Cisco ประกาศแก้ไขช่องโหว่ที่เกี่ยวข้องกับบัญชีลับหรือ backdoor account เป็นครั้งที่สี่ในเดือนนี้หลังจากมีการตรวจพบถึงการมีอยู่ของรหัสผ่านในซอฟต์แวร์ Cisco Wide Area Application Services ซึ่งอาจทำให้ผู้โจมตีสามารถเข้าถึงการตั้งค่าของอุปกรณ์ได้

ช่องโหว่รหัส CVE-2018-0329 เกิดขึ้นหลังจากที่นักวิจัยด้านความปลอดภัย Aaron Blair จาก RIoT Solutions ไปค้นพบถึงการมีอยู่ของชุดสตริงนี้ซึ่งเป็น SNMP community string ในไฟล์ตั้งค่าของ SNMP daemon ซึ่งเขาเองยังพบอีกช่องโหว่หนึ่งรหัส CVE-2018-0352 โดยเป็นช่องโหว่ยกระดับสิทธิ์ใน Cisco WaaS ด้วย

ที่มา : bleepingcomputer

นักวิจัยด้านความปลอดภัยซึ่งใช้ชื่อบนอินเตอร์เน็ตว่า landave ซึ่งเคยเป็นผู้ค้นพบช่องโหว่ในโปรแกรม 7-zip และ Bitdefender ได้ประกาศการค้นพบช่องโหว่ใหม่ที่คล้ายคลึงกันใน F-Secure Endpoint Protection ซึ่งส่งผลให้เกิดการรันโค้ดที่เป็นอันตรายได้เมื่อโปรแกรมพยายามเปิดไฟล์บีบอัดที่ถูกสร้างมาเป็นพิเศษเพื่อโจมตีช่องโหว่

การโจมตีช่องโหว่สามารถทำได้หลายวิธีโดยมีไฟล์บีบอัดที่ถูกสร้างมาเป็นพิเศษนั้นเป็นศูนย์กลาง หนึ่งในวิธีนั้นคือการส่งไฟล์ให้เหยื่อทางอีเมลซึ่งจะถูกสแกนเมื่อพยายามเปิดและเกิดการรันโค้ดที่เป็นอันตราย landave ยังคงพบว่าผลิตภัณฑ์ของ F-Secure บางรายการยังทำการดักจับข้อมูลเมื่อผู้ใช้งานเข้าเว็บไซต์และนำไปตรวจสอบ ซึ่งอาจทำให้ผู้โจมตีทำการโจมตีได้โดยบังคับให้เหยื่อดาวโหลดไฟล์อันตรายโดยอัตโนมัติ ซึ่งจะส่งผลในลักษณะเดียวกันได้

Recommendation: F-Secure ได้ปล่อยแพตช์สำหรับช่องโหว่ดังกล่าวแล้ว แนะนำให้ผู้ใช้งานทำการอัปเดตผลิตภัณฑ์ที่ใช้งานอยู่โดยด่วน

Affected Platform
- F-Secure SAFE for Windows
- F-Secure Client Security/Premium
- F-Secure Server Security/Premium
- F-Secure PSB Server Security
- F-Secure Email and Server Security/Premium
- F-Secure PSB Email and Server Security
- F-Secure PSB Workstation Security
- F-Secure Computer Protection/Premium.

GuardiCore ออกประกาศแจ้งเตือนหลังจากค้นพบพฤติกรรมของมัลแวร์ชนิดใหม่ Prowli ซึ่งมุ่งโจมตีระบบด้วยวิธีการ brute force แล้วไปถึงใช้ช่องโหว่ที่เป็นที่รู้จักกันอยู่แล้วเพื่อเข้าควบคุมระบบ โดยมีจุดประสงค์ในการใช้ระบบเพื่อขุดบิทคอยน์และใช้เพื่อเป็นฐานการโจมตีในลักษณะอื่นๆ

มัลแวร์ Prowli มีการใช้ช่องโหว่ดังต่อไปนี้
- ในกรณีที่เป้าหมายเป็นเว็บไซต์ WordPress มัลแวร์จะใช้ช่องโหว่ที่มีอยู่แล้วรวมไปถึงการเดารหัสผ่านเพื่อเข้าถึงหน้าการตั้งค่า
- ในกรณีที่เป้าหมายเป็น Joomla! ที่มีการรันส่วนเสริม K2 มัลแวร์จะใช้ช่องโหว่รหัส CVE-2018-7482
- ในกรณีที่เป้าหมายเป็นอุปกรณ์โมเด็ม มัลแวร์จะพุ่งเป้าโจมตีเซอร์วิส TR-064 และ TR-069 ที่มีช่องโหว่อยู่แล้ว
- ในกรณีที่เป้าหมายเป็นอุปกรณ์ HP Data Protector มัลแวร์จะใช้ช่องโหว่รหัส (CVE-2014-2623)
- ใช้การคาดเดารหัสผ่านสำหรับ Drupal, phpMyadmin, NFS และ SMB

เมื่อเข้าควบคุมระบบเป้าหมายได้สำเร็จมัลแวร์จะมีการใช้แบ็คดอร์อย่าง WSO Web Shell รวมไปถึงติดตั้งโปรแกรมขุดบิทคอยน์และใช้ระบบดังกล่าวในเป็นช่องทางในการแพร่กระจายมัลแวร์อื่นๆ ด้วย

ที่มา: bleepingcomputer

Kaspersky มีแผนที่จะทำการย้ายข้อมูลผู้ใช้ และสายการผลิตซอฟแวร์จากรัสเซียไปยังสวิตเซอร์แลนด์ เพื่อยืนยันถึงความโปร่งใส และตรวจสอบได้ขององค์กร

ทาง Kaspersky กล่าวว่าการเปลี่ยนแปลงนี้จะสะท้อนให้เห็นถึงความมุ่งมั่น และตั้งใจในการรักษาความน่าเชื่อถือของบริษัทจากข่าวด้านลบที่ออกมาก่อนหน้านี้อย่างต่อเนื่อง ศูนย์ข้อมูลใน Zurich นี้จะรวบรวมข้อมูลของผู้ใช้งานในยุโรป, อเมริกาเหนือ, สิงคโปร์, ออสเตรเลีย, ญี่ปุ่น และเกาหลีใต้ รวมทั้ง Source Code ของผลิตภัณฑ์ทุกเวอร์ชั่น, ฐานข้อมูล detection rule และข้อมูลเกี่ยวกับสายการผลิตทั้งหมด โดยคาดการณ์ว่าน่าจะเสร็จสิ้นทั้งหมดก่อนสิ้นปี 2019

ทั้งนี้ Kaspersky ได้ถูกรัฐบาลสหรัฐกล่าวหาว่าทำการสอดแนมข้อมูลให้กับทางรัสเซีย และถูกแบนทั้งในประเทศสหรัฐอเมริกา, อังกฤษ และล่าสุดในประเทศเนเธอร์แลนด์ นอกจากนี้ Kaspersky ยังมีแผนที่จะเปิดศูนย์ดังกล่าวในเอเชีย และอเมริกาเหนื่อในปี 2020 ด้วย

ที่มา: bleepingcomputer

IBM ประกาศแพตช์ให้กับ 3 ช่องโหว่ด้านความปลอดภัยบน IBM Infosphere วันนี้โดยช่องโหวที่มีความรุนแรงสูงสุดนั้นสามารถทำให้ผู้ประสงค์ร้ายยกระดับสิทธิ์ของตนเองที่มีอยู่ในระบบให้เป็นสิทธิ์ของผู้ดูแลระบบได้

ช่องโหว่ทั้งหมด 3 รายการได้แก่
- CVE-2017-1350: ช่องโหว่ยกระดับสิทธิ์ (CVSSv3 8.4/10) กระทบรุ่น 9.1, 11.3, 11.5, และ 11.7
- CVE-2018-1432: ช่องโหว่ XSS (CVSSv3 6.1/10) กระทบรุ่น 9.1, 11.3, 11.5, และ 11.7
- CVE-2018-1454: ช่องโหว่ที่ส่งผลจากการตั้งค่า HSTS ทำให้สามารถทำ MITM ได้ (CVSSv3 5.9/10) กระทบรุ่น 11.3, 11.5, และ 11.7

Recommendation แนะนำให้ผู้ใช้งานที่มีการใช้งานซอฟต์แวร์ในรุ่นที่มีช่องโหว่ทำการอัปเดตซอฟต์แวร์ให้เป็นเวอร์ชันล่าสุดโดยด่วน

Affected Platform

- CVE-2017-1350: 9.1, 11.3, 11.5, และ 11.7
- CVE-2018-1432: 9.1, 11.3, 11.5, และ 11.7
- CVE-2018-1454: 11.3, 11.5, และ 11.7

ที่มา:
* https://nvd.

หลังจากที่ธนาคาร Bank of Montreal และ Simplii Financial ได้ประกาศการรั่วไหลของข้อมูลเมื่ออาทิตย์ที่ผ่านมา แฮกเกอร์ผู้ซึ่งอ้างว่าเป็นผู้โจมตีในครั้งนี้นั้นได้ออกมาขู่เรียกค่าไถ่กว่าเกือบ 1 ล้านเหรียญสหรัฐฯ ในสกุลเงิน Ripple เพื่อแลกกับการไม่เปิดเผยข้อมูลที่รั่วไหลออกมาของลูกค้ากว่า 100,000 คน

อีเมลที่ถูกส่งเพื่อเรียกค่าไถ่จากกลุ่มแฮกเกอร์ยังมีการเปิดเผยถึงวิธีการในเบื้องต้นที่ทำให้แฮกเกอร์สามารถเข้าถึงข้อมูลของบัญชีลูกค้าได้โดยอ้างว่า พวกเขาใช้อัลกอริธึมทางคณิตศาสตร์ทั่วไปในการสร้างเลขของบัญชีธนาคารที่เป็นเลขบัญชีจริง จากนั้นจึงใช้ข้อมูลดังกล่าวในการร้องขอให้ระบบล้างและตั้งค่ารหัสผ่านใหม่ได้

สำนักข่าว CBC News ออกมายืนยันการโจมตีนี้และยืนยันเพิ่มเติมว่าข้อมูลที่ผู้โจมตีใช้ในการกล่าวอ้างนั้นเป็นข้อมูลของลูกค้าซึ่งมีตัวตนจริง โดยทางธนาคารยังคงยืนยันที่จะไม่จ่ายค่าไถ่ให้กับแฮกเกอร์ โดยจะโฟกัสไปที่การปกป้องข้อมูลของผู้ใช้งานที่รั่วไหลออกต่อไป

ที่มา : BANK INFO SECURITY

ในช่วงปลายเดือนพฤกษาคมถึงต้นเดือนมิถุนายนที่ผ่านมา แอปเปิลได้มีการปล่อยแพตช์ด้านความปลอดภัยชุดใหญ่ซึ่งครอบคลุมหลายผลิตภัณฑ์ เฉพาะใน iOS 11.4 นั้น มีแพตช์ด้านความปลอดภัยกว่า 40 รายการ

สำหรับผลิตภัณฑ์ที่ได้รับการอัปเดตเวอร์ชันใหม่แถมแพตช์ด้านความปลอดภัยมีดังต่อไปนี้
- iTunes 12.7.5 for Windows
- watchOS 4.3.1
- iOS 11.4
- macOS High Sierra 10.13.5, Security Update 2018-003 Sierra, Security Update 2018-003 El Capitan
- Safari 11.1.1
- iCloud for Windows 7.5

โดยในรอบนี้นั้น WebKit ซึ่งเป็นเอนจินบนเว็บเบราว์เซอร์นั้นตกเป็นเป้าของการโจมตีและเป็นที่มาของหลายช่องโหว่ หนึ่งในนั้นคือช่องโหว่ CVE-2018-4233 ซึ่งถูกค้นพบโดย Samuel Groß (@5aelo) และถูกใช้งานในงาน Pwn2Own 2018 ที่ผ่านมา โดยทำให้เหยื่อถูกแฮกได้เพียงเป็นเปิดเว็บไซต์ที่มีโค้ดสำหรับโจมตีบนเครื่องที่มีช่องโหว่
Recommendation แนะนำให้ผู้ใช้งานทำการอัปเดตอุปกรณ์และซอฟต์แวร์ให้เป็นเวอร์ชันใหม่โดยด่วน

ที่มา : US-CERT

นักวิจัยภัยคุกคามอิสระ Kaffeine, นักวิจัยจาก Qihoo 360, Kaspersky, TrendMicro และ MalwareBytes ออกรายงานพฤติกรรมของเครือข่ายมัลแวร์ RIG Exploit Kit ล่าสุดที่มีการใช้ช่องโหว่รหัส CVE-2018-8174 ซึ่งเพิ่งถูกแพตช์เมื่อเดือนพฤษภาคมที่ผ่านมาเพื่อโจมตีระบบที่มีช่องโหว่และแพร่กระจายมัลแวร์ขุดบิทคอยน์

ช่องโหว่ CVE-2018-8174 เป็นช่องโหว่ในคอมโพเนนต์ VBScript ซึ่งถูกรวมอยู่ในโปรแกรมอย่าง Internet Explorer และ Microsoft Office ซึ่งทำให้ผู้โจมตีสามารถรันโค้ดที่เป็นอันตรายหรือมัลแวร์ในระบบของเหยื่อได้

เป็นที่เชื่อกันว่าพฤติกรรมของ RIG Exploit Kit เกิดขึ้นหลังจากมีการเปิดเผยโค้ดสำหรับพิสูจน์การมีอยู่ของช่องโหว่ (PoC) โดยนักวิจัยด้านความปลอดภัย Michael Gorelik จาก Morphisec ซึ่งทำให้มัลแวร์สามารถนำโค้ดดังกล่าวไปใช้ในการโจมตีและแพร่กระจายมัลแวร์ได้

แนะนำให้ผู้ใช้งานทำการอัปแพตช์ของระบบปฏิบัติการ Windows ให้เป็นรุ่นล่าสุดโดยด่วน

ที่มา: BLEEPINGCOMPUTER

นักวิจัยด้านความปลอดภัย Dmitri Kaslov จาก Telspace Systems ได้ประกาศการค้นพบช่องโหว่ล่าสุดในส่วน Jscript ซึ่งอยู่ในระบบปฏิบัติการ Windows โดยอาจส่งผลให้เกิดการรันโค้ดที่เป็นอันตรายได้จากระยะไกล

ช่องโหว่ดังกล่าวเกิดขึ้นจากปัญหาในลักษณะ dangling pointer ซึ่งในช่องโหว่นี้นั้นคือการที่ pointer ของโปรแกรมยังคงชี้ไปยังจุดใดจุดหนึ่งในหน่วยความจำเคยถูกใช้งานแต่ถูกคืนพื้นที่กลับไปแล้ว อาจส่งผลให้ pointer ชี้ไปยังหน่วยความจำที่มีการใช้งานอยู่แต่ไม่เกี่ยวข้องกับการทำงานและเกิดเป็นพฤติกรรมของโปรแกรมที่ไม่สามารถคาดเดาได้ (undefined behavior)

ในการโจมตีช่องโหว่นี้นั้น ผู้โจมตีจำเป็นต้องหลอกล่อให้ผู้ใช้งานทำการเปิดไฟล์หรือเปิดหน้าเว็บเพจเพื่อรันโค้ดสำหรับโจมตี ซึ่งถึงแม้จะโจมตีสำเร็จ โค้ดอันตรายที่ถูกรันก็ยังคงถูกรันอยู่สภาพแวดล้อมควบคุม (sandbox) ทำให้ความเสียหายที่จะเกิดขึ้นนั้นค่อนข้างน้อย

ไมโครซอฟต์รับทราบถึงการมีอยู่ของช่องโหว่แล้ว และจะดำเนินการแก้ไขพร้อมกับปล่อยแพตช์ออกมาในเร็วๆ นี้

ที่มา : bleepingcomputer

แจ้งเตือนช่องโหว่ใน Git เสี่ยงโดนรันโค้ดที่เป็นอันตรายได้
ซอฟต์แวร์ทำ version control “Git” ถูกระบุถึงการมีอยู่ของสองช่องโหว่ร้ายแรงเมื่อวานนี้ โดยผลจากการโจมตีช่องโหว่ดังกล่าวนั้นส่งผลให้เมื่อผู้ใช้งานทำการเรียกใช้ฟังก์ชัน clone จาก git ในรุ่นที่มีช่องโหว่แล้วไปยัง repository ที่ถูกสร้างขึ้นเพื่อโจมตีช่องโหว่แล้ว อาจถูกรันโค้ดที่เป็นอันตรายในระบบของผู้ใช้งานได้

ช่องโหว่แรกคือช่องโหว่ CVE-2018-11233 เป็นช่องโหว่ที่เกิดจากการอ่านข้อมูลที่เกินขอบเขตของหน่วยความจำเมื่อทำการตรวจสอบพาธในระบบไฟล์แบบ NTFS ส่วนช่องโหว่ที่สองคือช่องโหว่ CVE-2018-11235 นั้นเป็นช่องโหว่ remote code execution ซึ่งเกิดขึ้นเมื่อมีผู้ประสงค์ร้ายทำการสร้างไฟล์ .gitmodules ซึ่งเมื่อถูกโคลนด้วยคำสั่ง git clone –recurse-submodules แล้ว อาจส่งผลให้เกิดการทำ directory traversal และการรันโค้ดที่เป็นอันตรายได้

CVE-2018-11233 และ CVE-2018-11235 ส่งผลกระทบ Git ก่อนรุ่น 2.13.7, 2.14.x ก่อนรุ่น 2.14.4, 2.15.x ก่อนรุ่น 2.15.2, 2.16.x ก่อนรุ่น 2.16.4, และ 2.17.x ก่อนรุ่น 2.17.1
สองช่องโหว่ที่ถูกค้นพบนั้นได้ถูกแก้ไขแล้วใน Git รุ่น 2.17.1 ผู้ใช้งานสามารถทำการอัปเดตโปรแกรมเพื่อรับแพชต์สำหรับช่องโหว่ได้ทันที ในขณะเดียวกันในฝั่งของผู้ให้บริการอย่าง GitHub และ Microsoft ก็ได้มีการเพิ่มฟีเจอร์ในการตรวจสอบหาโค้ดสำหรับโจมตีที่อยู่ใน repository เพื่อช่วยป้องกันแล้ว

Recommendation
สองช่องโหว่ที่ถูกค้นพบนั้นได้ถูกแก้ไขแล้วใน Git รุ่น 2.17.1 ผู้ใช้งานสามารถทำการอัปเดตโปรแกรมเพื่อรับแพชต์สำหรับช่องโหว่ได้ทันที ในขณะเดียวกันในฝั่งของผู้ให้บริการอย่าง GitHub และ Microsoft ก็ได้มีการเพิ่มฟีเจอร์ในการตรวจสอบหาโค้ดสำหรับโจมตีที่อยู่ใน repository เพื่อช่วยป้องกันแล้ว

Affected Platform
Git ก่อนรุ่น 2.13.7, 2.14.x ก่อนรุ่น 2.14.4, 2.15.x ก่อนรุ่น 2.15.2, 2.16.x ก่อนรุ่น 2.16.4, และ 2.17.x ก่อนรุ่น 2.17.1

ที่มา : Microsoft