระทบต่อเครือข่ายของบริษัท
(more…)

กลุ่มแฮ็กเกอร์ที่ได้รับการสนับสนุนจากรัฐหลายกลุ่ม กำลังทดลองใช้ Gemini ที่ขับเคลื่อนด้วย AI จาก Google เพื่อเพิ่มประสิทธิภาพการดำเนินการ และทำการวิเคราะห์เกี่ยวกับโครงสร้างพื้นฐานที่อาจใช้ในการโจมตี หรือสอดแนมเป้าหมาย
(more…)

Python Package Index (PyPI) ได้ประกาศเปิดตัวระบบใหม่ชื่อ 'Project Archival' ซึ่งช่วยให้ผู้เผยแพร่สามารถ archive โปรเจกต์ของตนได้แบบถาวร เพื่อเป็นการแจ้งให้ผู้ใช้ทราบว่าจะไม่มีการอัปเดตเพิ่มเติม

(more…)

นักวิจัยจาก Sekoia.io รายงานในสัปดาห์นี้ว่า มีหน้าเว็บปลอมเกือบ 1,000 หน้า ของ Reddit และ WeTransfer ที่ถูกใช้ในการแพร่กระจายมัลแวร์ Lumma Stealer (more…)

RealHome theme และปลั๊กอิน Easy Real Estate สำหรับ WordPress มีช่องโหว่ระดับ Critical สองรายการที่สามารถทำให้ผู้ใช้งานที่ไม่ได้ผ่านการยืนยันตัวตนสามารถเข้าถึงสิทธิ์ผู้ดูแลระบบได้

แม้ว่าช่องโหว่ทั้งสองรายการนี้จะถูกค้นพบในเดือนกันยายน 2024 โดย Patchstack และมีความพยายามหลายครั้งในการติดต่อผู้พัฒนา (InspiryThemes) แต่นักวิจัยระบุว่ายังไม่ได้รับการตอบกลับใด ๆ จากผู้พัฒนา

นอกจากนี้ Patchstack ยังระบุว่า ผู้พัฒนาได้ปล่อยเวอร์ชันใหม่มาแล้วสามครั้งตั้งแต่เดือนกันยายน แต่ไม่มีการแก้ไขช่องโหว่ด้านความปลอดภัยระดับ Critical เหล่านี้ ดังนั้นช่องโหว่ดังกล่าวจึงยังคงไม่ได้รับการแก้ไข และสามารถถูกโจมตีได้ต่อไป

RealHome theme และปลั๊กอิน Easy Real Estate ถูกออกแบบมาสำหรับเว็บไซต์อสังหาริมทรัพย์ โดยข้อมูลจาก Envanto Market ระบุว่า RealHome theme ถูกใช้งานในเว็บไซต์กว่า 32,600 แห่ง

ช่องโหว่แรก ซึ่งส่งผลกระทบต่อ RealHome theme เป็นช่องโหว่การยกระดับสิทธิ์โดยไม่ต้องผ่านการยืนยันตัวตน ที่มีหมายเลข CVE-2024-32444 (คะแนน CVSS: 9.8)

Theme ดังกล่าวอนุญาตให้ผู้ใช้งานสามารถลงทะเบียนบัญชีใหม่ได้ผ่านฟังก์ชัน inspiry_ajax_register แต่ไม่ได้ตรวจสอบการ authorization อย่างถูกต้อง หรือไม่มีการตรวจสอบเลย

หากเปิดใช้งานการลงทะเบียนบนเว็บไซต์ ผู้โจมตีสามารถระบุ role ของตนเองให้เป็น "ผู้ดูแลระบบ" ได้ โดยการส่ง HTTP request ที่ถูกสร้างขึ้นมาเป็นพิเศษไปยังฟังก์ชันการลงทะเบียน ซึ่งเป็นการ bypass การตรวจสอบความปลอดภัยโดยพื้นฐาน

เมื่อผู้โจมตีลงทะเบียนเป็นผู้ดูแลระบบได้สำเร็จ พวกเขาจะสามารถควบคุมเว็บไซต์ WordPress ได้อย่างสมบูรณ์ ซึ่งรวมถึงการแก้ไขเนื้อหา, การฝังสคริปต์ และการเข้าถึงข้อมูลผู้ใช้งาน หรือข้อมูลสำคัญอื่น ๆ

ส่วนช่องโหว่ที่ส่งผลกระทบต่อปลั๊กอิน Easy Real Estate เป็นช่องโหว่การยกระดับสิทธิ์โดยไม่ต้องผ่านการยืนยันตัวตน ผ่านฟีเจอร์ Social Login ซึ่งมีหมายเลข CVE-2024-32555 (คะแนน CVSS: 9.8)

ช่องโหว่นี้เกิดจากฟีเจอร์ Social Login ที่อนุญาตให้ผู้ใช้งานเข้าสู่ระบบด้วยที่อยู่อีเมลของตน โดยไม่มีการตรวจสอบว่าอีเมลนั้นเป็นของผู้ที่ส่ง request จริงหรือไม่

ผลลัพธ์คือ หากผู้โจมตีทราบที่อยู่อีเมลของผู้ดูแลระบบ พวกเขาสามารถเข้าสู่ระบบได้โดยไม่จำเป็นต้องใช้รหัสผ่าน ผลกระทบจากการโจมตีนี้คล้ายคลึงกับช่องโหว่ CVE-2024-32444

ข้อแนะนำในการลดความเสี่ยง

เนื่องจากทาง InspiryThemes ยังไม่ได้ปล่อยแพตช์เพื่อแก้ไขช่องโหว่ เจ้าของเว็บไซต์ และผู้ดูแลระบบที่ใช้งาน Theme หรือปลั๊กอินดังกล่าวควรปิดการใช้งานทันที

การปิดการลงทะเบียนผู้ใช้งานบนเว็บไซต์ที่ได้รับผลกระทบจะช่วยป้องกันการสร้างบัญชีโดยไม่ได้รับอนุญาต ซึ่งจะลดโอกาสที่ช่องโหว่จะถูกใช้งาน

เนื่องจากปัญหาช่องโหว่ในปลั๊กอิน และ Theme ทั้งสองรายการนี้ได้รับการเปิดเผยออกสู่สาธารณะแล้ว ผู้ไม่หวังดีอาจเริ่มสำรวจความเป็นไปได้ และสแกนหาเว็บไซต์ที่มีช่องโหว่ ดังนั้นการตอบสนองอย่างรวดเร็วเพื่อป้องกันภัยคุกคามจึงมีความสำคัญอย่างยิ่ง

ที่มา : bleepingcomputer.

แฮ็กเกอร์กำลังใช้ Google Ads เพื่อแพร่กระจายมัลแวร์ โดยใช้เว็บไซต์ปลอมของ Homebrew ในการโจมตีอุปกรณ์ Mac และ Linux ด้วยการใช้มัลแวร์ประเภท Infostealer ที่ถูกออกแบบมาเพื่อขโมยข้อมูล เช่น ข้อมูล credentials, ข้อมูลบนเบราว์เซอร์ และกระเป๋าเงินดิจิทัลของเหยื่อ

แคมเปญโฆษณาอันตรายบน Google นี้ถูกพบโดย Ryan Chenkie ซึ่งได้โพสต์คำเตือนบนแพลตฟอร์ม X เกี่ยวกับความเสี่ยงของการติดมัลแวร์

มัลแวร์ที่ใช้ในแคมเปญนี้คือ AmosStealer (หรือที่รู้จักในชื่อ 'Atomic') ซึ่งเป็นมัลแวร์ประเภท Infostealer ที่ออกแบบมาสำหรับระบบ macOS และถูกขายให้กับอาชญากรไซเบอร์รายอื่น โดยมีค่าสมัครสมาชิกเดือนละ 1,000 ดอลลาร์สหรัฐ

มัลแวร์นี้ถูกพบในแคมเปญ malvertising ที่มีการโปรโมตหน้าเว็บไซต์การประชุมปลอมของ Google Meet และในปัจจุบันกลายเป็นเครื่องมือในการขโมยข้อมูลสำหรับกลุ่มอาชญากรทางไซเบอร์ที่มุ่งเป้าไปที่ผู้ใช้ Apple

การกำหนดเป้าหมายไปที่ผู้ใช้ Homebrew

โดย Homebrew คือ open-source package manager ยอดนิยมสำหรับ macOS และ Linux ซึ่งจะอนุญาตให้ผู้ใช้ติดตั้งอัปเดต และจัดการซอฟต์แวร์จาก command line

โฆษณาปลอมบน Google แสดง URL ของ Homebrew ที่ดูเหมือนจะถูกต้องคือ "brew.

หน่วยงานความมั่นคงทางไซเบอร์ และความปลอดภัยของโครงสร้างพื้นฐานของสหรัฐอเมริกา (CISA) ได้เพิ่มช่องโหว่ Oracle WebLogic Server และ Mitel MiCollab ลงในแค็ตตาล็อก Known Exploited Vulnerabilities (KEV)

CVE-2020-2883 (คะแนน CVSS 9.8) เป็นช่องโหว่ใน Oracle WebLogic Server (เวอร์ชัน 10.3.6.0.0, 12.1.3.0.0, 12.2.1.3.0, 12.2.1.4.0) โดยผู้โจมตีที่ไม่ผ่านการยืนยันตัวตนที่สามารถเข้าถึงเครือข่ายผ่าน IIOP หรือ T3 สามารถใช้ประโยชน์จากช่องโหว่นี้เพื่อโจมตี Oracle WebLogic Server ได้

รายงานที่เผยแพร่โดย ZDI ระบุว่า “ช่องโหว่นี้ทำให้ผู้โจมตีสามารถเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกลบน Oracle WebLogic ที่มีช่องโหว่ โดยไม่ต้องผ่านการยืนยันตัวตน โดยช่องโหว่นี้เกิดขึ้นในกระบวนการจัดการ T3 protocol โดยข้อมูลที่ถูกสร้างขึ้นใน T3 protocol message สามารถ trigger การ deserialization ข้อมูลที่ไม่น่าเชื่อถือได้ ทำให้ผู้โจมตีสามารถใช้ช่องโหว่นี้ในการรันโค้ดตามที่ต้องการด้วยสิทธิ์ของ Process ปัจจุบัน”

CVE-2024-41713 (คะแนน CVSS 9.8) เป็นช่องโหว่ Path Traversal ใน Mitel MiCollab (จนถึงเวอร์ชัน 9.8 SP1 FP2) โดยเป็นช่องโหว่ NuPoint Unified Messaging ที่ทำให้เกิดการโจมตีแบบ path traversal ได้โดยไม่ต้องผ่านการยืนยันตัวตน ซึ่งอาจเสี่ยงต่อความถูกต้องของข้อมูล และการกำหนดค่า

“ช่องโหว่ Path Traversal CVE-2024-41713 ใน NuPoint Unified Messaging (NPM) component ของ Mitel MiCollab อาจทำให้ผู้โจมตีที่ไม่ผ่านการยืนยันตัวตนสามารถทำการโจมตีแบบ path traversal ได้ เนื่องจากการตรวจสอบอินพุตที่ไม่เหมาะสม หากสามารถโจมตีช่องโหว่นี้ได้สำเร็จอาจทำให้ผู้โจมตีสามารถเข้าถึงระบบได้ ซึ่งอาจส่งผลต่อความถูกต้องสมบูรณ์ของข้อมูล รวมถึงความพร้อมใช้งานของระบบ ซึ่งช่องโหว่นี้สามารถถูกโจมตีได้โดยไม่ต้องผ่านการยืนยันตัวตน”

ในรายงานระบุเพิ่มเติมว่า “หากช่องโหว่นี้ถูกโจมตีได้สำเร็จ ผู้โจมตีอาจเข้าถึงข้อมูลการตั้งค่าที่ไม่ต้องผ่านการยืนยันตัวตน ซึ่งรวมถึงข้อมูลผู้ใช้ และเครือข่าย และดำเนินการที่เป็นอันตรายบนเซิร์ฟเวอร์ MiCollab ได้ โดยช่องโหว่นี้ถูกจัดระดับความรุนแรงเป็นระดับ Critical”

CVE-2024-55550 (คะแนน CVSS 9.8) เป็นช่องโหว่ Path Traversal ใน Mitel MiCollab (จนถึงเวอร์ชัน 9.8 SP2) ช่องโหว่นี้ทำให้ผู้โจมตีที่ผ่านการยืนยันตัวตน และมีสิทธิ์ระดับผู้ดูแลระบบสามารถอ่านไฟล์ภายในระบบได้ อย่างไรก็ตามการโจมตีโดยใช้ช่องโหว่นี้จำกัดเฉพาะข้อมูลที่ไม่มีความสำคัญเท่านั้น

“ช่องโหว่ Path Traversal, CVE-2024-55550, ใน Mitel MiCollab อาจทำให้ผู้โจมตีที่ผ่านการยืนยันตัวตน และมีสิทธิ์ระดับผู้ดูแลระบบสามารถอ่านไฟล์ในระบบได้ เนื่องจากการตรวจสอบข้อมูลอินพุตที่ไม่เพียงพอ”

ตามคำสั่งปฏิบัติการ (BOD) 22-01: การลดความเสี่ยงของช่องโหว่ที่กำลังถูกใช้ในการโจมตีอยู่ในปัจจุบัน หน่วยงาน FCEB จำเป็นต้องแก้ไขช่องโหว่ที่ระบุภายในระยะเวลาที่กำหนด เพื่อปกป้องเครือข่ายจากการโจมตีโดยใช้ช่องโหว่เหล่านี้

CISA ยังแนะนำให้องค์กรภาคเอกชนตรวจสอบช่องโหว่ที่อยู่ในแคตตาล็อก และแก้ไขช่องโหว่ในระบบของพวกเขาเช่นเดียวกัน

โดย CISA ได้สั่งให้หน่วยงานรัฐบาลกลางแก้ไขช่องโหว่นี้ภายในวันที่ 28 มกราคม 2025

ที่มา : securityaffairs.