Adobe ออกแพตช์ประจำเดือนสิงหาคม 2019
Adobe ออกแพตช์ประจำเดือนสิงหาคม 2019 (Patch Tuesday) แก้ไข 119 ช่องโหว่ในหลายๆ ผลิตภัณฑ์ ส่งผลกระทบไม่ว่าจะเป็น Effects, Character Animator, Premiere Pro, Prelude, Creative Cloud, Acrobat and Reader, Experience Manager และ Photoshop ช่องโหว่ส่วนใหญ่ที่แก้ไขในเดือนนี้มีผลกระทบกับ Acrobat และ Reader สำหรับระบบปฏิบัติการ Windows และ macOS โดยสามารถอ่านรายละเอียดเกี่ยวกับช่องโหว่ทั้งหมดได้จากประกาศของ Adobe https://blogs.
ในสัปดาห์ที่ผ่านมามีการพบว่าหน่วยงานราชการท้องถิ่นกว่า 23 หน่วยงานในรัฐเท็กซัส ประเทศสหรัฐอเมริกาติดมัลแวร์เรียกค่าไถ่ (Ransomware) เจ้าหน้าที่รัฐเท็กซัสอธิบายว่าการโจมตีทั้งหมดนี้เกี่ยวข้องกัน
การโจมตีเกิดขึ้นเมื่อวันศุกร์ที่ 16 สิงหาคมที่ผ่านมา ตามเวลาสหรัฐอเมริกา เมื่อหน่วยงานราชการท้องถิ่นในรัฐเท็กซัสได้รายงานถึงปัญหาการเข้าถึงข้อมูลของพวกเขาต่อ Texas Department of Information Resources (DIR) ซึ่งทำให้มากกว่าสิบองค์กรจากทั้งรัฐเทกซัสและหน่วยงานรัฐบาลกลางได้ร่วมมือกันในการที่จะกู้ระบบคืน ต่อมาเจ้าหน้าที่ DIR ได้กล่าวว่าพบหลักฐานที่บ่งชี้ว่าการโจมตีมาจากภัยคุกคามตัวเดียว
ซึ่งแหล่งข่าวระบุว่า Ransomware ที่กระจายผ่านเน็ตเวิร์คของ 23 รัฐท้องถิ่นในเทกซัสที่ทำให้ไฟล์ถูกเข้ารหัส และเพิ่ม .JSE ต่อท้าย ตระกูล Ransomware นี้ ไม่ได้มีชื่อของตัวมันเอง ซึ่งโดยทั่วไปจะเรียกว่า .jse ransomware โดยโปรแกรมป้องกันมัลแวร์บางตัวแจ้งว่ามัลแวร์ตัวนี้คือ Nemucod ซึ่งจริงๆ แล้วเป็นโทรจันที่ติดร่วมกัน
.jse ransomware ถูกพบครั้งแรกช่วงสิงหาคม 2018 และมีรายงานล่าสุดในเดือนนี้ ซึ่งมัลแวร์ตัวนี้แตกต่างจากมัลแวร์ตัวอื่นๆ ตรงที่ไม่มีการแสดงข้อความเรียกค่าไถ่ ทำให้ผู้ที่ตกเป็นเหยื่อสับสน
ที่มา : zdnet
พบช่องโหว่ใน HTTP/2 มีความเสี่ยงที่จะนำไปสู่การโจมตี denial-of-service (DoS) นักวิจัยจาก Netflix และ Google พบช่องโหว่ใน HTTP/2 ซึ่งนำไปสู่การโจมตี denial-of-service (DoS) ได้ โดยผู้โจมตีสามารถใช้ช่องโหว่เพื่อกินทรัพยากรของเครื่องเซิร์ฟเวอร์จนทำให้หยุดทำงานได้ ซึ่งช่องโหว่นี้ส่งผลกระทบเป็นวงกว้าง ทั้ง Amazon, Apache, Apple, Facebook, Microsoft, nginx, Node.
แจ้งเตือน 2 ช่องโหว่ใหม่ใน Remote Desktop Services (RDS) รันโค้ดที่เป็นอันตรายได้จากระยะไกล (RCE) คล้าย BlueKeep เอามาทำเวิร์มแพร่กระจายได้เหมือน WannaCry
ไมโครซอฟต์ออกแพตช์ตามรอบ Patch Tuesday ประจำเดือนสิงหาคม 2019 โดยสองช่องโหว่ที่ถูกแพตช์นั้นเป็นช่องโหว่ระดับวิกฤติในแพ็คเกจ Remote Desktop Services (RDS) รหัส CVE-2019-1181 (CVSSv3 8.8) และ CVE-2019-1182 (CVSSv3 8.8) ซึ่งทำให้ผู้โจมตีสามารถรันคำสั่งที่เป็นอันตรายกับระบบที่มีช่องโหว่ได้จากระยะไกล
ลักษณะพิเศษของช่องโหว่คือ Wormable หรือเป็นช่องโหว่ที่สามารถใช้เพื่อแพร่กระจายเวิร์มเช่นเดียวกับกรณีของ WannaCry ได้
ระบบปฏิบัติการที่ได้รับผลกระทบ
- Windows 10 ทั้ง 32 และ 64 บิต 1607, 1703, 1709, 1803, 1809 และ 1903
- WIndows 8.1 ทั้ง 32 และ 64 บิต
- Windows RT 8.1
- Windows 7 ทั้ง 32 และ 64 บิต SP1
- Windows Server 2008 R2, 2012, 2012 R2, 2016, 2019, 1803 และ 1903
ยังไม่พบ IPS signature ที่ช่วยป้องกันการโจมตีได้ในขณะนี้ ทางป้องกันที่ดีที่สุดในตอนนี้คือแพตช์
ที่มา: https://msrc-blog.
ผู้ว่าการรัฐลุยเซียนาประกาศภาวะฉุกเฉินเพื่อรับมือมัลแวร์
เมื่อวันที่ 24 กรกฏาคม 2019 John Bel Edwards ผู้ว่าการรัฐลุยเซียนา สหรัฐอเมริกาได้ประกาศภาวะฉุกเฉินเพื่อรับมือภัยคุกคามทางไซเบอร์จากมัลแวร์ หลังจากโรงเรียนรัฐบาลหลายแห่งในรัฐลุยเซียนาติดมัลแวร์จนระบบไอทีของโรงเรียนไม่สามารถใช้งานได้ โดยการประกาศภาวะฉุกเฉินในครั้งนี้เกิดขึ้นเพื่อให้รัฐจัดสรรหน่วยงานมาช่วยรับมือเหตุการณ์ดังกล่าว เช่น ตำรวจ National Guard ผู้เชี่ยวชาญด้านไซเบอร์ เป็นต้น โดยประกาศดังกล่าวจะมีผลจนถึง 21 สิงหาคม 2019
ในปัจจุบันยังไม่มีการประกาศจากทางการว่ามัลแวร์ดังกล่าวเป็นมัลแวร์ชนิดใด แต่ Eddie Jones ผู้อำนวยการโรงเรียน Florien ที่ได้รับผลกระทบให้สัมภาษณ์ว่าพบมัลแวร์เรียกค่าไถ่ในระบบของโรงเรียน
นี่เป็นครั้งที่สองที่รัฐในสหรัฐอเมริกามีการประกาศภาวะฉุกเฉินเพื่อรับมือภัยคุกคามทางไซเบอร์ โดยครั้งแรกเกิดขึ้นที่รัฐโคโลราโดในเดือนกุมภาพันธ์ปี 2018 เนื่องจากเกิดติดเชื้อมัลแวร์เรียกค่าไถ่ SamSam จนทำให้กรมขนส่งทางบกของรัฐโคโลราโดไม่สามารถปฏิบัติงานได้ จึงต้องมีการประกาศภาวะฉุกเฉินเพื่อจัดการจราจร
ที่มา:
1. zdnet
2. louisiana
3. wafb
พบช่องโหว่ 11 รายการ ส่งผลให้อุปกรณ์ IoT หลายล้านรายการมีความเสี่ยง
นักวิจัยจาก Armis ออกรายงานแจ้งเตือนว่าพบช่องโหว่ในระบบปฏิบัติการที่ชื่อว่า “VxWorks” ซึ่งถูกใช้ในอุปกรณ์ IoT มากกว่าหลายล้านรายการทั่วโลก อาทิเช่น อุปกรณ์ทางการแพทย์, router, VOIP และอุปกรณ์โครงสร้างพื้นฐาน โดยได้ตั้งชื่อรายการช่องโหว่เหล่านี้ว่า “Urgent/11”
ช่องโหว่ทั้ง 11 รายการ เป็นปัญหาในส่วนของ TCP/IP โปรโตคอลของ VxWorks (IPnet) แบ่งออกเป็นช่องโหว่ที่ส่งผลให้ผู้ไม่หวังดีสามารถสั่งรันคำสั่งอันตราย (RCE) บนอุปกรณ์ได้ 6 รายการ และอีก 5 รายการถูกระบุว่าเป็นช่องโหว่ที่ส่งผลให้อุปกรณ์ไม่สามารถทำงานต่อไปได้ (DoS) หรือข้อมูลรั่วไหลบนอุปกรณ์ (data leakage)
นักวิจัยได้ทำการแจ้งไปยัง Wind River บริษัทที่เป็นผู้ครอบครองระบบปฏิบัติการ VxWorks และบริษัทได้ออกแพทช์เพื่อแก้ไขช่องโหว่ดังกล่าวออกมาแล้ว ทั้งนี้ระบบปฏิบัติการที่ได้รับผลกระทบประกอบด้วย:
- VxWorks 7 (SR540 และ SR610)
- VxWorks 6.5-6.9
- VxWorks ที่มีการใช้งาน Interpeak network stack
รายงานระบุว่ายังไม่พบว่ามีการใช้ช่องโหว่ดังกล่าวโจมตีเกิดขึ้น และมี snort rule สำหรับตรวจจับการโจมตี ผู้สนใจสามารถศึกษาได้จากรายงานฉบับเต็ม
รายงานฉบับเต็มจาก Armis: https://go.
Sephora SEA พบข้อมูลรั่วไหล
เมื่อวันที่ 29 กรกฏาคม 2019 ที่ผ่านมา Sephora ภูมิภาคเอเชียตะวันออกเฉียงใต้ได้ออกประกาศแจ้งลูกค้าว่าพบข้อมูลรั่วไหลจากเว็บไซต์ไปยังบุคคลภายนอก กระทบลูกค้าบางส่วนที่ใช้บริการออนไลน์ในสิงคโปร์ มาเลเซีย อินโดนีเซีย ไทย ฟิลิปปินส์ ฮ่องกง ออสเตรเลีย และนิวซีแลนด์ โดยได้ทำการรีเซ็ตรหัสผ่านของลูกค้าและทำการแจ้งให้ลูกค้าตั้งรหัสผ่านใหม่แล้ว โดยยังไม่มีการเปิดเผยสาเหตุที่ข้อมูลรั่วไหล
Sephora ตรวจพบเหตุการณ์ดังกล่าวเมื่อสองสัปดาห์ก่อน และได้จ้างผู้เชี่ยวชาญมาตรวจสอบเพื่อยืนยันรายละเอียดก่อนทำการประกาศ เหตุการณ์นี้ไม่กระทบกับลูกค้าที่ซื้อสินค้าจากร้านค้าและไม่ได้ใช้บริการออนไลน์หรือแอป โดยข้อมูลที่รั่วไหลได้แก่ ชื่อต้น นามสกุล วันเกิด เพศ ที่อยู่อีเมล และรหัสผ่านแบบเข้ารหัส รวมถึงข้อมูลเกี่ยวกับความพึงพอใจด้านความงาม โดยไม่มีการเข้าถึงข้อมูลบัตรเครดิต
ทั้งนี้ Sephora ได้เสนอบริการฟรีเพื่อเฝ้าระวังการนำข้อมูลส่วนตัวไปใช้กับลูกค้าบางประเทศอีกด้วย แต่บริการดังกล่าวไม่รองรับประเทศไทย
ที่มา : channelnewsasia , sephora , straitstimes
สถาบันการเงิน Capital One ถูกแฮก กระทบผู้ใช้งานกว่า 106 ล้านคน
สถาบันการเงิน Capital One ออกประกาศเมื่อวันที่ 29 กรกฏาคม 2019 ที่ผ่านมาแจ้งเหตุการณ์ถูกแฮกกระทบลูกค้าประมาณ 100 ล้านคนในสหรัฐอเมริกาและกระทบลูกค้าในแคนาดาประมาณ 6 ล้านคนที่สมัครหรือใช้บริการ Capital One credit card ตั้งแต่ปี 2005 ถึงช่วงต้นปี 2019
โดยข้อมูลที่รั่วไหลประกอบไปด้วย ชื่อ ที่อยู่ รหัสไปรษณีย์ เบอร์โทร อีเมล วันเกิด รายได้ต่อปี ข้อมูลการใช้จ่าย สถานะเครดิต หมายเลขบัญชีธนาคาร หมายเลขประกันสังคม
Capital One ทราบเหตุการณ์นี้จากช่องทางที่เปิดให้นักวิจัยรายงานช่องโหว่ในวันที่ 17 กรกฏาคม 2019 มีผู้ใช้งาน GitHub พบการโพสข้อมูลที่น่าจะเป็นของ Capital One บน GitHub ข้อมูลดังกล่าวประกอบด้วย IP ของเซิร์ฟเวอร์และคำสั่งที่ใช้ดึงข้อมูลออกจาก Amazon S3 ผ่านการตั้งค่าที่ไม่ถูกต้องของ web application firewall (WAF) เมื่อสถาบันการเงิน Capital One ได้ทำการตรวจสอบไฟล์ดังกล่าว จึงพบการเข้าถึงข้อมูลโดยไม่ได้รับอนุญาตโดยใช้คำสั่งเหล่านั้นเมื่อวันที่ 22 ถึง 23 มีนาคม 2019 และได้แจ้งไปยัง FBI
FBI จับกุมผู้ต้องสงสัยในคดีนี้แล้วชื่อ Paige A. Thompson ซึ่งรายงานการจับกุมระบุว่าเป็นผู้โพสข้อมูลลงใน GitHub เกี่ยวกับข้อมูลที่ถูกขโมยจาก Capital One และมีการพูดคุยเกี่ยวกับการเข้าถึงข้อมูลของ Capital One ใน Slack และ Twitter
ที่มา : bleepingcomputer , justice , capitalone
Apple ได้ประกาศอัปเดตด้านความปลอดภัยในหลายผลิตภัณฑ์
Apple ได้ประกาศอัปเดตด้านความปลอดภัยแก้ช่องโหว่ใน iOs, MacOS, Safari, watchOS และ tvOS ซึ่งส่วนมากเป็นช่องโหว่ใน WebKit browser engine ที่ใช้งานในหลายผลิตภัณฑ์
สำหรับใน iOS รุ่น 12.4 มีการแก้ไขทั้งหมด 37 รายการ ส่วนมากเป็นช่องโหว่ใน WebKit รวม 19 ช่องโหว่ ซึ่งช่องโหว่ส่วนมากเกี่ยวกับ memory corruption ทำให้ผู้ใช้งานถูกโจมตีจากเว็บไซต์อันตรายได้ มีการแก้ช่องโหว่ในแอป wallet ซึ่งทำให้ผู้ใช้จ่ายเงินได้แม้หน้าจอยังล็อค ซึ่งค้นพบโดย Jeff Braswell รวมถึงการแก้ไขข้อผิดพลาดในซอฟต์แวร์ iOS Telephony ที่อนุญาตให้การเชื่อมต่อ Walkie-Talkie ถูกเปิดใช้งานโดยที่ไม่ได้รับอนุญาตพร้อมกับการโทร ค้นพบโดยนักวิจัย Marius Alexandru Boeru และเพื่อนร่วมงาน
MacOS มีช่องโหว่ทั้งหมด 44 ช่องโหว่ในระบบ Mojave, High Sierra และ Sierra โดยช่องโหว่ส่วนมากคือช่องโหว่ใน WebKit เช่นเดียวกับ watchOS และ tvOS
ที่มา:theregister
Palo Alto Networks ออกแพทช์อัปเดตเพื่อแก้ไขช่องโหว่ร้ายแรงใน GlobalProtect portal และ GlobalProtect Gateway
Orange Tsai และ Meh Chang ทีมนักวิจัยด้านความปลอดภัยค้นพบช่องโหว่ remote code-execution (RCE) ใน GlobalProtect portal และ GlobalProtect Gateway โดยช่องโหว่ดังกล่าวได้รับ CVE-2019-1579 ซึ่งช่องโหว่ดังกล่าวทำให้่ให้ผู้โจมตีสามารถสั่งรันโปรแกรมที่เป็นอันตรายจากระยะไกลได้โดยไม่ต้องเข้าสู่ระบบ โดยทีมนักวิจัยได้ทำการเผยแพร่ PoC code สำหรับช่องโหว่ดังกล่าวและอธิบายวิธีการตรวจสอบว่าการติดตั้งมีความเสี่ยงหรือไม่โดยใช้คำสั่งแบบง่าย
ช่องโหว่ดังกล่าวเกิดจาก Gateway ส่งต่อค่าพารามิเตอร์โดยตรง ไม่มีการตรวจสอบและกำจัดค่าที่อาจเป็นอันตราย โดยมีผลกระทบกับ PAN-OS 7.1.18 และรุ่นก่อนหน้า, PAN-OS 8.0.11 และก่อนหน้าและ PAN-OS 8.1.2 และก่อนหน้า ในส่วนของ PAN-OS 9.0 ไม่ได้รับผลกระทบ
Palo Alto Networks ได้ทำการออกอัปเดต PAN-OS เวอร์ชันเป็น 7.1.19, 8.0.12 และ 8.1.3 เพื่อแก้ไขข้อผิดพลาด แนะนำให้ทำการอัปเดตแพตช์เพื่อลดเสี่ยงในการถูกโจมตี
ที่มา:securityweek