กลุ่มนักวิจัยด้านความปลอดภัยจากบริษัท Devcore ได้มีการเปิดเผยการค้นพบช่องโหว่บนซอฟต์แวร์ Exim หลังจากมีการปล่อยแพตช์ช่องโหว่ดังกล่าวออกมา โดยแพตช์ดังกล่าวนั้นถูกยืนยันว่า *กระทบ Exim ทุกเวอร์ชัน* ซึ่งทำให้ผู้โจมตีสามารถรันโค้ดที่เป็นอันตรายได้จากระยะไกลก่อนจะมีการพิสูจน์ตัวตน (Pre-auth Remote Code Execution)

ช่องโหว่ดังกล่าวนั้นเกิดขึ้นจากการคำนวณขนาดของ buffer เมื่อมีการถอดรหัสข้อมูลจากอัลกอริธึม Base64 ที่ผิดพลาด ส่งผลให้เกิดช่องโหว่แบบ one-byte heap overflow หรือ off-by-one ซึ่งอาจส่งผลให้เกิดการนำไปใช้งานเพื่อทำให้เกิดเงื่อนไขที่ผู้โจมตีสามารถทำการรันโค้ดได้จากระยะไกลจากปกติที่เกิดเพียงแค่การเขียนข้อมูลทับข้อมูลอื่นในหน่วยความจำ

Recommendation : ช่องโหว่ดังกล่าวส่งผลกระทบ Exim ในทุกๆ เวอร์ชัน แนะนำให้อัปเดตเป็นเวอร์ชันที่มีการแพตช์แล้วคือ 4.90.1 หรือใหม่กว่าโดยด่วน

Affected Platform : Exim ทุกเวอร์ชัน

ที่มา : Andreafortuna

Bitdefender ได้ปล่อยโปรแกรม Decrypter สำหรับช่วยถอดรหัสให้ผู้ตกเป็นเหยื่อของการติด ransomware ชนิด GandCrab ได้โดยไม่ต้องจ่ายค่าไถ่ ซึ่งสามารถดาวน์โหลดโปรแกรมได้ผ่านทางเว็ปไซต์ของ NoMoreRansom ซึ่ง Bitdefender เป็นสมาชิกอยู่

ransomware GandCrab พบครั้งแรกเมื่อปลายเดือนมกราคมที่ผ่านมา แพร่กระจายอย่างรวดเร็วผ่านการใช้ Exploit kits และอีเมลสแปม โดยไมโครซอฟท์กล่าวว่า GandCrab กลายเป็น ransomware ที่มีการแพร่กระจายมากที่สุดเป็นอันดับ 3 ในปีนี้ การตรวจสอบว่าไฟล์สามารถถอดรหัสได้หรือไม่ จำเป็นต้องใช้ ransom note ที่ปรากฎอยู่บนเครื่องหลังจากถูกเข้ารหัส และไฟล์ที่ถูกเข้ารหัสจำนวน 5 ไฟล์เพื่ออัพโหลดไปยัง Bitdefender เพื่อตรวจสอบ

Bitdefender กล่าวว่า Decrypter สามารถทำงานได้กับ GandCrab ในทุกเวอร์ชั่น แต่ก็มีผู้ใช้ และนักวิจัยด้านความปลอดภัยหลายรายที่รายงานปัญหาเกี่ยวกับขั้นตอนการถอดรหัส ซึ่งอาจจะมีข้อบกพร่องได้ เนื่องจากเป็น decrypter รุ่นแรก อย่างไรก็ตามหากพบปัญหา Bitdefender แนะนำให้ผู้ใช้ลองศึกษาเอกสารคู่มือก่อน และหากยังไม่สามารถแก้ปัญหาได้ สามารถส่งไปแจ้งตามอีเมลล์ที่ได้ระบุไว้ในเอกสารได้

เว็ปไซต์ : https://www.

พนักงานขององค์กร FS-ISAC ตกเป็นเหยื่อของการโจมตีแบบฟิชชิ่ง ทำให้ข้อมูลการเข้าสู่ระบบ(Credentials) โดนขโมย และถูกใช้ในการโจมตีพนักงานคนอื่นต่อไป

เหตุการณ์เกิดขึ้นหลังจากมีพนักงานคนหนึ่งดันไปเปิดอีเมลล์ที่เป็นอันตราย ทำให้ credentials ของเครื่องตนเองหลุดออกไป ผู้โจมตีจึงฉวยโอกาสสร้างอีเมลล์ที่แนบ PDF ซึ่งฝังลิงก์อันตราย แล้วส่งต่อไปยังพนักงานคนอื่นๆได้

แต่การโจมตีดังกล่าวก็ไม่สามารถสร้างผลกระทบได้มากนัก เนื่องจากมีพนักงานหลายคนที่ได้รับอีเมลล์ดังกล่าว สังเกตเห็นและได้แจ้งถึงการพบอีเมลล์ที่น่าสงสัย จึงสามารถจำกัดผลกระทบได้อย่างรวดเร็ว

จะเห็นได้ว่าการปลูกฝังจิตสำนึกด้านความปลอดภัยทางเทคโนโลยีให้แก่พนักงาน อย่างเช่นการจัด Awareness Training นั้น สามารถช่วยป้องกันและจำกัดความเสียหายที่อาจจะเกิดขึ้นจากการโจมตีได้ องค์กรหรือบริษัทจึงควรตระหนัก และไม่มองข้ามความสำคัญในข้อนี้ไป

ที่มา: scmagazine

ไมโครซอฟต์ปล่อยแพตช์รหัส KB4090913 ทาง Windows Update เมื่อวานนี้หลังจากมีการตรวจพบปัญหาในการใช้งานจากแพตช์ช่องโหว่ในไดร์ฟเวอร์ USB รหัส KB4074588 ซึ่งถูกปล่อยเมื่อช่วง Patch Tuesday ในเดือนกุมภาพันธ์ที่ผ่านมา เดือนแพตช์ที่ถูกปล่อยนั้นจะเป็นแพตช์เฉพาะ Windows 10 รุ่น 1709 เท่านั้น

ปัญหาที่ไมโครซอฟต์พบในแพตช์เก่ารหัส KB4074588 นั้นส่งงผลให้อุปกรณ์ที่เชื่อมต่อผ่าน USB หรืออุปกรณ์แบบออนบอร์ดไม่สามารถทำงานได้เนื่องจาก Windows Update มีการติดตั้งรุ่นของไดร์เวอร์ที่ผิดพลาด

Recommendation: หากใครเจอปัญหาในลักษณะดังกล่าวสามารถอัปเดตแพตช์ KB4090913 เพื่อแก้ไขปัญหาได้ทันที ส่วน Patch Tuesday สำหรับเดือนมีนาคม 2018 จะออกในวันที่ 13 มีนาคมนี้
Affected Platform: Windows 10 1709

ที่มา: bleepingcomputer

นักวิจัยจาก Purdue University ได้มีการเผยแพร่ช่องโหว่บนโปรโตคอล 4G LTE ใหม่กว่า 10 รายการในงานวิจัยชื่อ "LTEInspector: A Systematic Approach for Adversarial Testing of 4G LTE" ส่งผลให้สามารถดักฟัง ค้นหาตำแหน่ง รวมไปถึงส่งข้อความแจ้งเตือนปลอมได้

Syed Rafiul Hussain หนึ่งในนักวิจัยของโครงการดังกล่าวได้ให้สัมภาษณ์ว่า แม้การโจมตีในบางเงื่อนไขนั้นเคยถูกค้นพบมาแล้ว แต่งานวิจัยชิ้นนี้ก็พยายามที่จะนำเสนอความเป็นไปได้ที่จะโจมตีในช่องโหว่ดังกล่าวว่ามีความเป็นไปได้ที่จะทำได้จริงสูง โดยมีการยินยันช่องโหว่กับผู้ให้บริการในอเมริกาแล้ว และจะมีการเผยแพร่โค้ด PoC หลังจากมีการแก้ปัญหาเรียบร้อยแล้วต่อไป

ที่มา : ZDNET

โครงการ Internet Systems Consortium (ISC) ประกาศแพตช์ระดับความรุนแรงสูงสำหรับซอฟต์แวร์ ISC-BIND และ ISC-DHCP ซึ่งทำให้ผู้โจมตีสามารถทำการ DoS ซอฟต์แวร์ได้จากระยะไกล

สำหรับช่องโหว่แรกบนซอฟต์แวร์ BIND นั้นได้รหัส CVE-2018-5734 กระทบ BIND ในรุ่น 9.10.5-S1 to 9.10.5-S4, 9.10.6-S1 และ 9.10.6-S2 ได้คะแนน CVSSv3 ทั้งหมด 7.5 สามารถทำการอัปเดตแพตช์ได้ทันที หรือผิดการทำงานของฟังก์ชันที่มีปัญหาก่อนด้วยการตั้งค่า "servfail-ttl 0;"

ส่วนช่องโหว่ที่สองบนซอฟต์แวร์ DHCP นั้นได้รหัส CVE-2018-5732 กระทบ DHCP ในรุ่น 4.1.0 -> 4.1-ESV-R15, 4.2.0 -> 4.2.8, 4.3.0 -> 4.3.6, 4.4.0 ได้คะแนน CVssv3 ทั้งหมด 7.5 โดยไม่มีวิธีการแก้ปัญหาด้วยวิธีการอื่นนอกจากอัปเดตซอฟต์แวร์

Recommendation : ดำเนินการอัปเดตซอฟต์แวร์ที่อาจมีช่องโหว่ให้เป็นเวอร์ชันล่าสุดโดยด่วน

Affected Platform : BIND เวอร์ชัน 9.10.5-S1 to 9.10.5-S4, 9.10.6-S1 และ 9.10.6-S2
DHCP เวอร์ชัน 4.1.0 -> 4.1-ESV-R15, 4.2.0 -> 4.2.8, 4.3.0 -> 4.3.6, 4.4.0

ที่มา : US-CERT

อาชญากรไซเบอร์ที่อยู่เบื้องหลังการโจมตี DDoS ได้เพิ่มเทคนิคใหม่ช่วยให้สามารถโจมตีแบบ Amplify Attacks มากถึง 51,200x โดยใช้ Misconfigured Memcached Servers ที่สามารถเข้าถึงได้ผ่านทางอินเทอร์เน็ตสาธารณะ

เทคนิคนี้รายงานโดย Akamai, Arbor Networks และ Cloudflare เมื่อวันอังคารที่ผ่านมา มีการสังเกตเห็นการโจมตี DDoS โดยใช้แพคเก็ต User Datagram Protocol (UDP) เพื่อขยายทราฟฟิก Response ให้มีขนาดใหญ่กว่าทราฟฟิก Request โดยใช้ Memcached Servers

การโจมตีแบบ Reflection จะเกิดขึ้นเมื่อผู้โจมตีทำการปลอมหมายเลข IP ของเหยื่อแล้วส่ง Request ไปยังเครื่องจำนวนมาก ทำให้เกิด Response ขนาดใหญ่ถูกส่งกลับไปยังเป้าหมายตามหมายเลข IP ซึ่งจะทำให้เครือข่ายดังกล่าวล้มเหลว การโจมตี DDoS ประเภทนี้แตกต่างจากการโจมตี Amplification Attacks ในการโจมตีแบบ Amplification Attacks ผู้โจมตีจะส่งคำขอแพ็คเก็ต UDP ที่มีไบต์ขนาดเล็กไปยัง Memcached Server ที่เปิดใช้พอร์ต 11211

Majkowski กล่าวว่า “15 bytes ของ Request ที่ส่งมาทำให้เกิด Response ขนาด 134 KB นี่เป็นการโจมตี Amplification Factor ระดับ 10,000x! ในทางปฏิบัติ เราพบว่า Request ขนาด 15 bytes ทำให้เกิด Response ขนาด 750 KB (ขยายถึง 51,200x)”

Recommendation : การป้องการโจมตีควรกำหนดการตั้งค่า Firewall หรือปิดพอร์ต UDP 11211 ในกรณีที่ไม่มีการใช้งาน

ที่มา : Threatpost

สำนักข่าว The Asia Times รายงานว่า มีข้อมูลบัตรเครดิตและบัตรเดบิตจำนวนมากกว่า 10,000 ราย รั่วไหลซึ่งอาจมีที่มาจากธนาคารชื่อดัง Punjab National Bank (PNB) ยังไม่มีที่มาของการรั่วไหลที่ชัดเจน

การรั่วไหลดังกล่าวถูกเปิดเผยโดยบริษัทด้านความปลอดภัยของสิงคโปร์ "CloudSek" โดยทาง CloudSek ชี้แจงถึงการค้นพบการรั่วไหลดังกล่าวว่า CloudSek มีโปรแกรมสำหรับรวบรวมข้อมูลการใช้งานเว็บไซต์ dark/deep web (dark/deep web คือ เว็บรวมแหล่งข้อมูลผิดกฏหมายและเว็บไซต์ที่ต้องเข้าผ่าน Tor เป็นต้น) ซึ่งจะทำการตรวจสอบข้อมูลที่ค้นพบในแต่ละเว็บไซต์ต่างๆ ก่อนจะส่งไปยังระบบ Machine Learning ทำให้มีการตรวจพบการมีอยู่และการซื้อขายของข้อมูลดังกล่าว

ข้อมูลบัตรเครดิตและบัตรเดบิตของธนาคาร Punjab National Bank (PNB) มีการจำหน่ายซื้อขายในอินเตอร์เน็ตราคาจะอยู่ที่ประมาน $4.90 ต่อบัตร เป็นเวลานานกว่า 3 เดือนแล้ว

อย่างไรก็ตามยังไม่มีข้อมูลเพียงพอที่จะทราบได้แน่ชัดว่ามีการรั่วไหลอย่างไรกันแน่

ที่มา : EHackingNews

โครงการ phpMyAdmin ได้ออกแพตช์ใหม่รหัส PMASA-2018-1 (CVE-2018-7260) หลังจากที่ Mayur Udinya ค้นพบช่องโหว่ XSS ซึ่งทำให้เกิดการการขโมย session cookie ได้ กระทบต่อ phpMyAdmin ก่อนหน้า 4.7.8

ช่องโหว่ดังกล่าวนั้นเกิดขึ้นบน db_central_columns.

นักวิจัยด้านความปลอดภัย Edwin Foudil ทำการยึดโดเมนจำนวนกว่า700 โดเมนของเว็บไซต์ GitLab โดยใช้เวลาเพียงไม่กี่วินาที หลังจากที่เขาตรวจพบช่องโหว่ในระบบจะดการโดเมนเนมของบริษัทปัญหาดังกล่าวที่ไม่มีการตรวจสอบความถูกต้องเมื่อผู้ใช้เพิ่มโดเมนที่กำหนดเอง (custom domain) ไปยังบัญชี GitLab

เนื่องฟีเจอร์ GitLab Pages นั้นรองรับการตั้งค่าโดเมนเนม ผู้โจมตีจึงสามารถแก้ไขการตั้งค่าโดเมนเนมของ GitLab Pages ตัวเองถือครองอยู่ให้เป็นโดเมนเนมที่มีอยู่จริงของ GitLab และชี้ไปยังไอพีเดียวกันได้ ส่งผลให้ผู้โจมตีสามารถควบคุมเนื้อหาที่จะแสดงได้จากรไฟล์บน repository ด้วย

ทางบริษัทได้ทำการปิดฟังก์ชันดังกล่าวและกำลังดำเนินการแก้ปัญหาโดยคาดการณ์ว่าสามารถแก้ไขให้เสร็จสิ้นภายในสิ้นเดือนนี้

ที่มา: zdnet