พบ Oracle E-Business Suite ยังไม่อัปเดตแพตช์จำนวนมาก มีความเสี่ยงต่อช่องโหว่ที่ใช้โกงเงินได้

Oracle E-Business Suite ของลูกค้านับพันรายมีช่องโหว่ด้านความปลอดภัยที่สามารถถูกใช้ประโยชน์สำหรับการโกงทางด้านการเงิน Onapsis บริษัทด้านความปลอดภัยได้ประมาณการว่ากว่าครึ่งของบริษัทที่ใช้ซอฟต์แวร์ Oracle EBS ยังไม่ได้รับการแพตช์ CVE-2019-2648 และ CVE-2019-2633 ถึงแม้จะมีแพตช์ออกมาตั้งแต่เดือนเมษายนที่ผ่านมาแล้วก็ตาม
สองช่องโหว่ได้ถูกอธิบายว่าเป็น reflected SQL injections ผู้โจมตีที่เข้าถึง EBS server อาจส่งคำสั่งไปยังเครื่องที่มีความเสี่ยง
ข้อบกพร่องนี้เป็นอันตรายต่อ EBS โดยเฉพาะเครื่องที่ใช้โมดูลการเงิน โมดูลการเงินนี้สามารถตั้งเวลาฝากเงินโดยตรงและการโอนเงินอัตโนมัติให้กับคู่ค้า รวมทั้งจัดการใบแจ้งหนี้และใบสั่งซื้อต่างๆ ซึ่งหากผู้โจมตีทำการ SQL injection ก็จะสามารถแก้ไขรายการโอนเงินเหล่านั้นในการนำเงินสดไปยังบัญชีที่พวกเขาต้องการ
การแนะนำสำหรับปัญหานี้คือการอัปเดตแพตช์ให้เป็นรุ่นล่าสุด

ที่มา : theregister

NSA เผยแพร่คำแนะนำให้กับความเสี่ยงที่เกิดจากการใช้งาน Transport Layer Security Inspection (TLSI)

National Security Agency (NSA) เผยแพร่คำแนะนำให้กับความเสี่ยงที่เกิดจากการใช้งาน Transport Layer Security Inspection (TLSI) ซึ่งอาจทำให้องค์กรมีความปลอดภัยน้อยลงTLSI หรือ TLS break and inspect หรือ ssl decryption เป็นกระบวนการที่องค์กรสามารถตรวจสอบ traffic ที่เข้ารหัสด้วยความช่วยเหลือของผลิตภัณฑ์ เช่น proxy IDS หรือ IPS ที่สามารถถอดรหัสเพื่อดูข้อมูล แล้วเข้ารหัสข้อมูลกลับไป องค์กรบางแห่งใช้เทคนิคนี้ในการตรวจสอบภัยคุกคามที่อาจเกิดขึ้น เช่น การแอบนำข้อมูลออก การติดต่อไปยังช่องทางการสื่อสารคำสั่งและการควบคุม (C2) หรือ การส่งมัลแวร์ผ่านทราฟฟิกที่เข้ารหัส เทคนิคนี้อาจนำไปสู่ความเสี่ยงอื่นๆ ได้

เครื่องมือ TLSI ที่ไม่ตรวจสอบความถูกต้องของใบรับรอง transport layer security (TLS) ให้ดีจะทำให้การป้องกันแบบ end-to-end ที่ได้จากการเข้ารหัส TLS แก่ผู้ใช้ปลายทางอ่อนแอลงอย่างมากและเพิ่มโอกาสที่ถูกโจมตีในรูปแบบ man-in-the-middle attack
ผู้โจมตีสามารถใช้ประโยชน์จากอุปกรณ์ TLSI โดยโจมตีอุปกรณ์ดังกล่าวเพื่อเข้าถึงข้อมูลที่ถอดรหัสแล้ว รวมถึง insider threat อย่างผู้ดูแลระบบที่มีเจตนาไม่ดีอาจใช้อุปกรณ์ดังกล่าวเพื่อดูรหัสผ่านหรือข้อมูลสำคัญอื่นๆ

เพื่อลดความเสี่ยงที่อธิบายไว้ข้างต้น การตรวจสอบการรับส่งข้อมูล TLS ควรกระทำเพียงครั้งเดียว    ภายในเครือข่ายองค์กร ไม่ควรใช้ TLSI หลายรอบโดยสามารถอ่านรายละเอียด ได้จาก: media.

Google ออกแพตซ์แก้ไขข้อบกพร่องที่สำคัญบน Android

สัปดาห์ที่ผ่านมา Google ได้เปิดตัวชุดรักษาความปลอดภัยสำหรับ Android ประจำเดือนพฤศจิกายน เพื่อแก้ไขช่องโหว่ที่มีผลกระทบต่อแพลตฟอร์มเกือบ 40 ประกอบด้วยข้อบกพร่องทั้งหมด 17 รายการใน Framework, Library, Framework , Media framework และ System (2019-11-01) ช่องโหว่ที่รุนแรงที่สุดอยู่ในระดับ System ส่งผลให้ผู้โจมตีสามารถสั่งรันคำสั่งที่เป็นอันตรายจากระยะไกลตามสิทธิ์ของโปรเซสที่ใช้รัน ประกอบด้วยช่องโหว่ใน Android 9 (CVE-2019-2204), Android 8.0, 8.1, 9 และ 10 (CVE-2019-2205 และ CVE-2019-2206)

ช่องโหว่อื่นๆ อีกประมาณ 21 รายการ (2019-11-05) ประกอบด้วยช่องโหว่ที่น่าสนใจ คือ ช่องโหว่ความรุนแรงสูงในระดับ Framework 2 รายการ, ช่องโหว่ความรุนแรงสูงในระดับ System 1 รายการ และช่องโหว่ความรุนแรงสูง 3 รายการและความรุนแรงปานกลางอีก 1 รายการในระดับ Kernel โดยได้แก้ไขช่องโหว่ที่พบในส่วนของ Qualcomm ที่พบมาก่อนหน้านี้ด้วย โดยช่องโหว่บน Pixel เองก็จะได้รับการแก้ไขในรอบนี้ด้วย

ที่มา: securityweek

Libarchive ที่มีอยู่ใน Debian, Ubuntu, Gentoo, Arch Linux, FreeBSD และ NetBSD distros มีช่องโหว่ที่ทำให้แฮกเกอร์สามารถรันโค้ดบนเครื่องได้ แต่ไม่กระทบกับ macOS และ Windows

ช่องโหว่ใน LIBARCHIVE (CVE-2019-18408) ซึ่งเป็นไลบรารีสำหรับการอ่านและสร้างไฟล์บีบอัดที่ถูกใช้บน Linux / BSD อย่างแพร่หลาย ในสัปดาห์ที่ผ่านมามีการเปิดเผยรายละเอียดของช่องโหว่ดังกล่าวออกมา หลังจากที่ Linux และ FreeBSD distros หลายตัวได้ปล่อยการอัพเดตแพทช์สำหรับ Libarchive ที่ใช้งานอยู่

ช่องโหว่ส่งผลให้ผู้โจมตีสามารถรันโค้ดบนระบบของผู้ใช้ผ่านไฟล์บีบอัดที่มีการดัดแปลงมาแล้ว ถูกค้นพบตั้งแต่เดือนมิถุนายน แต่ใช้เวลาพอสมควรในการแก้ไขเพื่อปล่อยให้ระบบปฏิบัติการทั้งหมดทำการอัพเดตได้ นอกเหนือจากการเป็นช่องโหว่ในระบบปฏิบัติการแล้ว ยังส่งผลให้เกิดช่องโหว่ในส่วนของ file browsers และเครื่องมืออื่นๆ ที่ใช้ในการประมวลผลเกี่ยวกับ multimedia ด้วย

ที่มา: zdnet

รวมข่าว BlueKeep ระหว่างวันที่ 1 - 11 พฤศจิกายน 2019

BlueKeep คืออะไร

BlueKeep หรือช่องโหว่ CVE-2019-0708 เป็นช่องโหว่ที่สามารถรันคำสั่งอันตรายจากระยะไกลได้ พบใน Remote Desktop Services กระทบ Windows 7, Windows Server 2008 R2, Windows Server 2008, Windows Server 2003 และ Windows XP

ช่องโหว่นี้ได้รับแพตช์ความปลอดภัยแล้วเมื่อเดือนพฤษภาคม 2019 ที่ผ่านมา โดยช่องโหว่นี้มีคำเตือนให้ผู้ใช้งานเร่งอัปเดตเพราะว่าช่องโหว่นี้สามารถเอามาทำเวิร์มแพร่กระจายได้เหมือน WannaCry ที่ใช้ช่องโหว่ CVE-2017-0144 EternalBlue (Remote Code Execution ใน SMB)

พบการโจมตีด้วยช่องโหว่ BlueKeep แล้ว

2 พฤศจิกายน 2019 Kevin Beaumont นักวิจัยผู้ตั้งชื่อเล่นให้ CVE-2019-0708 ว่า BlueKeep เปิดเผยการค้นพบการโจมตีด้วยช่องโหว่ BlueKeep บน honeypot ที่เขาเปิดล่อเอาไว้ทั่วโลกตั้งแต่เดือนพฤษภาคม 2019 ซึ่งการโจมตีครั้งนี้ทำให้เหล่า honeypot เกิดจอฟ้า

จากการวิเคราะห์ crash dump ที่ได้จากเหล่า honeypot พบว่าการโจมตีดังกล่าวยังไม่ได้แพร่โดยเวิร์ม แต่เกิดจากการใช้ Metasploit พยายามรันคำสั่งอันตรายเพื่อติดตั้งมัลแวร์ขุดเหมือง เนื่องจากโมดูลสำหรับโจมตีด้วย BlueKeep ใน Metasploit ยังไม่ค่อยเสถียร เลยทำให้เกิดจอฟ้า

อ่านต่ออย่างละเอียด thehackernews

ไม่ใช่เวิร์มแต่ก็อันตรายนะ ไมโครซอฟต์ออกมาเตือนอีกรอบ

8 พฤศจิกายน 2019 ไมโครซอฟต์ออกรายงานวิเคราะห์การโจมตี BlueKeep ร่วมกับ Kevin Beaumont และ Marcus Hutchins ด้วยมัลแวร์ขุดเหมืองดังกล่าว พร้อมกับเตือนให้ผู้ใช้งานเร่งแพตช์ เพราะต้องมีการโจมตีที่รุนแรงกว่านี้ตามมาแน่นอน

อ่านต่ออย่างละเอียด https://www.

นักวิจัยพบการโจมตีเพื่อติดตั้ง Cryptocurrency mining โดยอาศัยช่องโหว่ BlueKeep

BlueKeep (CVE-2019-0708) คือช่องโหว่ wormable เพื่อมันสามารถแพร่กระจายโดยตัวมันเองจากเครื่องหนึ่งสู่อีกเครื่องโดยที่เหยื่อไม่ต้องมีการโต้ตอบใดๆ การพบในครั้งนี้เกิดจากการที่ EternalPot RDP honeypot ของ Kevin Beaumont เกิดหยุดทำงานและทำการรีบูตตัวเอง จากการตรวจสอบจึงทำให้พบการโจมตีเพื่อแพร่กระจาย Cryptocurrency mining ดังกล่าว การค้นพบในครั้งนี้นับว่าเป็นการประยุกต์ใช้ช่องโหว่ BlueKeep เพื่อใช้ในการโจมตีอย่างจริงจังเป็นครั้งแรก

อย่างไรก็ตาม Microsoft ได้ปล่อยแพทช์สำหรับช่องโหว่ออกมาก่อนหน้านี้แล้ว หากยังสามารถทำการอัพเดตแพทช์ได้ สามารถทำตามข้อแนะนำดังต่อไปนี้:

ปิดการใช้งาน RDP services ถ้าไม่จำเป็น
บล็อก port 3389 ที่ใช้ firewall หรือสร้างการเชื่อมต่อให้ผ่านเฉพาะ private VPN
เปิดการใช้งาน Network Level Authentication (NLA) เป็นการป้องกันบางส่วนสำหรับการโจมตีที่ไม่ได้รับอนุญาต

ที่มา : thehackernews

Network Solutions ถูกแฮกเกอร์เข้าถึงข้อมูลมากกว่า 22 ล้านบัญชี
Network Solutions หนึ่งในผู้จดทะเบียนโดเมนรายใหญ่ที่สุดในโลก พบการละเมิดข้อมูลที่มีผลต่อ 22 ล้านบัญชี ทั้งนี้ไม่มีการเข้าถึงข้อมูลทางการเงิน

ผู้โจมตีได้แฮกเซิร์ฟเวอร์จำนวนหนึ่งของระบบที่ยอมให้เข้าถึงขุมข้อมูลขนาดใหญ่ มีการประมาณการว่ากว่า 22 ล้านบัญชีตั้งแต่อดีตจนถึงปัจจุบันของ Network Solutions Register.

MS-ISAC ได้ปล่อยข้อมูลรายการซอฟต์แวร์ EOS

Multi-State Information Sharing and Analysis Center (MS-ISAC) ได้ปล่อยข้อมูลรายการซอฟต์แวร์ end-of-support (EOS) ซึ่งเป็นซอฟต์แวร์ที่กำลังจะสิ้นสุดการสนับสนุนและจะไม่ได้รับการอัปเดตความปลอดภัยจากผู้ให้บริการอีกต่อไป ดังนั้นจึงมีความเสี่ยงที่จะถูกโจมตีจากช่องโหว่ความปลอดภัย และซอฟต์แวร์ที่ไม่ได้รับการสนับสนุนอาจทำให้เกิดปัญหาซึ่งทำให้ประสิทธิภาพการทำงานลดลง

Cybersecurity and Infrastructure Security Agency (CISA) แจ้งไปยังผู้ใช้งานและผู้ดูแลระบบในการตรวจสอบ MS-ISAC ข้อมูลรายการ EOS : ตุลาคม 2019 https://www.

รายละเอียดของบัตรชำระเงินอินเดีย 1.3 ล้านใบวางขายที่ Joker's Stash
รายละเอียดบัตรในชำระเงินมากกว่า 1.3 ล้านใบถูกวางขายใน Joker's Stash โดยข้อมูลส่วนใหญ่มาจากผู้ถือบัตรในอินเดีย นักวิจัยด้านความปลอดภัยที่ Group-IB บอกกับ ZDNet ในวันนี้หลังจากพบการอัปโหลดใหม่เมื่อไม่กี่ชั่วโมงก่อน
Group-IB กล่าวว่าบัตรเหล่านี้ถูกวางขายในราคาสูงสุดที่ 100 ดอลลาร์สหรัฐต่อ 1 ใบทำให้แฮกเกอร์สามารถทำเงินได้มากกว่า 130 ล้านดอลลาร์จากรายการครั้งล่าสุด
ยังไม่ทราบแหล่งที่มาของบัตร Group-IB กล่าวว่าพวกเขาไม่สามารถวิเคราะห์และดูแหล่งที่มาของการละเมิดที่อาจเกิดขึ้น เนื่องจากมีเวลาวิเคราะห์ไม่พอ ซึ่งการวิเคราะห์เบื้องต้นชี้ให้เห็นว่าอาจได้รับรายละเอียดการ์ดผ่านอุปกรณ์ skimming ที่ติดตั้งบน ATM หรือระบบ PoS เพราะข้อมูลบนบัตรที่วางขายมีข้อมูล Track 2 ซึ่งมักจะพบบนแถบแม่เหล็กของบัตรชำระเงิน ทำให้ตัดความเป็นไปได้ที่ข้อมูลจะมาจาก skimmers ที่ติดตั้งบนเว็บไซต์ซึ่งจะไม่มีพบข้อมูล Track 2 ดังกล่าว
ยิ่งไปกว่านั้นบัตรแต่ละใบแตกต่างกันอย่างมากในแง่ของการดำเนินการที่มาจากหลายธนาคารไม่ใช่เพียงแค่ธนาคารเดียว
"ในขณะนี้ทีมงาน Threat Intelligence ของ Group-IB ได้วิเคราะห์บัตรมากกว่า 550K จากฐานข้อมูล" Group-IB ซึ่งเขียนในรายงานที่แชร์เฉพาะกับ ZDNet และ บริษัท วางแผนที่จะเผยแพร่ในวันพรุ่งนี้
โดยเป็นของธนาคารอินเดียมากกว่า 98% ส่วน 1% เป็นของธนาคารโคลอมเบีย และมากกว่า 18% ของข้อมูล 550K ในบัตร ได้รับการวิเคราะห์จนถึงขณะนี้ว่าเป็นของธนาคารอินเดียแห่งหนึ่งในอินเดียเพียงธนาคารเดียว
Joker's Stash เป็นสิ่งที่นักวิจัยด้านความปลอดภัยเรียกว่า "card shop" เป็นคำที่ใช้อธิบายถึงตลาดออนไลน์ในเว็บมืดและเป็นที่รู้จักกันว่าเป็นสถานที่ที่กลุ่มอาชญากรไซเบอร์หลักเช่น FIN6 และ FIN7 ทำการขายและซื้อรายละเอียดบัตรชำระเงินซึ่งจะเรียกว่า card dump
ที่มา zdnet

ข้อบกพร่องใหม่ใน PHP อาจทำให้แฮกเกอร์โจมตีเว็บไซต์ที่ทำงานบนเซิร์ฟเวอร์ Nginx
หากคุณใช้งานเว็บไซต์ที่ใช้ PHP บนเซิร์ฟเวอร์ NGINX และเปิดใช้งานฟีเจอร์ PHP-FPM เพื่อเพิ่มประสิทธิภาพที่ดีขึ้น ควรระวังช่องโหว่ใหม่ที่อาจทำให้ผู้โจมตีทำการแฮกเซิร์ฟเวอร์เว็บไซต์ของคุณจากระยะไกล
ช่องโหว่ CVE-2019-11043 มีผลกระทบต่อเว็บไซต์ที่มีการกำหนดค่าบางอย่างของ PHP-FPM
PHP-FPM เป็นอีกทางเลือกหนึ่งของการติดตั้ง PHP FastCGI ที่นำเสนอการประมวลผลขั้นสูงและมีประสิทธิภาพสูงสำหรับสคริปต์ที่เขียนด้วยภาษาการเขียนโปรแกรม PHP
ช่องโหว่หลักคือปัญหา "env_path_info" memory corruption (underflow) ในโมดูล PHP-FPM และการเชื่อมโยงกับปัญหาอื่น ๆ อาจทำให้ผู้โจมตีใช้ช่องโหว่รันโค้ดอันตรายจากระยะไกล (RCE) บนเว็บเซิร์ฟเวอร์ได้
ช่องโหว่ดังกล่าวถูกพบโดย Andrew Danau นักวิจัยด้านความปลอดภัยที่ Wallarm ในขณะที่ค้นหาข้อบกพร่องในการแข่งขัน Capture The Flag ซึ่งต่อมาได้รับความรู้จากนักวิจัยสองคนคือ Omar Ganiev และ Emil Lerner เพื่อพัฒนาการใช้ประโยชน์จากช่องโหว่ในการรันโค้ดอันตราย
แม้ว่า PoC exploit ที่ถูกปล่อยออกมาได้รับการออกแบบมาเพื่อเป้าหมายเฉพาะเซิร์ฟเวอร์ที่มีช่องโหว่ที่ใช้งาน PHP 7+ แต่ bug underflow ของ PHP-FPM ก็อาจส่งผลกระทบต่อ PHP เวอร์ชันก่อนหน้าด้วย ซึ่งจะมีความเสี่ยงต่อการโจมตีถ้าตรงกับเงื่อนไขดังต่อไปนี้
- NGINX ได้รับการกำหนดค่าให้ส่งต่อคำขอ PHP ไปยังตัวประมวลผล PHP-FPM
- คำสั่ง fastcgi_split_path_info มีอยู่ในการกำหนดค่าและรวมถึง regular expression ที่เริ่มต้นด้วยสัญลักษณ์ '^' และลงท้ายด้วยสัญลักษณ์ '$'
- ตัวแปร PATH_INFO ถูกกำหนดด้วยคำสั่ง fastcgi_param
-ไม่มีการตรวจสอบเช่น try_files $ uri = 404 หรือถ้า (-f $ uri) เพื่อตรวจสอบว่ามีไฟล์อยู่หรือไม่
หนึ่งในผู้ให้บริการเว็บโฮสติ้งที่ได้รับผลกระทบคือ Nextcloud ผู้ออกคำแนะนำเตือนผู้ใช้ว่า "การกำหนดค่าเริ่มต้น Nextcloud NGINX นั้นยังเสี่ยงต่อการถูกโจมตีครั้งนี้ และแนะนำผู้ดูแลระบบให้ดำเนินการทันที
ผู้ใช้ควรทำการอัพเดท PHP เป็น PHP 7.3.11 และ PHP 7.2.24 ล่าสุดเพื่อป้องกันการโจมตี

ที่มา thehackernews