Kaspersky มีแผนที่จะทำการย้ายข้อมูลผู้ใช้ และสายการผลิตซอฟแวร์จากรัสเซียไปยังสวิตเซอร์แลนด์ เพื่อยืนยันถึงความโปร่งใส และตรวจสอบได้ขององค์กร

ทาง Kaspersky กล่าวว่าการเปลี่ยนแปลงนี้จะสะท้อนให้เห็นถึงความมุ่งมั่น และตั้งใจในการรักษาความน่าเชื่อถือของบริษัทจากข่าวด้านลบที่ออกมาก่อนหน้านี้อย่างต่อเนื่อง ศูนย์ข้อมูลใน Zurich นี้จะรวบรวมข้อมูลของผู้ใช้งานในยุโรป, อเมริกาเหนือ, สิงคโปร์, ออสเตรเลีย, ญี่ปุ่น และเกาหลีใต้ รวมทั้ง Source Code ของผลิตภัณฑ์ทุกเวอร์ชั่น, ฐานข้อมูล detection rule และข้อมูลเกี่ยวกับสายการผลิตทั้งหมด โดยคาดการณ์ว่าน่าจะเสร็จสิ้นทั้งหมดก่อนสิ้นปี 2019

ทั้งนี้ Kaspersky ได้ถูกรัฐบาลสหรัฐกล่าวหาว่าทำการสอดแนมข้อมูลให้กับทางรัสเซีย และถูกแบนทั้งในประเทศสหรัฐอเมริกา, อังกฤษ และล่าสุดในประเทศเนเธอร์แลนด์ นอกจากนี้ Kaspersky ยังมีแผนที่จะเปิดศูนย์ดังกล่าวในเอเชีย และอเมริกาเหนื่อในปี 2020 ด้วย

ที่มา: bleepingcomputer

IBM ประกาศแพตช์ให้กับ 3 ช่องโหว่ด้านความปลอดภัยบน IBM Infosphere วันนี้โดยช่องโหวที่มีความรุนแรงสูงสุดนั้นสามารถทำให้ผู้ประสงค์ร้ายยกระดับสิทธิ์ของตนเองที่มีอยู่ในระบบให้เป็นสิทธิ์ของผู้ดูแลระบบได้

ช่องโหว่ทั้งหมด 3 รายการได้แก่
- CVE-2017-1350: ช่องโหว่ยกระดับสิทธิ์ (CVSSv3 8.4/10) กระทบรุ่น 9.1, 11.3, 11.5, และ 11.7
- CVE-2018-1432: ช่องโหว่ XSS (CVSSv3 6.1/10) กระทบรุ่น 9.1, 11.3, 11.5, และ 11.7
- CVE-2018-1454: ช่องโหว่ที่ส่งผลจากการตั้งค่า HSTS ทำให้สามารถทำ MITM ได้ (CVSSv3 5.9/10) กระทบรุ่น 11.3, 11.5, และ 11.7

Recommendation แนะนำให้ผู้ใช้งานที่มีการใช้งานซอฟต์แวร์ในรุ่นที่มีช่องโหว่ทำการอัปเดตซอฟต์แวร์ให้เป็นเวอร์ชันล่าสุดโดยด่วน

Affected Platform

- CVE-2017-1350: 9.1, 11.3, 11.5, และ 11.7
- CVE-2018-1432: 9.1, 11.3, 11.5, และ 11.7
- CVE-2018-1454: 11.3, 11.5, และ 11.7

ที่มา:
* https://nvd.

หลังจากที่ธนาคาร Bank of Montreal และ Simplii Financial ได้ประกาศการรั่วไหลของข้อมูลเมื่ออาทิตย์ที่ผ่านมา แฮกเกอร์ผู้ซึ่งอ้างว่าเป็นผู้โจมตีในครั้งนี้นั้นได้ออกมาขู่เรียกค่าไถ่กว่าเกือบ 1 ล้านเหรียญสหรัฐฯ ในสกุลเงิน Ripple เพื่อแลกกับการไม่เปิดเผยข้อมูลที่รั่วไหลออกมาของลูกค้ากว่า 100,000 คน

อีเมลที่ถูกส่งเพื่อเรียกค่าไถ่จากกลุ่มแฮกเกอร์ยังมีการเปิดเผยถึงวิธีการในเบื้องต้นที่ทำให้แฮกเกอร์สามารถเข้าถึงข้อมูลของบัญชีลูกค้าได้โดยอ้างว่า พวกเขาใช้อัลกอริธึมทางคณิตศาสตร์ทั่วไปในการสร้างเลขของบัญชีธนาคารที่เป็นเลขบัญชีจริง จากนั้นจึงใช้ข้อมูลดังกล่าวในการร้องขอให้ระบบล้างและตั้งค่ารหัสผ่านใหม่ได้

สำนักข่าว CBC News ออกมายืนยันการโจมตีนี้และยืนยันเพิ่มเติมว่าข้อมูลที่ผู้โจมตีใช้ในการกล่าวอ้างนั้นเป็นข้อมูลของลูกค้าซึ่งมีตัวตนจริง โดยทางธนาคารยังคงยืนยันที่จะไม่จ่ายค่าไถ่ให้กับแฮกเกอร์ โดยจะโฟกัสไปที่การปกป้องข้อมูลของผู้ใช้งานที่รั่วไหลออกต่อไป

ที่มา : BANK INFO SECURITY

ในช่วงปลายเดือนพฤกษาคมถึงต้นเดือนมิถุนายนที่ผ่านมา แอปเปิลได้มีการปล่อยแพตช์ด้านความปลอดภัยชุดใหญ่ซึ่งครอบคลุมหลายผลิตภัณฑ์ เฉพาะใน iOS 11.4 นั้น มีแพตช์ด้านความปลอดภัยกว่า 40 รายการ

สำหรับผลิตภัณฑ์ที่ได้รับการอัปเดตเวอร์ชันใหม่แถมแพตช์ด้านความปลอดภัยมีดังต่อไปนี้
- iTunes 12.7.5 for Windows
- watchOS 4.3.1
- iOS 11.4
- macOS High Sierra 10.13.5, Security Update 2018-003 Sierra, Security Update 2018-003 El Capitan
- Safari 11.1.1
- iCloud for Windows 7.5

โดยในรอบนี้นั้น WebKit ซึ่งเป็นเอนจินบนเว็บเบราว์เซอร์นั้นตกเป็นเป้าของการโจมตีและเป็นที่มาของหลายช่องโหว่ หนึ่งในนั้นคือช่องโหว่ CVE-2018-4233 ซึ่งถูกค้นพบโดย Samuel Groß (@5aelo) และถูกใช้งานในงาน Pwn2Own 2018 ที่ผ่านมา โดยทำให้เหยื่อถูกแฮกได้เพียงเป็นเปิดเว็บไซต์ที่มีโค้ดสำหรับโจมตีบนเครื่องที่มีช่องโหว่
Recommendation แนะนำให้ผู้ใช้งานทำการอัปเดตอุปกรณ์และซอฟต์แวร์ให้เป็นเวอร์ชันใหม่โดยด่วน

ที่มา : US-CERT

นักวิจัยภัยคุกคามอิสระ Kaffeine, นักวิจัยจาก Qihoo 360, Kaspersky, TrendMicro และ MalwareBytes ออกรายงานพฤติกรรมของเครือข่ายมัลแวร์ RIG Exploit Kit ล่าสุดที่มีการใช้ช่องโหว่รหัส CVE-2018-8174 ซึ่งเพิ่งถูกแพตช์เมื่อเดือนพฤษภาคมที่ผ่านมาเพื่อโจมตีระบบที่มีช่องโหว่และแพร่กระจายมัลแวร์ขุดบิทคอยน์

ช่องโหว่ CVE-2018-8174 เป็นช่องโหว่ในคอมโพเนนต์ VBScript ซึ่งถูกรวมอยู่ในโปรแกรมอย่าง Internet Explorer และ Microsoft Office ซึ่งทำให้ผู้โจมตีสามารถรันโค้ดที่เป็นอันตรายหรือมัลแวร์ในระบบของเหยื่อได้

เป็นที่เชื่อกันว่าพฤติกรรมของ RIG Exploit Kit เกิดขึ้นหลังจากมีการเปิดเผยโค้ดสำหรับพิสูจน์การมีอยู่ของช่องโหว่ (PoC) โดยนักวิจัยด้านความปลอดภัย Michael Gorelik จาก Morphisec ซึ่งทำให้มัลแวร์สามารถนำโค้ดดังกล่าวไปใช้ในการโจมตีและแพร่กระจายมัลแวร์ได้

แนะนำให้ผู้ใช้งานทำการอัปแพตช์ของระบบปฏิบัติการ Windows ให้เป็นรุ่นล่าสุดโดยด่วน

ที่มา: BLEEPINGCOMPUTER

นักวิจัยด้านความปลอดภัย Dmitri Kaslov จาก Telspace Systems ได้ประกาศการค้นพบช่องโหว่ล่าสุดในส่วน Jscript ซึ่งอยู่ในระบบปฏิบัติการ Windows โดยอาจส่งผลให้เกิดการรันโค้ดที่เป็นอันตรายได้จากระยะไกล

ช่องโหว่ดังกล่าวเกิดขึ้นจากปัญหาในลักษณะ dangling pointer ซึ่งในช่องโหว่นี้นั้นคือการที่ pointer ของโปรแกรมยังคงชี้ไปยังจุดใดจุดหนึ่งในหน่วยความจำเคยถูกใช้งานแต่ถูกคืนพื้นที่กลับไปแล้ว อาจส่งผลให้ pointer ชี้ไปยังหน่วยความจำที่มีการใช้งานอยู่แต่ไม่เกี่ยวข้องกับการทำงานและเกิดเป็นพฤติกรรมของโปรแกรมที่ไม่สามารถคาดเดาได้ (undefined behavior)

ในการโจมตีช่องโหว่นี้นั้น ผู้โจมตีจำเป็นต้องหลอกล่อให้ผู้ใช้งานทำการเปิดไฟล์หรือเปิดหน้าเว็บเพจเพื่อรันโค้ดสำหรับโจมตี ซึ่งถึงแม้จะโจมตีสำเร็จ โค้ดอันตรายที่ถูกรันก็ยังคงถูกรันอยู่สภาพแวดล้อมควบคุม (sandbox) ทำให้ความเสียหายที่จะเกิดขึ้นนั้นค่อนข้างน้อย

ไมโครซอฟต์รับทราบถึงการมีอยู่ของช่องโหว่แล้ว และจะดำเนินการแก้ไขพร้อมกับปล่อยแพตช์ออกมาในเร็วๆ นี้

ที่มา : bleepingcomputer

แจ้งเตือนช่องโหว่ใน Git เสี่ยงโดนรันโค้ดที่เป็นอันตรายได้
ซอฟต์แวร์ทำ version control “Git” ถูกระบุถึงการมีอยู่ของสองช่องโหว่ร้ายแรงเมื่อวานนี้ โดยผลจากการโจมตีช่องโหว่ดังกล่าวนั้นส่งผลให้เมื่อผู้ใช้งานทำการเรียกใช้ฟังก์ชัน clone จาก git ในรุ่นที่มีช่องโหว่แล้วไปยัง repository ที่ถูกสร้างขึ้นเพื่อโจมตีช่องโหว่แล้ว อาจถูกรันโค้ดที่เป็นอันตรายในระบบของผู้ใช้งานได้

ช่องโหว่แรกคือช่องโหว่ CVE-2018-11233 เป็นช่องโหว่ที่เกิดจากการอ่านข้อมูลที่เกินขอบเขตของหน่วยความจำเมื่อทำการตรวจสอบพาธในระบบไฟล์แบบ NTFS ส่วนช่องโหว่ที่สองคือช่องโหว่ CVE-2018-11235 นั้นเป็นช่องโหว่ remote code execution ซึ่งเกิดขึ้นเมื่อมีผู้ประสงค์ร้ายทำการสร้างไฟล์ .gitmodules ซึ่งเมื่อถูกโคลนด้วยคำสั่ง git clone –recurse-submodules แล้ว อาจส่งผลให้เกิดการทำ directory traversal และการรันโค้ดที่เป็นอันตรายได้

CVE-2018-11233 และ CVE-2018-11235 ส่งผลกระทบ Git ก่อนรุ่น 2.13.7, 2.14.x ก่อนรุ่น 2.14.4, 2.15.x ก่อนรุ่น 2.15.2, 2.16.x ก่อนรุ่น 2.16.4, และ 2.17.x ก่อนรุ่น 2.17.1
สองช่องโหว่ที่ถูกค้นพบนั้นได้ถูกแก้ไขแล้วใน Git รุ่น 2.17.1 ผู้ใช้งานสามารถทำการอัปเดตโปรแกรมเพื่อรับแพชต์สำหรับช่องโหว่ได้ทันที ในขณะเดียวกันในฝั่งของผู้ให้บริการอย่าง GitHub และ Microsoft ก็ได้มีการเพิ่มฟีเจอร์ในการตรวจสอบหาโค้ดสำหรับโจมตีที่อยู่ใน repository เพื่อช่วยป้องกันแล้ว

Recommendation
สองช่องโหว่ที่ถูกค้นพบนั้นได้ถูกแก้ไขแล้วใน Git รุ่น 2.17.1 ผู้ใช้งานสามารถทำการอัปเดตโปรแกรมเพื่อรับแพชต์สำหรับช่องโหว่ได้ทันที ในขณะเดียวกันในฝั่งของผู้ให้บริการอย่าง GitHub และ Microsoft ก็ได้มีการเพิ่มฟีเจอร์ในการตรวจสอบหาโค้ดสำหรับโจมตีที่อยู่ใน repository เพื่อช่วยป้องกันแล้ว

Affected Platform
Git ก่อนรุ่น 2.13.7, 2.14.x ก่อนรุ่น 2.14.4, 2.15.x ก่อนรุ่น 2.15.2, 2.16.x ก่อนรุ่น 2.16.4, และ 2.17.x ก่อนรุ่น 2.17.1

ที่มา : Microsoft

Bob Diachenko จาก Kromtech เปิดเผยการค้นพบสอง S3 bucket ของ Honda Car India ซึ่งไม่ได้มีตั้งค่าการเข้าถึงอย่างปลอดภัย ส่งผลให้ข้อมูลลูกค้ากว่า 50,000 รายการรั่วไหล

ภายใต้ทั้งสอง S3 bucket นั้น ประกอบไปด้วยข้อมูลของชื่อลูกค้า, หมายเลขโทรศัพท์, อีเมล, บัญชีของลูกค้ารวมไปถึงรหัสผ่านด้วย

Diachenko ให้ข้อมูลเพิ่มเติมว่า จากการตรวจสอบทั้งสอง bucket เบื้องต้น เขาค้นพบหลักฐานที่ทำให้เชื่อได้ว่าทั้งสอง bucket นั้นเคยถูกค้นพบแล้วโดยแฮกเกอร์ Robbie Wiggins ซึ่งเขาได้ทิ้งหลักฐานเอาไว้ในทั้งสอง bucket เพื่อเป็นหลักฐานในการพิสูจน์ว่าการตั้งค่าการใช้งานนั้นมีปัญหาด้านความปลอดภัย โดยข้อความนั้นบ่งชี้ว่าทั้งสอง bucket ถูกแจ้งว่ามีความเสี่ยงแล้วเป็นเวลามากว่า 3 เดือน

ในขณะนี้ Honda Car India ได้ทำการแก้ไขการตั้งค่าใหม่ให้เป็นการตั้งค่าที่ปลอดภัยแล้ว

ที่มา : bleepingcomputer

แจ้งเตือนช่องโหว่ระดับวิกฤติใน SIEM จาก IBM "QRadar"

นักวิจัยด้านความปลอดภัยอิสระ Pedro Ribeiro ได้ประกาศการค้นช่องโหว่ 3 ช่องโหว่ซึ่งเมื่อนำมาใช้งานร่วมกันแล้ว สามารถทำให้ผู้โจมตีทำการโจมตี IBM QRadar จากระยะไกลแล้วยังได้สิทธิ์สูงสุดในระบบได้

ช่องโหว่ทั้ง 3 ช่องโหว่นั้นถูกระบุรวมกันในรหัส CVE-2018-1418 โดยช่องโหว่แรกทำให้ผู้โจมตีสามารถข้ามผ่านการพิสูจน์ตัวตนของระบบได้ จากนั้นช่องโหว่ที่สองจะสามารถถูกใช้เพื่อทำการรันโค้ดที่เป็นอันตราย และสุดท้ายช่องโหว่ที่สามจะถูกใช้เพื่อยกระดับสิทธิ์

NIST ให้ความรุนแรงของ CVE-2018-1418 ที่คะแนน 9.8/10 โดยช่องโหว่นี้ส่งผลกระทบผลิตภัณฑ์ในรุ่น 7.3.0-7.3.1 Patch 2 และ 7.2.0-7.2.8 Patch 11 ผู้ใช้งานสามารถทำการอัปเกรดเป็นรุ่น 7.3.1 Patch 3 และ 7.2.8 Patch 12 เพื่อรับแพตช์ช่องโหว่ได้

ที่มา : securityweek

US-CERT แจ้งเตือนความเคลื่อนไหวของกลุ่มแฮกเกอร์จากเกาหลีเหนือ "Hidden Cobra" ล่าสุด พบ IOC ใหม่จากมัลแวร์เก่า

US-CERT ประกาศแจ้งเตือนล่าสุดรหัส TA18-149A หลังจากมีการตรวจพบความเคลื่อนไหวของกลุ่มแฮกเกอร์สัญชาติเกาหลีเหนือ "Hidden Cobra" ซึ่งมีความเกี่ยวข้องกับมัลแวร์ที่เคยมีการแพร่กระจายมาแล้วคือ "Joanap" และ "Brambul" ด้วย
มัลแวร์ Joanap ถูกระบุว่าเป็นมัลแวร์ที่จะถูกติดตั้งเมื่อผู้โจมตียึดครองระบบได้แล้ว โดยมีจุดประสงค์เพื่อสร้างการเชื่อมต่อแบบ peer-to-peer กับเซิร์ฟเวอร์ที่ใช้ออกคำสั่งและควบคุมซึ่งทำให้ผู้โจมตีสามารถสร้างกองทัพของบ็อตเน็ตจากเซิร์ฟเวอร์ที่เคยยึดครองแล้วได้ ส่วนมัลแวร์ "Brambul" นั้นเป็นมัลแวร์ที่แพร่กระจายผ่านทางโปรโตคอล SMB (TCP/139, TCP/445) ด้วยวิธีการเดารหัสผ่าน เพื่อให้ผู้โจมตีสามารถควบคุมระบบจากระยะไกลได้

ไอ-ซีเคียวแนะนำให้ผู้ดูแลระบบทำการตรวจสอบตัวบ่งชี้ภัยคุกคามจากแหล่งที่มากับระบบภายในเพื่อค้นหาการมีอยู่ของมัลแวร์ดังกล่าว รวมถึงตั้งค่าระบบให้ปลอดภัยเพื่อป้องกันการโจมตที่จะเกิดขึ้นควบคู่กันไปด้วย

ที่มา : us-cert