แจ้งเตือนช่องโหว่ใน DNS resolver ของ systemd ยิงระบบค้างได้

นักวิจัยและพัฒนาช่องโหว่ William Gamazo Sanchez จาก TrendMicro ได้มีการเปิดเผยการค้นพบช่องโหว่พร้อมทั้งรายละเอียดล่าสุดวันนี้โดยช่องโหว่ที่มีการค้นพบนั้นเป็นช่องโหว่รหัส CVE-2017-15908 ซึ่งอยู่ในฟังก์ชันการทำ DNS resolve ของ systemd ซึ่งปัจจุบันมีการใช้งานอยู่ในระบบปฏิบัติการลินุกซ์หลายดิสโทร

การโจมตีช่องโหว่นี้จะเกิดขึ้นเมื่อเซิร์ฟเวอร์ที่ให้บริการ DNS ที่มีช่องโหว่ทำการรีเควสต์เพื่อร้องขอข้อมูลไปยังเซิร์ฟเวอร์ที่ให้บริการ DNS ที่ถูกควบคุมโดยผู้โจมตี โดยเซิร์ฟเวอร์ที่ให้บริการ DNS ที่ถูกควบคุมโดยผู้โจมตีจะมีการส่งข้อมูลตอบรับแบบพิเศษมาส่งผลให้เซิร์ฟเวอร์ที่ให้บริการ DNS ทีมีช่องโหว่เมื่อได้รับแพ็คเกตดังกล่าวแล้วจะทำการวนการทำงานแบบไม่มีสิ้นสุด ใช้ทรัพยากรของระบบจนหมดและทำให้ระบบไม่สามารถให้บริการได้
Recommendation ในตอนนี้ช่องโหว่นี้ได้มีแพตช์ออกมาเป็นที่เรียบร้อยแล้ว ทาง TrendMicro แนะนำให้ผู้ดูแลระบบทำการตรวจสอบแพตช์เฉพาะดิสโทรของตัวเองโดยทันที อย่างไรก็ตามหากระบบไม่สามารถทำการแพตช์ได้ TrendMicro แนะนำให้ผู้ดูแลระบบทำการบล็อคแพ็คเกต DNS แบบพิเศษที่สามารถโจมตีช่องโหว่ได้ (ดูเพิ่มเติมใน RFC 4034 ส่วนที่ 4 หรือ NSEC record) เพื่อป้องกันระบบในเบื้องต้น

ที่มา : Trendmicro

Exim 4.88 และ 4.89 Conclusion แจ้งเตือนช่องโหว่อันตรายร้ายแรงบนซอฟต์แวร์จัดการอีเมลบนเซิร์ฟเวอร์ Exim

ผู้พัฒนาโครงการซอฟต์แวร์จัดการอีเมลบนเซิร์ฟเวอร์ Phil Pennock ได้ประกาศแจ้งเตือนช่องโหว่รหัส CVE-2017-16944 (โดยไม่มีใครได้ตั้งตัว) บนซอฟต์แวร์ EXIM วันนี้โดยช่องโหว่ดังกล่าวนั้นอาจส่งผลให้ผู้โจมตีสามารถถูกโจมตีเพื่อรันโค้ดที่เป็นอันตรายได้จากระยะไกลหรือขัดขวางการทำงานของระบบได้

ช่องโหว่บน Exim เกิดขึ้นจากพฤติกรรมการทำงานของซอฟต์แวร์เมื่อมีการตรวจสอบค่าในฟิลด์ BDAT ซอฟต์แวร์ Exim จะทำการสแกนค่าอักขระ . เพื่อระบุหาจุดสิ้นสุดของอีเมล อย่างไรก็ตามฟังก์ชันที่ทำหน้าที่ (receive_getc) นี้กลับทำงานอย่างไม่ถูกต้องทำให้เกิดการเขียนข้อมูลล้นหน่วยความจำที่ถูกจองไว้และส่งผลให้โปรแกรมแครช หรือในสถานการณ์ที่เลวร้ายที่สุดผู้โจมตีสามารถใช้ช่องโหว่ดังกล่าวในการควบคุมการทำงานของซอฟต์แวร์เพื่อรันโค้ดจากระยะไกลได้

ช่องโหว่นี้ถูกค้นพบในเวอร์ชัน 4.88 และ 4.89
Recommendation ในการป้องกันในเบื้องต้นนั้น Phil Pennock แนะนำให้มีการแก้ไขการตั้งค่าของซอฟต์แวร์โดยแก้ไขออปชั่น chunking_advertise_hosts= ให้เป็นค่าว่างจนกว่าจะมีแพตช์ของซอฟต์แวร์ออกมา

ที่มา : Theregister

CERT/CC ออกประกาศได้ความปลอดภัย VU#817544 เมื่ออาทิตย์ที่ผ่านมาหลังจากมีการค้นพบข้อผิดพลาดใน Windows 8 หรือใหม่กว่าซึ่งเป็นผลการทำงานของฟังก์ชันด้านความปลอดภัยหนึ่งไม่สมบูรณ์ และอาจส่งผลต่อความปลอดภัยของระบบในภาพรวมได้

ฟังก์ชันหรือฟีเจอร์ด้านความปลอดภัยนี้มีชื่อว่า ASLR ซึ่งเริ่มใช้งานตั้งแต่ Windows Vista เป็นต้นมา ฟังก์ชันนี้ช่วยป้องกันการโจมตีแบบ code-reuse หรือที่รู้จักกันในชื่อ Return-oriented programming (ROP) ได้โดยการทำให้โมดูลหรือไลบรารีที่ถูกโหลดขึ้นมานั้นอยู่ในตำแหน่งแบบสุ่มแทนที่จะอยู่ในตำแหน่งที่คาดเดาได้จากผู้โจมตี

ตั้งแต่ Windows 8 เป็นต้นมา โปรแกรม EMET (หรือ Windows Defender Exploit Guard) เข้ามามีส่วนสำคัญในการอิมพลีเมนต์ ASLR ให้กับแอปพลิเคชันอื่นๆ อย่างไรก็ตามมีการค้นพบการอิมพลีเมนต์ ASLR โดยโปรแกรม EMET หรือ Windows Defender Exploit Guard ไม่สมบูรณ์และอาจทำให้โปรแกรมไม่ได้ถูกปกป้องโดย ASLR อย่างที่ผู้ใช้งานคาดหวังได้

Recommendation สำหรับวิธีการแก้ปัญหาในเบื้องต้น (workaround) นั้น ผู้ใช้งานสามารถดำเนินแก้ไขข้อผิดพลาดนี้ได้โดยการแก้ไขค่ารีจิสทรีตามข้อมูลจากแหล่งที่มา อย่างไรก็ตามเราแนะนำให้ผู้ใช้งานและผู้ดูแลระบบคอยตรวจสอบวิธีการในการแก้ไขปัญหาอย่างเป็นทางการจากทางไมโครซอฟต์อีกครั้ง

ที่มา : KB.Cert

แจ้งเตือนช่องโหว่ร้ายแรงบน Samba กระทบ SMB บนลินุกซ์หลายดิสโทร

ลินุกซ์หลายดิสโทร อาทิ Red Hat, Ubuntu, Debian และอื่นๆ ได้มีการปล่อยแพตช์ช่องโหว่ use-after-free ซึ่งมีผลกระทบซอฟต์แวร์ SAMBA ตั้งแต่เวอร์ชัน 4.0 เป็นต้นมา (และมีอีกช่องโหว่ที่กระทบตั้งแต่ 3.6.0) โดยอาจส่งผลให้เกิดการรั่วไหลของข้อมูลที่อยู่ในหน่วยความจำได้

ในการโจมตีผู้โจมตีจะต้องอาศัยเพียงการส่งแพ็คเกตบนโปรโตคอล SMBv1 ไปที่ซอฟต์แวร์ที่มีช่องโหว่ แม้ว่าการปิดการใช้งาน SMBv1 อาจช่วยได้ส่วนหนึ่ง แต่ก็มีผลิตภัณฑ์อีกหลายรายการที่ซัพพอร์ตเพียงแค่ SMBv1

ผู้ใช้งานและผู้ดูแลระบบสามารถตรวจสอบและดาวโหลดแพตช์ได้จากลิงค์ต่อไปนี้
http://www.

OpenSSH มีช่องโหว่ Denial of Service ซึ่งเกิดจากข้อผิดพลาดในฟังก์ชัน process_open () เมื่ออยู่ในโหมด read-only ผู้โจมตีจากระยะไกลที่สามารถ Authenticate ตนเองได้แล้ว จะสามารถใช้ประโยชน์จากช่องโหว่นี้เพื่อสร้างไฟล์ที่เป็น zero-length และทำให้เกิด Denial of Service ได้ ช่องโหว่นี้ได้รับรหัส CVE-2017-15906 มีคะแนน CVSS 6.5 ผลิตภัณฑ์และเวอร์ชันที่ได้รับผลกระทบ ได้แก่ IBM i 7.1, 7.2 และ 7.3

ผู้ใช้สามารถแก้ไขปัญหาได้โดยใช้ PTF กับ IBM i โดยมีหมายเลข IBM i PTF คือ:
รุ่น 7.1 - SI66253
รุ่น 7.2 & 7.3 - SI66254

ทาง IBM แนะนำให้ผู้ใช้ทุกรายที่ใช้ผลิตภัณฑ์ที่ได้รับผลกระทบหรือใช้เวอร์ชันที่ไม่ได้รับการสนับสนุนแล้ว ทำการอัพเกรดเป็นเวอร์ชันที่ได้รับการสนับสนุน และเวอร์ชั่นใหม่ที่ได้รับการแก้ไขแล้ว

ที่มา: IBM

Lenovo ได้สรุปรายการอุปกรณ์ของตนเองที่ได้รับผลกระทบ และไม่ได้รับผลกระทบจากช่องโหว่ WPA2 (LEN-17420) หรือที่รู้จักกันในชื่อ "KRACK" นอกจากนี้ได้แนะนำเกี่ยวกับการใช้งาน Wi-Fi สาธารณะ ต้องคำนึงอยู่เสมอว่า Wi-Fi ที่ใช้อยู่นั้นอาจจะไม่ปลอดภัย เนื่องจากหากจะให้ปลอดภัยจากช่องโหวนี้จำเป็นจะต้องได้รับการ Patch ทั้งฝั่งที่เป็น Endpoint และ Access Point วิธีการป้องกันตัวเองที่ดีที่สุด คือ การใช้ VPN, HTTPS, SSH หรือวิธีการอื่นๆที่ต้องมีการ Verify ที่เครื่อง Endpoint หรือมีการเข้ารหัสข้อมูลที่ถูกส่ง

สามารถตรวจสอบอุปกรณ์ต่างๆ ได้ตามรายละเอียดใน link ที่มาด้านล่าง

ที่มา: Lenovo

มัลแวร์ wp-vcd กลับมาอีกครั้ง ผู้ใช้งาน WordPress ควรระมัดระวัง โดยมัลแวร์จะเข้าไปซ่อนตัวในไฟล์ของ WordPress จากนั้นจะเพิ่มผู้ใช้งานให้มีสิทธิ์เป็นผู้ดูแลระบบอย่างลับๆ และเข้าควบคุมเว็ปไซต์ที่ติดมัลแวร์ตัวนี้
Manuel D’Orso นักวิจัยด้านความปลอดภัยของอิตาลีได้ค้นพบมัลแวร์นี้เป็นครั้งแรก โดยพบว่ามัลแวร์ตัวนี้ถูกโหลดเข้ามาโดยการ include ไฟล์ wp-vcd.

ทางการมาเลเซียประกาศว่ามีการละเมิดข้อมูลจำนวนมากเมื่อเดือนปลายเดือนตุลาคมที่ผ่านมา ทำให้ข้อมูลส่วนบุคคลของชาวมาเลเซีย 46.2 ล้านรายถูกนำไปขายในตลาดมืด และหลังจากที่มีการเผยแพร่เรื่องนี้ออกไป ข้อมูลเหล่านี้ต่างเป็นที่ต้องการของแฮกเกอร์อย่างมากและถูกแพร่กระจายไปอย่างรวดเร็วในฟอรั่มใต้ดิน
ข้อมูลที่ถูกขโมยไปคือข้อมูลของผู้ใช้งานโทรศัพท์จากผู้ให้บริการโทรศัพท์เกือบทั้งหมดของมาเลเซียรวมแล้ว 46.2 ล้านเลขหมาย ได้แก่ Altel, Celcom, DiGi, Enabling Asia, Friendimobile, Maxis, MerchantTradeAsia, PLDT, RedTone, TuneTalk, Umobile และ XOX โดยข้อมูลที่รั่วไหลออกไปประกอบด้วย หมายเลขโทรศัพท์ และชื่อผู้ใช้งาน, หมายเลขบัตรประชาชน, ที่อยู่, IMSI, IMEI, และหมายเลข SIM ข้อมูลที่รั่วไหลออกมายังรวมถึงข้อมูลส่วนบุคคลกว่า 80,000 ราย จากสภาการแพทย์ของมาเลเซีย, สมาคมแพทย์แห่งมาเลเซีย และสมาคมทันตกรรมแห่งมาเลเซีย ซึ่งน่าจะเป็นข้อมูลตั้งแต่เดือนกรกฎาคม 2014
ทั้งนี้ตำรวจเชื่อว่าพนักงานของบริษัทน่าจะมีส่วนเกี่ยวข้องกับการขโมยข้อมูล อย่างไรก็ตามกรมคุ้มครองข้อมูลส่วนบุคคล (JPDP) ได้เข้าแทรกแซงและบล็อกเว็บไซต์ที่ถูกจัดตั้งโดยนักวิจัยด้านความปลอดภัยของมาเลเซีย(Keith Rozaria) ซึ่งได้เปิดให้เหยื่อตรวจสอบข้อมูลที่รั่วไหลของตนเอง (SayaKenaHack.

เมื่อเดือนที่ผ่านมา OnePlus ถูกพบว่ามีการเก็บข้อมูลส่วนตัวของผู้ใช้งานมือถือเพื่อส่งกลับไปวิเคราะห์ โดย Developer รายหนึ่งได้ทำการวิเคราะห์เพื่อตรวจสอบวิธีการเก็บข้อมูล ทำให้พบว่ามีแอพพลิเคชั่นที่ถูกพัฒนาโดย Qualcomm ใช้ชื่อว่า "EngineerMode" ซึ่งถูกลงมาในเครื่องเพื่อใช้ตรวจสอบว่าตัวเครื่องมือถือทำงานปกติหรือไม่ จากการ reverse engineer ทำให้พบว่าสามารถได้สิทธิ์เป็น root ของเครื่องได้ โดยพบว่าแอพพลิเคชันดังกล่าวถูกลงไว้ใน OnePlus 3,3T และ 5 รวมไปถึงมีการลงบน OxygenOS บน OnePlus One
ความสามารถของแอพพลิเคชั่นตัวนี้คือ การวิเคราะห์ข้อมูล GPS, ตรวจสอบสถานะของ Root, การทำ automated tests เป็นต้น จากการ decompile แอพพลิเคชั่น ทำให้พบว่าหากมีการเรียก DiagEnabled พร้อมกับส่งรหัสที่ถูกต้องเข้าไป จะทำให้ได้สิทธิ์ Root ของเครื่องได้โดยที่ไม่ต้องปลดล็อคเครื่อง โดยข้อผิดพลาดนี้อาจถูกนำไปใช้กับช่องโหว่อื่นๆ เพื่อใช้ในการโจมตีได้

ที่มา: ANDROIDPOLICE

CouchDB เป็นตัวจัดการฐานข้อมูลที่มีลักษณะเป็น document-oriented ซึ่งถูกใช้ในฐานข้อมูลแบบ NoSQL และปัจจุบันเป็นที่นิยมมากจากการจัดลำดับโดย DB-Engines
นักวิจัย Max Justicz ค้นพบช่องโหว่ CouchDB ในระหว่างที่พยายามหา Bug บนเซิร์ฟเวอร์ที่มีหน้าที่ในการแจกจ่าย npm packages(registry.