News

I-SECURE CO INTEL ADVISORY – วิเคราะห์การรั่วไหลของรายการระบบ Forti SSL VPN ที่มีช่องโหว่

ทีมตอบสนองการโจมตีและภัยคุกคามได้ทำการตรวจสอบรายการระบบ Forti SSL VPN ที่มีช่องโหว่ชุดแรกซึ่งถูกปล่อยขายในเว็บไซต์สำหรับซื้อขายข้อมูล รายการระบบดังกล่าวสามารถถูกโจมตีได้โดยใช้ช่องโหว่ CVE-2018-13379 ซึ่งส่งผลให้ผู้โจมตีสามารถเข้าถึงไฟล์ใน FortiOS ได้

จากการตรวจสอบ เราพบข้อมูลที่น่าสนใจดังนี้

จากรายการของระบบที่มีช่องโหว่ 49,557 รายการ มีหมายเลขไอพีแอดเดรสที่มีค่า Geolocation เป็นประเทศไทยทั้งหมด 901 รายการ เมื่อนำข้อมูลที่ซ้ำออกไปแล้ว เหลือ 900 รายการ
จาก 900 หมายเลขไอพีแอดเดรสที่อยู่ในประเทศไทย ทีมตอบสนองการโจมตีและภัยคุกคามสามารถเชื่อมโยงข้อมูลเพื่อระบุหาโดเมนที่เกี่ยวข้องกับหมายเลขไอพีแอดเดรสได้ทั้งหมด 496 รายการ ส่วนอีก 404 รายการไม่ปรากฎข้อมูลเชื่อมโยงซึ่งบ่งชี้เจ้าของหรือผู้ถือครอง
ในกลุ่ม 496 รายการซึ่งเชื่อมโยงไปยังข้อมูลโดเมนได้ มีการปรากฎของ 17 โดเมนที่ลงท้ายด้วย .co.

บัญชี Spotify กว่า 300 ล้านบัญชีมีความเสี่ยงถูกแฮกวิธีการโจมตี Credential Stuffing

VPNMentor ได้เปิดเผยรายงานเกี่ยวกับฐานข้อมูลที่เปิดเผยบนอินเทอร์เน็ต ซึ่งมีรายการชื่อผู้ใช้และรหัสผ่าน 300 ล้านชุด โดยมีผู้โจมตีนำฐานข้อมูลดังกล่าวมาใช้เทคนิค Credential stuffing เพื่อพยายามเข้าถึงบัญชี Spotify

การโจมตีด้วยวิธี Credential Stuffing หมายถึงการโจมตีโดยใช้ชื่อผู้ใช้งานและรหัสผ่านทึเคยรั่วไหลจากเว็บไซต์หนึ่ง ไปทดลองเข้าสู่ระบบในอีกเว็บไซต์หนึ่ง ซึ่งการโจมตีชนิดนี้มักจะส่งผลกระทบกับผู้ใช้งานที่ใช้รหัสผ่านซ้ำกันในหลายๆ เว็บไซต์

ในการโจมตีในครั้งนี้แฮกเกอร์พยายามเข้าถึงบัญชี Spotify โดยใช้ฐานข้อมูล 380 ล้านรายการ ที่มี Credential ประกอบไปด้วยชื่อล็อกอิน (Email address) และ รหัสผ่านล็อกอินเข้าสู่บัญชี Spotify โดยการพยายามใช้ข้อมูลชุดนี้บัญชีผู้ใช้ Spotify อาจจะถูกละเมิดได้สำเร็จหรืออาจไม่ถูกละเมิดก็ได้

หลังจากออกรายงาน VPNMentor ติดต่อ Spotify ในวันที่ 9 กรกฎาคม 2020 เกี่ยวกับฐานข้อมูลที่เปิดเผยและภัยคุกคามที่อาจเกิดต่อบัญชีผู้ใช้ Spotify หลังจากได้รับข้อมูล Spotify ได้ทำการรีเซ็ตรหัสผ่านผู้ใช้ที่มีความเสี่ยงที่บัญชีถูกบุกรุกเนื่องจากอยู่ในฐานข้อมูลแล้วในช่วงเดือนกรกฎาคม 2020

ทั้งนี้ Spotify ยังไม่รองรับการตรวจสอบสิทธิ์แบบ Multi-factor authentication (MFA) ซึ่งจะช่วยเพิ่มความปลอดภัยให้กับบัญชีได้มากขึ้นถึงแม้ว่าผู้ใช้จะร้องขอมาแล้วระยะหนึ่งก็ตาม

ที่มา: bleepingcomputer.

Hacker ปล่อยข้อมูล Credential ของ Fortinet VPN ที่มีเกือบ 50,000 รายการในฟอรั่ม Dark web

นักวิจัยด้านความปลอดภัยจาก Bank_Security ได้เปิดเผยถึงการค้นพบข้อมูล Credential ของ Fortinet VPN ที่มีเกือบ 50,000 รายการในฟอรั่ม Dark web

ข้อมูล Credential ที่ถูกปล่อยนั้นเป็นไฟล์ "sslvpn_websession" ของ Fortinet VPN ที่ถูกใช้ประโยชน์จากช่องโหว่ CVE-2018-13379 ซึ่งเป็นช่องโหว่ path traversal ที่ส่งผลกระทบต่ออุปกรณ์ Fortinet FortiOS SSL VPN จำนวนมากที่ไม่ได้รับการเเพตซ์ความปลอดภัย ด้วยการใช้ประโยชน์จากช่องโหว่นี้ผู้โจมตีระยะไกลที่ไม่ได้รับการพิสูจน์ตัวตนสามารถเข้าถึงไฟล์ของระบบผ่านการร้องขอ HTTP request ที่สร้างขึ้นเป็นพิเศษไปยังอุปกรณ์ ซึ่งผู้โจมตีจะสามารถเข้าถึงไฟล์ sslvpn_websession จาก Fortinet VPN ได้และจะสามารถขโมยข้อมูล Credential ของการเข้าสู่ระบบ โดยข้อมูล Credential ที่ถูกขโมยเหล่านี้สามารถใช้ในบุกรุกเครือข่ายได้

นักวิจัยได้ทำการวิเคราะห์ข้อมูลที่ถูกรั่วไหลออกมา พบว่า IP และโดเมนส่วนใหญ่เป็นของรัฐบาลจากทั่วโลกและเป็นของธนาคารและบริษัททางด้านการเงินทุนที่มีชื่อเสียง

ทั้งนี้ผู้ดูแลระบบของ Fortinet VPN ควรรีบทำการตรวจสอบและควรรีบทำการอัปเดตแพตซ์ความปลอดภัยเป็นการด่วนเพื่อเป็นการป้องกันการโจมตีจากผู้ประสงค์ร้าย

ที่มา:

https://www.

สโมสรแมนเชสเตอร์ยูไนเต็ดเปิดเผยการโดนบุกรุกด้านความปลอดภัย

สโมสรฟุตบอลแมนเชสเตอร์ยูไนเต็ดได้เปิดเผยเมื่อวันศุกร์ที่ผ่านมาถึงเหตุการณ์ด้านความปลอดภัยทางไซเบอร์ที่ส่งผลกระทบต่อระบบเครือข่ายภายใน โดยสโมสรฟุตบอลกล่าวว่ายังคงตรวจสอบเหตุการณ์และไม่สามารถบอกได้ว่าผู้บุกรุกเข้าถึงข้อมูลที่เกี่ยวข้องกับแฟน ๆ หรือลูกค้าของสโมสรหรือไม่

สโมสรไม่แน่ใจเกี่ยวกับสิ่งที่แฮกเกอร์สามารถเข้าถึงได้และเหตุการณ์ดังกล่าวจะไม่ส่งผลกระทบต่อช่องทางการสื่อสารหลักอย่างเช่นเว็บไซต์และแอปพลิเคชันบนโทรศัพท์มือถือ ส่วนระบบที่สำคัญทั้งหมดที่จำเป็นสำหรับการแข่งขันที่จะเกิดขึ้นที่ Old Trafford ยังคงปลอดภัยและใช้งานได้ปกติ

ทั้งนี้เจ้าหน้าที่ของทางสโมสรฟุตบอลแมนเชสเตอร์ยูไนเต็ดได้ทำการตรวจพบเหตุการณ์การโจมตีและดำเนินการป้องการการโจมตีอย่างรวดเร็ว จึงทำให้การโจมตีดังกล่าวไม่ได้รับผลกระทบมากนัก อย่างไรก็ดีทางสโมสรกำลังดำเนินการสอบสวนถึงสาเหตุและกำลังทำงานร่วมกับผู้เชี่ยวชาญด้านความปลอดภัยเพื่อตรวจสอบเหตุการณ์การโจมตีที่เกิดขึ้น

ที่มา: zdnet.

นักวิจัยตรวจพบ Botnet กำลังพยายามสแกนหาไฟล์ ENV ที่ถูกเก็บโดยไม่ปลอดภัยจากอินเทอร์เน็ตเป็นจำนวนมาก

Daniel Bunce นักวิจัยด้านความปลอดภัยจาก SecurityJoes ได้เปิดเผยถึงกลุ่มผู้ประสงค์ร้ายทำการใช้ Botnet เพื่อสแกนหาไฟล์ ENV หรือ Environment file ที่ถูกเก็บโดยไม่ปลอดภัย โดยไฟล์ ENV เป็นไฟล์คอนฟิกูเรชันประเภทหนึ่งที่มักถูกใช้ใน development tool เฟรมเวิร์กเช่น Docker, Node.

แจ้งเตือนช่องโหว่ Double Extension ใน Drupal ใช้ยึดระบบที่มีช่องโหว่ได้ทันที

ทีม Drupal ประกาศแพตช์สำหรับช่องโหว่ระดับวิกฤติ CVE-2020-13671 จากปัญหา Double extension ซึ่งส่งผลให้ผู้โจมตีสามารถอัปโหลดไฟล์ที่เป็นอันตรายขึ้นบนระบบได้โดยข้ามผ่านการตรวจสอบที่เหมาะสม

Double extension เป็นปัญหาและช่องโหว่ที่เกิดขึ้นเมื่อแอปพลิเคชันทำการตรวจสอบนามสกุลและประเภทของไฟล์ที่ไม่เหมาะสม ตัวอย่างหนึ่งของการโจมตีคือหากผู้ไม่ประสงค์ต้องการอัปโหลดไฟล์อันตรายชื่อ malware.

บั๊กใน Facebook Messenger บน Android แอบเปิดไมค์ฟังผู้ใช้ก่อนรับสายได้

Facebook ประกาศการแก้ไขปัญหาระดับวิกฤติใน Facebook Messenger บน Android หลังจากมีการตรวจพบว่าแอปอนุญาตให้ผู้ที่ทำการโทรผ่านการใช้เสียงนั้นสามารถฟังเสียงของปลายยทางได้แม้ปลายทางจะยังไม่มีการรับสาย ช่องโหว่จะทำการโจมตีเฉพาะบัญชีผู้ใช้งานที่เป็นเพื่อนกันแล้วเท่านั้น

การโจมตีดังกล่าวสามารถทำได้หากผู้โจมตีมีการส่งข้อความแบบพิเศษที่เรียกว่า SdpUpdate ซึ่งทำให้เกิดการเชื่อมต่อสายก่อนที่ผู้ใช้งานจะกดรับ หรือในอีกความหมายหนึ่งคือบังคับให้เกิดการส่งข้อมูลเสียงในทันทีที่ปลายทางได้รับข้อความดังกล่าว ช่องโหว่ดังกล่าวถูกค้นพบโดย Natalie Silvanovich จาก Google Project Zero ซึ่งสามารถดูรายละเอียดการค้นพบและการโจมตีช่องโหว่ได้ที่ project-zero

เราขอแนะนำให้ผู้ใช้งานทำการอัปเดตแอป Facebook Messenger ให้เป็นเวอร์ชันล่าสุดโดยทันที เนื่องจากมีการเปิดเผยวิธีการโจมตีออกมาแล้ว มีโอกาสสูงที่อาจมีผู้ไม่ประสงค์นำวิธีการโจมตีมาสร้างการโจมตีจริงและโจมตีผู้ใช้งานที่ยังไม่ได้มีการอัปเดตแอป

ที่มา: bleepingcomputer | thehackernews

Mount Locker แรนซัมแวร์ชนิดใหม่ที่มุ่งเป้าหมายไปยังซอฟต์แวร์ TurboTax

Vitali Kremez จาก Advanced Intel ได้เปิดเผยถึงการวิเคราะห์แรนซัมแวร์ชนิดใหม่ที่มีชื่อว่า Mount Locker ransomware ที่เริ่มแพร่กระจายในเดือนกรกฎาคม 2020 ที่ผ่านมา โดยแรนซัมแวร์ชนิดใหม่นี้มุ่งเป้าไปยังซอฟต์แวร์ TurboTax เพื่อทำการขโมยข้อมูลและเอกสารในการยืนภาษี จากนั้นจะเข้ารหัสไฟล์เพื่อใช้ในการขู่กรรโชกเหยื่อและเรียกค่าไถ่จากการที่ต้องยื่นภาษีก่อนกำหนดเส้นตายภาษีในวันที่ 15 เมษายน 2021

Vitali Kremez กล่าวว่า Mount Locker ransomware เป็นแรนซัมแวร์ที่มีการปฏิบัติการโดย human-operated ransomware เมื่อแรนซัมแวร์สามารถเข้าถึงเครือข่ายแรนซัมแวร์จะมุ่งเป้าหมายไปยัง ซอฟต์แวร์ภาษี TurboTax โดยแรนซัมแวร์จะทำการแสกนและรวบรวมไฟล์ที่มีนามสกุลไฟล์ .Tax, .tax2009, .tax2013 และ .tax2014 ที่เชื่อมโยงกับซอฟต์แวร์ TurboTax จากนั้นจะทำการส่งข้อมูลกลับไปยัง C&C ของกลุ่มปฏิบัติการและจะทำการเข้ารหัสไฟล์บนเครื่องที่บุกรุก เพื่อใช้ในการเรียกค่าไถ่เหยื่อ

ทั้งนี้ผู้ใช้ควรหมั่นตรวจสอบและสำรองข้อมูลไฟล์ TurboTax และเอกสารสำคัญอื่นๆ บนสื่อภายนอกเช่น USB หรือ External HDD หลังจากที่ทำการเปลี่ยนแปลงข้อมูลใดๆ และทำการถอดสื่อภายนอกทุกครั้งที่ทำการเปลื่ยนเเปลงเสร็จ เพื่อเป็นการป้องกันการตกเป็นเหยื่อของแรนซัมแวร์

ที่มา: bleepingcomputer

VMware ออกเเพตซ์เเก้ไขช่องโหว่ระดับ Critical ใน VMware ESXi, Workstation, Fusion และ Cloud Foundation

VMware ออกเเพตซ์การอัปเดตความปลอดภัยเพื่อแก้ไขช่องโหว่ 2 รายการที่สำคัญและมีความรุนแรงสูงใน VMware ESXi, Workstation, Fusion และ Cloud Foundation โดยช่องโหว่จะทำให้ผู้โจมตีสามารถเรียกใช้โค้ดและเพิ่มสิทธิ์ในระบบได้ ทั้งนี้ช่องโหว่ทั้ง 2 รายการถูกค้นพบโดย Xiao Wei และ Tianwen Tang จาก Qihoo 360 Vulcan Team ในวันแรกของการแข่งขัน Tianfu Cup Pwn ในปี 2020 ที่ผ่านมา

ช่องโหว่ CVE-2020-4004 (CVSSv3: 9.3/10) เป็นช่องโหว่ประเภท Use-after-free ที่อยู่ใน XHCI USB controller ของ VMware ESXi, Workstation, และ Fusion โดยช่องโหว่จะช่วยให้ผู้โจมตีที่มีสิทธิ์ระดับผู้ดูแลระบบทั่วไปบนเครื่อง Virtual Machine (VM) สามารถรันโค้ดในขณะที่กระบวนการ VMX ของ VM ทำงานบนโฮสต์ ซึ่งเป็นกระบวนการที่ใช้ในการคอนฟิกบนโฮสต์ VM อินสแตนซ์

ช่องโหว่ CVE-2020-4005 (CVSSv3: 8.8/10) เป็นช่องโหว่ประเภทการยกระดับสิทธิ์ใน VMware ESXi โดยช่องโหว่จะทำให้ผู้โจมตีที่มีสิทธิ์ภายใน VMX เท่านั้นสามารถยกระดับสิทธิ์ในระบบได้

ผู้ดูแลระบบควรทำการอัปเดตแพตซ์ความปลอดภัยให้เป็นเวอร์ชันล่าสุดเพื่อป้องกันผู้ประสงค์ร้ายใช้ประโยชน์จากช่องโหว่ทำการโจมตีระบบ ทั้งนี้ช่องโหว่ CVE-2020-4004 ยังมีวิธีการป้องกันอีกวิธีการหนึ่งคือการการลบ XHCI USB controller (USB 3.x) หากไม่ได้ใช้งานออกจากเครื่อง VM ที่อาจตกเป็นเป้าหมาย

ที่มา: bleepingcomputer | theregister

แถลงการณ์จากกรณีการรั่วไหลของข้อมูลจาก Lazada รมต. DE ประสานงานหาแนวทางป้องกันแล้ว

จากกรณีการรั่วไหลของข้อมูลของ Lazada และ Shopback ที่ไอ-ซีเคียวได้นำเสนอไปในวันศุกร์ที่ผ่านมา ทาง Lazada ได้มีแถลงการณ์มาในวันเดียวกันนั้นโดยมีการระบุรายละเอียดของเหตุการณ์ที่เกิดขึ้นเอาไว้

เอกสารชี้แจงดังกล่าวระบุว่า การตรวจสอบการรั่วไหลข้อมูลเบื้องต้นพบว่าข้อมูลที่รั่วไหลดังกล่าวเป็นข้อมูลจากบริษัทที่ทำธุรกิจอีคอมเมิร์ซ โดยชุดข้อมูลที่รั่วไหลดังกล่าวมาจากฐานข้อมูลปีพ.ศ. 2561 และไม่ได้มีรั่วไหลจากระบบของ Lazada โดยตรง อย่างไรก็ตามรายละเอียดยังไม่มีการพูดถึงสาเหตุ ผลกระทบและวิธีการดำเนินการต่อเพิ่มเติม

ในขณะเดียวกันที่เพจพุทธิพงษ์ ปุณณกันต์ รัฐมนตรีว่าการกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม คุณพุทธิพงษ์ได้มีการระบุโดยอ้างอิงข้อมูลในลักษณะเดียวกับที่ปรากฎในเอกสารชี้แจงของทาง Lazada และให้ข้อมูลเพิ่มเติมถึงการประสานงานร่วมกันระหว่าง ThaiCERT, ETDA และคณะกรรมการการรักษา ความมั่นคงปลอดภัยไซเบอร์แห่งชาติเพื่อหาแนวทางป้องกันและจัดการสถานการณ์เพิ่มเติม

ที่มา: เอกสารชี้แจง กรณีที่มีการระบุชื่อของลาซาด้าในการจำหน่ายฐานข้อมูลบนออนไลน์ ลงวันที่ 20 พฤศจิกายน 2563 และ BeePunnakanta