กลุ่มนักวิจัยด้านความปลอดจาก NewSky Security ประกาศแจ้งเตือนหลังจากตรวจพบมัลแวร์ประเภทบ็อตเน็ต "DoubleDoor" ซึ่งมีการใช้ช่องโหว่ CVE-2015-7755 และ CVE-2016-10401 ซึ่งส่งผลให้เกิดการบายพาสไฟร์วอลล์ Juniper Netscreen เพื่อไปโจมตีเราท์เตอร์ ZyXEL ได้ อย่างไรก็ตามยังไม่มีการชี้ชัดถึงความร้ายแรงและพฤติกรรมที่เป็นอันตรายของมัลแวร์ชนิดนี้

สำหรับช่องโหว่ที่มัลแวร์มีการใช้นั้น CVE-2015-7755 เป็นช่องโหว่ชื่อดังซึ่งทำให้ผู้โจมตีสามารถเข้าถึงระบบด้วยชื่อผู้ใช้งานใดๆ ก็ได้เพียงแค่ใช้รหัสผ่านเป็น <<< %s(un=’%s’) = %u ส่วน CVE-2016-10401 เป็นช่องโหว่ในลักษณะเดียวกันคือผู้โจมตีสามารถเข้าถึงระบบได้ด้วยชื่อผู้ใช้งาน admin และรหัสผ่าน CenturyL1nk ก่อนจะใช้รหัสผ่านลับที่ฝังอยู่ภายใน zyad5001 เพื่อยกระดับสิทธิ์ตัวซึ่งสามาถควบคุมการทำงานของอุปกรณ์ได้ทั้งหมด

Recommendation
แนะนำให้ตรวจสอบรายละเอียดของอุปกรณ์ที่ได้รับผลกระทบจากรหัส CVE ที่ปรากฎและทำการอัปเดตรุ่นของเฟิร์มแวร์โดยด่วน

Affected Platform
Juniper ScreenOS 6.2.0r15 ถึง 6.2.0r18, 6.3.0r12 ถึงก่อน 6.3.0r12b, 6.3.0r13 ถึงก่อน 6.3.0r13b, 6.3.0r14 ถึงก่อน 6.3.0r14b, 6.3.0r15 ถึงก่อน 6.3.0r15b, 6.3.0r16 ถึงก่อน 6.3.0r16b, 6.3.0r17 ถึงก่อน 6.3.0r17b, 6.3.0r18 ถึงก่อน 6.3.0r18b, 6.3.0r19 ถึงก่อน 6.3.0r19b, และ 6.3.0r20 ถึงก่อน 6.3.0r21

ที่มา : bleepingcomputer

ช่องโหว่ โดยมีจุดประสงค์เพื่อแพร่กระจายมัลแวร์ขุด Monero "DDG" คาดมีจำนวนกว่า 4,000 เซิร์ฟเวอร์ สร้างรายได้กว่าเกือบ 1 ล้านดอลลาร์

อ้างอิงผลการสำรวจของ Netlab การโจมตีในครั้งนี้นั้นดูเหมือนจะมีจุดเริ่มต้นมาตั้งแต่ช่วงเดือนมีนาคม 2017 โดยผู้โจมตีนั้นพุ่งเป้าไปที่การเดารหัสผ่านสำหรับเซิร์ฟเวอร์ที่เป็น Redis และโจมตีด้วยช่องโหว่รหัส CVE-2017-11467 เพื่อให้สามารถรันโค้ดที่เป็นอันตรายได้กับเป้าหมายที่เป็น OrientDB จากสถิติการโจมตีที่รวบรวมมาได้นั้น 73% ของเซิร์ฟเวอร์ที่ถูกโจมตีนั้นอยู่ในจีนซึ่งส่วนแบ่งที่มีมากที่สุดนั้นมาจากเซิร์ฟเวอร์ที่เป็น Redis

เพื่อเป็นการป้องกันการแพร่กระจายของมัลแวร์ ผู้ดูแลระบบและผู้ใช้งานควรมีการปฏิบัติการ security best practice อย่างเคร่งครัด โดยสำหรับ Redis นั้น สามารถดำเนินการตามขั้นตอนแนะนำได้ที่ https://redis.

ต้นเหตุเพราะปลั๊กอิน! เว็บหน่วยงานราชการ UK ติด CoinHive กว่า 4,000 เว็บไซต์

เว็บหน่วยงานราชการของอังกฤษตกเป็นเป้าหมายการโจมตีอีกครั้งหลังจากแฮกเกอร์ทำการโจมตีช่องโหว่บนปลั๊กอิน Browsealoud เพื่อฝังสคริปต์สำหรับสร้างผลกำไรในสกุลเงินออนไลน์เสมือนกว่า 4,000 เว็บไซต์

ปลั๊กอินเจ้าปัญหา Browsealoud นั้นเป็นปลั๊กอินที่ช่วยให้ผู้พิการสามารถใช้งานเว็บไซต์ได้ง่ายมากขึ้น ในขณะเดียวกัน Texthelp ซึ่งเป็นผู้ผลิตปลั๊กอินดังกล่าวยืนยันว่าในขณะนี้ปลั๊กอิน Browsealoud กำลังถูกตรวจสอบเพื่อหาปัญหาด้านความปลอดภัยอย่างถี่ถ้วนอีกครั้ง และยืนยันว่าไม่มีการเข้าถึงหรือการขโมยข้อมูลที่เกี่ยวข้องกับผู้ใช้งานใดๆ
Recommendation หากเว็บไซต์ใดมีการใช้งาน Browsealoud อยู่ ทาง Texthelp ได้แนะนำให้ผู้ดูแลเว็บไซต์หรือระบบนำปลั๊กอินออกก่อน จนกว่าจะมีรายละเอียดและแพตช์ด้านความปลอดภัยที่สามารถช่วยลดผลกระทบได้

ที่มา : hackread

Lenovo ประกาศแจ้งเตือนอุปกรณ์ที่ได้รับผลกระทบเพิ่มจากช่องโหว่บนเฟิร์มแวร์ Wi-Fi ของ Broadcom (CVE-2017-11120) โดยมีอุปกรณ์ที่ได้รับผลกระทบจากช่องโหว่นี้กว่าหลายสิบรุ่น

ช่องโหว่ CVE-2017-11121 เป็นช่องโหว่ buffer overflow บนเฟิร์มแวร์ของ Broadcom ซึ่งถูกค้นพบโดย Gal Beniamini จาก Google Project Zero ช่องโหว่ดังกล่าวถูกระบุความร้ายแรงอยู่ในระดับสูงสุด (critical) และได้มีการทยอยแพตช์ไปกับอุปกรณ์บางส่วนแล้วโดย Google และ Apple

Recommendation : ทั้งนี้ Lenovo แนะนำให้ผู้ใช้งานติดตามข่าวสารจาก advisory เป็นระยะๆ และหากพบว่าอุปกรณ์ที่ใช้งานอยู่นั้นอาจได้รับผลกระทบจากช่องโหว่ ให้ดำเนินการปฏิบัติตามคำแนะนำที่ https://support.

Felix Krause นักวิจัยด้านความปลอดภัยจาก Fastlane Tools ได้มีการเปิดเผยเทคนิคใหม่ซึ่งใช้ API ของ macOS ในการถ่ายรูปหรือ live stream จากหน้าจอผู้ใช้งานและใช้ OCR เพื่อขโมยข้อมูล

CGWIndowListCreateImage ซึ่งเป็น API ตัวปัญหานั้นสามารถถูกเรียกได้จากแอปแม้ว่าจะถูกควบคุมโดยใช้ sandbox ไว้อยู่ หลักจากที่ข้อมูลที่เก็บอยู่ในลักษณะของมีเดียแล้ว Krause ได้สาธิตการใช้ OCR (optical character recognition) เพื่อวิเคราะห์แล้วดึงข้อมูลตัวอักษรออกมาจากมีเดียได้

Krause ได้ดำเนินการแจ้งเรื่องนี้แก่ Apple แล้ว แต่อย่างไรก็ตาม Apple ยังไม่มีทีท่าที่จะทำการแก้ไข โดย Krause ยังให้คำแนะนำแก่ Apple เพิ่มเติมว่า Apple เคยกำหนดให้มีการขออนุญาตจากผู้ใช้งานก่อนที่จะมีการพยายามถ่ายภาพหน้าจอใดๆ รวมไปถึงมีการแจ้งเตือนด้วย

Recommendation ยังไม่มีวิธีการป้องกันและแก้ไขใดๆ จากเทคนิคการโจมรูปแบบนี้
Affected Platform macOS

ที่มา : Bleepingcomputer

บริษัท TELCO สัญชาติสวิตเซอร์แลนด์ "Swisscom" ออกมาประกาศแจ้งเตือนผู้ใช้งานหลังจากตรวจพบการเข้าถึงข้อมูลที่อาจส่งผลให้ข้อมูลของผู้ใช้งานกว่า 800,000 คนรั่วไหล

ในเบื้องต้นทาง Swisscom ได้ออกมาแถลงการณ์ในเบื้องต้นนั้นมีที่มาจากการกำหนดสิทธิ์ที่ไม่เหมาะสมกับฝั่งคู่ค้า ทำให้ฝั่งคู่ค้าสามารถนำข้อมูลสำหรับเข้าสู่ระบบไปใช้ในลักษณะที่ประสงค์ร้ายได้ และยืนยันว่าไม่ได้มีการโจมตีระบบในลักษณะอื่นใดเข้ามา

ในขณะนี้ Swisscom ได้ดำเนินการแจ้งต่อคณะกรรมการและหน่วยงานที่เกี่ยวข้องพร้อมทั้งระงับการเข้าถึงข้อมูลใดๆ จากฝั่งคู่ค้าแล้ว โดยจะทำการเยียวยาผู้ใช้งานและปรับปรุงระบบให้มีความปลอดภัยมากขึ้นต่อไป

ที่มา : Securityweek

นักวิจัยด้านความปลอดภัย Robery Neumann และ Luke Somerbille จาก Forcepoint ได้ทำการวิเคราะห็มัลแวร์ซึ่งเชื่อกันกว่าเป็นมัลแวร์ที่มุ่งโจมตีระบบ PoS สายพันธุ์ใหม่ โดยมีพฤติกรรมสำคัญคือการใช้ DNS เป็น covert channel ในการขโมยข้อมูลออกไป

มัลแวร์สายพันธุ์นี้ซึ่งในภายหลังถูกตั้งชื่อว่า UDPoS ถูกพัฒนาให้เลียนแบบแอปพลิเคชันชื่อดัง "LogMeIn" อีกทั้งยังมีการใช้ชื่อเซิร์ฟเวอร์ C&C เป็น service-logmeln.

นักวิจัยด้านความปลอดภัย Jason Reaves จาก Fidelis Cybersecurity ได้เป็นเผยเทคนิคการทำ covert channel โดยอาศัยการฝังข้อมูลที่ต้องการขโมยไว้ในฟิลด์ของใบรับรองแบบ X.509 ซึ่งมักจะไม่ถูกตรวจสอบหรือบล็อคโดยระบบป้องกัน

หนึ่งในตัวอย่างทดสอบนั้น Reaves ทำการแก้ไขฟิลด์ SubjectKeyIdentifier เพื่อสอดแทรกข้อมูลที่เป็นอันตรายลงไป Reaves ยืนยันว่านอกเสียจากจะตรวจสอบค่าทุกค่าในใบรับรองแบบ X.509 แล้ว ก็ไม่มีวิธีอื่นใดที่จะตรวจจับวิธีการในลักษณะนี้ได้

ดูตัวอย่างการสาธิตเทคนิคนี้ได้จาก https://www.

ทีมนักวิจัยชาวจีนจาก Qihoo 360 Netlab ได้ประกาศการค้นพบมัลแวร์ ADB.Miner ที่สามารถแพร่กระจา่ยตัวเองได้บนระบบปฏิบัติการแอนดรอยด์ซึ่งมีเป้าหมายในการแสวงหาผลกำไรจากสกุลเงินออนไลน์เสมือนผ่านทางการแสกนหาอุปกรณ์ที่มีช่องโหว่

พฤติกรรมของ ADB.Miner ถูกออกแบบมาให้เลียนแบบการทำงานของบ็อตเน็ตชื่อดังอย่าง Mirai โดยมันจะทำการสแกนหาอุปกรณ์ที่ใช้แอนดรอยด์ทั้งหมดไม่ว่าจะเป็นโทรศัพท์มือถือ สมาร์ททีวีหรืออุปกรณ์อื่นๆ ที่เปิดให้สามารถเข้าถึงจากระยะไกลที่พอร์ต 5555/TCP เพื่อทำการติดตั้งมัลแวร์ ซึ่งอย่างไม่มีการเปิดเผยในขณะนี้ว่ามีการใช้เทคนิคใดร่วมด้วยหรือเปล่า

พอร์ต 5555/TCP เป็นพอร์ตของซอฟต์แวร์ Android Debug Bridge (ADB) ซึ่งเป็นซอฟต์แวร์สำหรับช่วยให้นักพัฒนาสามารถตรวจสอบการทำงานของแอปแอนดรอยด์ได้จากคอมพิวเตอร์
Recommendation แนะนำให้ตรวจสอบการใช้งานของอุปกรณ์แอนดรอยด์เพื่อหาความผิดปกติอย่างสม่ำเสมอ ไม่ติดตั้งแอปที่ต้องสงสัยและปฏิบัติตามข้อควรปฏิบัติเพื่อการใช้งานที่ปลอดภัยอย่างเคร่งครัด

แนะนำให้ตรวจสอบการใช้งานของอุปกรณ์แอนดรอยด์เพื่อหาความผิดปกติอย่างสม่ำเสมอ ไม่ติดตั้งแอปที่ต้องสงสัยและปฏิบัติตามข้อควรปฏิบัติเพื่อการใช้งานที่ปลอดภัยอย่างเคร่งครัด

ที่มา : TheHackerNews

กลุ่มนักวิจัยด้านความปลอดภับจาก RIPS Technologies ได้มีการเปิดเผยถึงการค้นพบช่องโหว่ secord-order SQL injection ใน Joomla! เวอร์ชันก่อนหน้า 3.8.4 และมากกว่า 3.7.0 ซึ่งส่งผลให้ผู้โจมตีสามารถยกระดับสิทธิ์ตัวเองเป็นผู้ดูแลระบบเว็บไซต์ได้

ช่องโหว่นี้ได้รับการแพตช์ในแพตช์ด้านความปลอดภัยที่ถูกเผยแพร่ออกมาในวันที่ 30 มกราคม แนะนำให้ผู้ใช้งาน Joomla! ทำการตรวจสอบและอัปเดตโดยด่วน
Affected Platform - Joomla! รุ่นน้อยกว่า 3.8.4 และ มากกว่า 3.7.0

ที่มา : Ripstech