Joomla! ได้มีการประกาศเวอร์ชันล่าสุดคือเวอร์ชัน 3.7.3 เมื่อวันอังคารที่ผ่านมาโดยนอกเหนือจากการแก้ไขปัญหาบั๊กของโปรแกรมโดยทั่วไปแล้ว ในเวอร์ชันนี้ยังมีการแก้ปัญหาด้านความปลอดภัยทั้งหมด 3 ช่องโหว่ด้วย

ช่องโหว่แรกเป็นช่องโหว่ Information Disclosure ซึ่งกระทบตั้งแต่ Joomla! ในรุ่น 1.7.3 ถึง 3.7.2 มีความรุนแรงระดับสูง, ช่องโหว่ที่สองเป็นช่องโหว่ XSS กระทบ1.7.3 ถึง 3.7.2 และช่องโหวที่สามเป็นช่องโหว่ XSS ซึ่งกระทบ 1.5.0 ถึง 3.6.5 โดยช่องโหว่ที่สองมีความรุนแรงระดับสูงส่วนช่องโหว่ที่สามมีความรุนแรงระดับต่ำ

แนะนำให้ทำการอัพเดตเพื่อลดความเสี่ยงที่จะถูกโจมตีระบบโดยด่วน

ที่มา : joomla

สองนักจัยจากมหาวิทยาลัยเวอร์จิเนีย ได้พัฒนาระบบช่วยการจัดรหัสผ่านที่แตกต่างจากที่เคยมีในท้องตลาด โดยทีมนักวิจัยได้อธิบายว่า Horcrux จะแทรกข้อมูลประจำตัวปลอมเข้าในฟอร์มของผู้ใช้ เนื่องจากเวลาผู้ใช้กรอกข้อมูลลงในแบบฟอร์มนั้น จะมี JSscripts ที่แอบเก็บข้อมูลในแบบฟอร์มไปก่อนที่ผู้ใช้จะกดส่งข้อมูล ทั้งสองกล่าวว่าพวกเขาป้องกันการโจมตีนี้โดย Horcrux จะใส่ข้อมูลประจำตัวปลอม(dummy)ในช่องข้อมูลเพื่อหลอก JSscripts แต่เมื่อผู้ใช้กดส่งข้อมูล Horcrux ก็จะดักจับการดำเนินการส่งฟอร์มและส่งข้อมูลจริงให้กับทางระบบ

คุณลักษณะที่สองที่ทำให้ Horcrux โดดเด่นเมื่อเทียบกับไคลเอ็นต์การจัดการรหัสผ่านอื่นๆคือ Horcrux จะกระจายข้อมูลการรับรองผู้ใช้ไปยัง Server หลายเครื่อง ซึ่งหมายความว่าหากผู้โจมตีสามารถเข้าถึงเซิร์ฟเวอร์ตัวใดตัวหนึ่งได้เขาจะไม่สามารถเข้าถึงรหัสผ่านทั้งหมดของผู้ใช้เพื่อจำกัดความเสียหายของเหตุการณ์ด้านความปลอดภัย นอกจากนี้ข้อมูลประจำตัวที่จัดเก็บไว้ในเซิร์ฟเวอร์หลายเครื่องยังมีการแบ่งปันข้อมูลลับโดยใช้ Cuckoo Hashing Algorithm ซึ่งช่วยจำกัดความสามารถในการกู้คืนข้อมูลรหัสผ่านของผู้บุกรุกได้แม้ว่าจะสามารถจัดการกับเซิร์ฟเวอร์เก็บรหัสผ่านได้หลายเครื่องก็ตาม แต่ข้อดีนี้ก็ตามมาด้วยข้อเสียคือผู้ใช้ต้อง Host Server เก็บรหัสผ่านของตนเองเพื่อใช้ Horcrux ซึ่งเป็นสิ่งที่ผู้ใช้ส่วนมากไม่สามารถมีเงินทุนจ่ายให้ได้

ที่มา : bleepingcomputer

แม้ว่ามัลแวร์ Petya รุ่นปี 2017 จะมีปัญหาในการถอดรหัสไฟล์ซึ่งทำให้ไม่สามารถถอดรหัสไฟล์ได้ บัญชีบิทคอยน์ที่ถูกแสดงโดยมัลแวร์ก็ยังมีการอัพเดตโดยมีการโอนเงินเข้าอย่างสม่ำเสมอจนกระทั่งเมื่อวานนี้เมื่อมีการระบุถึงการเปลี่ยนแปลงของบัญชีในลักษณะที่เป็นการโอนเงินออกไปยังบัญชีอื่น

บัญชีบิทคอยน์ของ Petya รุ่นปี 2017 เริ่มมีการโอนเงินออกไปในบัญชีอื่นในช่วงเวลา 21:30 ถึงประมาณ 22:10 เมื่อวานนี้โดยมีทั้งหมด 3 รายการ แต่ละรายการมีการโอนเงินในจำนวนที่แตกต่างกันไปยังบัญชีบิทคอยน์ปลายทางที่แตกต่างกัน

แม้ว่าในระบบของบล็อคเชนนั้นทุกๆ การทำรายการจะมีการเปิดเผยอย่างสาธารณะ แต่ในความจริงนั้นการสืบเสาะและตามรอยการเปลี่ยนถ่ายของเงินก็ยังคงทำได้ยากอยู่ ผู้พัฒนามัลแวร์อาจสามารถโอนเงินไปยังบริการที่รับและเปลี่ยนและให้บริการดังกล่าวทำการสับเปลี่ยนเงินเพื่อให้สามารถติดตามได้ยากขึ้นได้

หากใครอยากดูการเปลี่ยนแปลงของบัญชีบิทคอยน์ดังกล่าว สามารถเข้าไปดูได้ที่ https://blockchain.

หลุดมาอีกตัว โปรเจค OutlawCountry แอบเปลี่ยนเส้นทางเน็ตเวิร์กเราต์ติ้งโดย CIA

วิกิลีคส์มีการเปิดเผยข้อมูลของโปรเจค OutlawCountry ใน Vault 7 ซึ่งเป็นข้อมูลที่มีการอ้างว่ารั่วไหลามาจาก CIA เมื่อช่วงปลายเดือนมิถุนายนที่ผ่านมา โดยโปรเจคดังกล่าวมีเป้าหมายในการแอบเปลี่ยนแปลงการตั้งค่าเราต์ติ้งของเน็ตเวิร์กให้มาที่เครื่องที่ต้องการได้

โปรเจค OutlawCountry พุ่งเป้าไปที่ระบบปฏิบัติการลินุกซ์ เช่น CentOS/RHEL 6.x การโจมตีโดยใช้โปรเจค OutlawCountry จะเป็นการเพิ่มโมดูลของเคอร์เนลเข้าไป โมดูลดังกล่าวจะทำการใช้งานเครื่องมือ packet filtering อาทิ netfilter และ/หรือ iptables ในการควบคุมทราฟิก การตรวจจับการมีอยู่อาจเป็นไปได้ยากถ้าไม่รู้รายละเอียดของการตั้งค่าดังกล่าว เช่น ชื่อของ iptables และ netfilter table
แนะนำให้ผู้ใช้งานตรวจสอบการตั้งค่าของ iptables ปัจจุบันว่ามีการตั้งค่าที่แปลกปลอมหรือไม่ หากพบเจอแนะนำให้รีบแก้ไขโดยด่วน

ที่มา: hothardware

แฝงตัวในเงา มัลแวร์เรียกค่าไถ่ FakeCry โจมตีระบบในยูเครนในช่วงเวลาเดียวกับ ExPetr/Petya

นักวิจัยด้านความปลอดภัยของ Kaspersky ได้เปิดเผยผลการวิเคราะห์มัลแวร์เรียกค่าไถ่ FakeCry ซึ่งใช้โอกาสในการแพร่กระจายของ ExPetr/Petya แพร่กระจายโจมตีระบบในยูเครน
แต่เดิมนั้น ExPetr/Petya ใช้วิธีการแพร่กระจายในหลายช่องทางซึ่งมีทั้งการแพร่กระจายด้วยลักษณะของการโจมตีแบบ watering hole และการแฝงตัวเข้าไปในอัพเดตของโปรแกรม MeDoc ทีมของ Kaspersky ตรวจพบว่าตามช่องทางการอัพเดตของโปรแกรม MeDoc นั้น ซอฟต์แวร์ของ Kaspersky ยังตรวจพบมัลแวร์อีกประเภทหนึ่งนอกจาก ExPetr/Petya

มัลแวร์อีกชนิดหนึ่งที่ถูกตรวจพบนั้นยังคงเป็นมัลแวร์เรียกค่าไถ่ทีมีลักษณะใกล้เคียงกับ WannaCry แต่ถูกพัฒนาโดยใช้ .NET ทีมจาก Kaspersky ยังคงหาความสัมพันธ์อื่นระหว่างมัลแวร์ตัวนี้ซึ่งภายหลังถูกเรียกว่า FakeCry กับ ExPetr/Petya ไม่ได้ว่ามีความเกี่ยวข้องกันอย่างไร หลักฐานเพียงอย่างเดียวคือการแพร่กระจายในช่วงเวลาที่ใกล้เคียงกันและในช่องทางเดียวกัน

ที่มา: securelist

บริษัทความปลอดภัย Darktrace ระบุว่าเริ่มค้นพบมัลแวร์รูปแบบใหม่ๆ ที่นำเทคนิคด้าน AI มาใช้งาน เพื่อให้มัลแวร์สามารถเรียนรู้สภาพแวดล้อม และปลอมตัวได้เนียนกว่าเดิม

Nicole Eagan ซีอีโอของ Darktrace กล่าวว่ามัลแวร์กลุ่มนี้จะปรับพฤติกรรมไปเรื่อยๆ เพื่อให้อยู่ในระบบโดยไม่ถูกตรวจจับได้นานที่สุดเท่าที่จะทำได้ อย่างไรก็ตาม มัลแวร์กลุ่มนี้ยังไม่ได้มีศักยภาพด้าน AI เต็มขั้น แต่ก็เริ่มหยิบบางส่วนมาใช้งาน

อีกประเด็นที่น่าสนใจคือมัลแวร์เหล่านี้ถูกพบในประเทศกำลังพัฒนา มากกว่าประเทศพัฒนาแล้ว เนื่องจากบริษัทยักษ์ใหญ่ในประเทศพัฒนาแล้วมีระบบป้องกันทางไอทีที่เข้มแข็งกว่า ส่งผลให้แฮ็กเกอร์หันไปทดสอบมัลแวร์ของตัวเองในประเทศที่ไม่ได้สนใจความปลอดภัยไซเบอร์มากนัก ตัวอย่างที่โด่งดังคือ การแฮ็กธนาคารกลางของบังกลาเทศ ที่ในภายหลัง Symantec พบการโจมตีรูปแบบเดียวกัน ถูกใช้ในอีก 31 ประเทศ

ที่มา : BLOGNONE

CISCO ประกาศข่าวน่าตกใจว่าพบช่องโหว่ Buffer Overflow ในส่วน Simple Network Management Protocol (SNMP) Service ในทุกๆ version ที่ให้บริการใน CISCO IOS, IOS XE

CISCO กล่าวว่า SNMP ทุกๆ version (v1,v2c,v3) ที่ให้บริการใน CISCO IOS, IOS XE นั้นมีช่องโหว่ Buffer Overflow อยู่ทำให้สามารถถูก exploit แล้วกลายเป็น Denila of Service (ส่งผลให้เครื่องไม่สามารถให้บริการได้) หรือ Remote Code Execution (สั่งงานเครื่องจากระยะไกล) ได้ โดยหากเป็นบริการ SNMP v1,v2c ผู้โจมตีสามารถโจมตีได้โดยที่จำเป็นต้องรู้ SNMP community string แต่หากเป็น SNMPv3 จำเป็นต้องมี username, password ด้วย

โดยช่องโหว่ดังกล่าวนี้มี CVE 9 CVE คือ CVE-2017-6736, CVE-2017-6737, CVE-2017-6738, CVE-2017-6739, CVE-2017-6740, CVE-2017-6741, CVE-2017-6742, CVE-2017-6743, CVE-2017-6744 และ CVE แต่ละตัวจะเกี่ยวข้องกับ SNMP Management Information Bases (MIBs) ต่อไปนี้ :

ADSL-LINE-MIB
ALPS-MIB
CISCO-ADSL-DMT-LINE-MIB
CISCO-BSTUN-MIB
CISCO-MAC-AUTH-BYPASS-MIB
CISCO-SLB-EXT-MIB
CISCO-VOICE-DNIS-MIB
CISCO-VOICE-NUMBER-EXPANSION-MIB
TN3270E-RT-MIB
ตอนนี้ทาง CISCO ยังคงทำ patch update ไม่เสร็จ ดังนั้นในระหว่างนี้หากไม่มีความจำเป็นใดๆแนะนำให้ทำการปิด SNMP Access ไปก่อน หรือปิดการใช้งาน MIBs ที่มีช่องโหว่ครับ

ที่มา : TheRegister
แปลโดย : Techsuii

ทาง Ubuntu ประกาศว่ามีการพบช่องโหว่ Remote Code Execcution ใน Systemd ซึ่งทำให้ client นั้นอาจถูกแฮ็คได้ทันที เมื่อได้รับ DNS Response ที่ถูกสร้างขึ้นมาโดยเฉพาะ

Ubuntu ประกาศเมื่อวันที่ 27/06/2017 ที่ผ่านมาว่าพบช่องโหว่ Denial of Service และ Remote Code Execution จากการรับ DNS Response ที่ถูกสร้างขึ้นมาเฉพาะใน systemd-resolved ซึ่งได้รับ CVE เป็น CVE-2017-9445 หากใครใช้งาน Ubuntu version 16.10 หรือ 17.04 แนะนำให้ทำการ update systemd ด่วนครับ

ผลกระทบ: Remote Code Execution or DoS
ระบบที่ได้รับผลกระทบ: Ubuntu 16.10 , 17.04
วิธีแก้ไขหรือป้องกัน: ทำการ upgrade Systemd เป็น 231-9ubuntu5 (16.10) หรือ 232-21ubuntu5 (17.04)

ที่มา : Ubuntu

ช่วงเวลาประมาณ 19:30 ของวันที่ 28/06/2017 ที่ผ่านมา นักวิจัยด้านความปลอดภัยทั่วโลกตรวจพบการแพร่กระจายของมัลแวร์เรียกค่าไถ่ที่มีลักษณะคล้ายกับมัลแวร์เรียกค่าไถ่ Petya แต่ด้วยลักษณะที่แตกต่างกันคือมีการแพร่กระจายอย่างรวดเร็วและส่งผลกระทบในวงกว้างมากกว่าภายใต้ชื่อของมัลแวร์ที่ถูกเรียกว่า Petyawrap
ในบทความนี้ทีมงานไอ-ซีเคียวจะมานำเสนอรายละเอียดโดยสรุป สมมติฐานการแพร่กระจายของมัลแวร์พร้อมทั้งวิธีการป้องกันและลดผลกระทบในเบื้องต้นเพื่อป้องกันผู้ใช้บริการและผู้ใช้งานทั่วไปให้ปลอดภัยจากมัลแวร์ครับ
สรุปย่อ

มัลแวร์เรียกค่าไถ่ Petyawrap เป็นมัลแวร์เรียกค่าไถ่ในตระกูลเดียวกับมัลแวร์เรียกค่าไถ่ Petya ซึ่งเคยมีการแพร่กระจายและสร้างความเสียหายมาแล้วในช่วงต้นปี 2016 ที่ผ่านมาโดยสร้างความเสียหายด้วยการเข้ารหัสส่วนของ master file table (MFT) ซึ่งทำให้ระบบปฏิบัติการไม่สามารถอ่านข้อมูลจากดิสก์ได้

ภาพหน้าจอหลังจากที่มัลแวร์ Petyawrap แพร่กระจายและมีการบังคับให้รีบูตระบบใหม่ ภาพจากคุณ Vlad Styran

มัลแวร์เรียกค่าไถ่ Petyawrap ถูกสันนิษฐานว่าใช้วิธีการแพร่กระจายผ่านทางช่องโหว่ EternalBlue ซึ่งเป็นวิธีการเดียวกับที่มัลแวร์เรียกค่าไถ่ WannaCry ใช้ในการแพร่กระจายตัวเองอันเนื่องมาจากความรวดเร็วในการแพร่กระจายและจำนวนของเครื่องที่ถูกเข้ารหัสซึ่งเกิดขึ้นอย่างรวดเร็ว (ดูเพิ่มเติมเกี่ยวกับ EternalBlue ได้ที่นี่)
พฤติกรรมที่สามารถสังเกตเห็นได้นอกเหนือจากหน้าจอที่แสดงกระบวนการจ่ายค่าไถ่
ของมัลแวร์เรียกค่าไถ่ Petyawrap นั้นประกอบไปด้วย ระบบมีการรีบูตอัตโนมัติ, ไฟล์ที่เป็น event log ถูกลบออกและรวมไปถึงมีการสร้างไฟล์น่าสงสัยที่พาธ %PROGRAMDATA%\dllhost.

WannaCry ransomware ยังไม่จบ! ล่าสุดพบการระบาดของ ransomware ตัวใหม่ ชื่อ "Petyawrap ransomware" หรือที่มีความหมายเดียวกับ Petya

กำลังแพร่กระจายไปยังองค์กรต่างๆ ทั่วโลกอย่างรวดเร็ว เช่น ธนาคารต่างๆ ทั่วรัสเซีย ยูเครน สเปน ฝรั่งเศส สหราชอาณาจักร อินเดียและยุโรป โดนเรียกค่าไถ่ 300 ดอลลาร์สหรัฐ

Petya ทำงานแตกต่างจาก ransomware อื่น ๆ โดยไม่เข้ารหัสไฟล์บนเครื่องเหยื่อแบบเดิม แต่ Petya จะทำการรีบูตเครื่องคอมพิวเตอร์ของหยื่อและเข้ารหัส master file table (MFT) และ master boot record (MBR) จากนั้น Petya จะแทนที่ MBR ด้วย code อันตรายที่แสดงการเรียกค่าไถ่ ทำให้คอมพิวเตอร์ไม่สามารถ boot ได้ ซึ่งเป็นการยึดเครื่องโดยสมบูรณ์รวมทั้งข้อมูลไฟล์ต่างๆ บนเครื่อง ซึ่ง Petyawrap ก็อาจจะมีพฤติกรรมเช่นเดียวกัน

ที่มา : thehackernews