News

Google Patches More Than 50 Android Vulnerabilities in December

Google ได้อัพเดทแพทช์ด้านความปลอดภัยสำหรับแอนดรอยด์เพื่อแก้ไขปัญหาช่องโหว่กว่า 50 รายการสำหรับ Android

ข้อผิดพลาดที่มีระดับความรุนแรงมากที่สุดเป็นปัญหาที่ Media framework ทำให้ผู้โจมตีสามารถเจาะระบบและใช้โค้ดเพื่อรันคำสั่งจากระยะไกล และการยกระดับสิทธิ์เพื่อเข้าถึงข้อมูล โดยเป็นช่องโหว่ที่มีระดับความรุนแรง Critical อยู่ 4 รายการ และ High 3 นอกจากนี้ยังทำการแก้ไขช่องโหว่ บน Framework ที่มีความรุนแรง High อีก 2 รายการ และข้อผิดพลาดของ System อีก 8 รายการ (ความรุนแรง Critical 2 รายการ และ High 6 รายการ) โดยช่องโหว่ความรุนแรง Critical ทั้ง 6 รายการนั้น มี 5 รายการที่เป็นช่องโหว่ remote code execution และอีก 1 รายการเป็นช่องโหว่ที่ส่งผลให้มีการเปิดเผยข้อมูลโดยไม่ตั้งใจ โดยช่องโหว่ทั้ง 17 รายการในส่วนนี้ได้รับการแก้ไขในแพทช์ที่ทำการอัปเดทไปเมื่อ 01-12-2018 ที่ผ่านมานี้

ส่วนที่สองของการอัปเดตของเดือนธันวาคมปี ได้รับการแก้ไขในแพทช์เมื่อ 2018-12-05 เป็นการแก้ไขช่องโหว่ 36 รายการ ประกอบด้วยช่องโหว่ความรุนแรงระดับ High 7 รายการที่ส่งผลกระทบกับ System และ HTC, Kernel, และส่วนประกอบจาก Qualcomm ในขณะที่ส่วนที่เหลืออีก 29 รายการ (5 Critical และ 24 High) เป็นการแก้ไขในส่วนของ Qualcomm ที่เป็นส่วนประกอบแบบ close-source

นอกจากนี้ยังมีการปล่อยอัปเดตซอฟต์แวร์แยกต่างหากสำหรับอุปกรณ์ Pixel / Nexus เพื่อจัดการกับช่องโหว่ความเสี่ยงปานกลาง (Moderate) ใน Qualcomm การปรับปรุงนี้ยังรวมถึงการแก้ไขเกี่ยวกับการใช้งาน (Functional) ที่ไม่เกี่ยวกับความปลอดภัยด้วย
ที่มา: securityweek

Adobe Flash zero-day exploit… leveraging ActiveX… embedded in Office Doc… BINGO!

Gigamon Applied Threat Research (ATR) และ Qihoo 360 เปิดเผยการโจมตีที่ใช้ประโยชน์จากช่องโหว่ CVE-2018-15982 บนตัว Adobe Flash ร่วมกับการทำฟิชชิ่ง ส่งผลทำให้ Adobe ปล่อยแพทช์ฉุกเฉินเพื่อแก้ไขช่องโหว่ดังกล่าวโดยทันที

การโจมตีเกิดจากการเรียกใช้ ActiveX ที่ฝังอยู่ในเอกสาร Microsoft Office ที่แนบมากับอีเมลฟิชชิ่งที่มีเนื้อหาเฉพาะทาง โดยทีมนักวิจัยตั้งข้อสังเกตว่าอีเมลฟิชชิ่งคล้ายว่าถูกเลียนแบบมาจากเอกสารของคลินิกการแพทย์ในรัสเซีย แต่ไม่ได้กำหนดเป้าหมายเฉพาะเจาะจงว่าจะเป็นบริษัทหรือกลุ่มองค์กรใด

เมื่อเป้าหมายเปิดไฟล์เอกสาร จะทำให้ ActiveX เรียกใช้ Flash Player และสั่งให้ code อันตรายทำการโจมตีผ่าน ช่องโหว่ CVE-2018-15982 และดาวน์โหลดติดตั้งมัลแวร์ที่เป็นเครื่องมือควบคุมจากระยะไกลเพื่อเก็บรวบรวมข้อมูลระบบและส่งต่อไปยัง C&C ของผู้โจมตี

ตอนนี้ Adobe ได้ปล่อย patch ปรับปรุงความปลอดภัยสำหรับ Adobe Flash Player สำหรับ Windows, MacOS, Linux และ Chrome OS แล้ว

ที่มา:theregister

Kubernetes’ first major security hole discovered

พบช่องโหว่ความปลอดภัยที่สำคัญของ Kubernetes

Kubernetes กลายเป็นระบบคอนเทนเนอร์บนคลาวด์ที่เป็นที่นิยมมากที่สุด ล่าสุดมีการค้นพบช่องโหว่ความปลอดภัยที่สำคัญ Kubernetes Privilege Escalation (CVE-2018-1002105) มีความความรุนแรงเป็น Critical (CVSS 9.8/10)

ช่องโหว่นี้ส่งผลให้ผู้ใช้งานที่ส่ง request ซึ่งได้รับการดัดแปลง เพื่อทำการเชื่อมต่อผ่านทาง API ของ Kubernetes ไปยัง backend server ได้ เมื่อการเชื่อมต่อสำเร็จแล้ว ผู้ใช้งานจะสามารถส่ง request ใดๆ ก็ตามไปยัง backend server ได้โดยตรง

ในการกำหนดค่าเริ่มต้นผู้ใช้ทั้งหมด ไม่ว่าเป็นแบบ authenticated หรือ unauthenticated จะได้รับอนุญาตให้ดำเนินการเรียกใช้งาน API ที่มีช่องโหว่ดังกล่าวนี้ ดังนั้นไม่ว่าผู้ใช้งานจะเป็นใครก็ตามก็สามารถทำการโจมตีได้ และจากรายงานระบุว่ายังไม่มีวิธีการที่สามารถใช้ตรวจจับการโจมตีผ่านช่องโหว่ดังกล่าวได้อย่างง่ายดาย

อย่างไรก็ตามยังมีข่าวดีในข่าวร้ายสำหรับผู้ใช้งานบางคน ข่าวดีคือมีการแก้ไขช่องโหว่ดังกล่าวออกมาแล้ว แต่ข่าวร้ายคือผู้ใช้งานต้องทำการอัปเกรดเวอร์ชั่นของ Kubernetes ซึ่งอาจไม่เป็นที่ชอบใจของผู้ใช้งานบางราย โดยผู้ใช้งานเวอร์ชั่น v1.0.x ถึง1.9.x จะต้องหยุดใช้งานและทำการอัปเดทเป็นเวอร์ชั่น v1.10.11, v1.11.5, v1.12.3 และ v1.13.0-rc.

Quora Hacked – 100 Million User’s Data Exposed

Quora Hacked ทำให้ข้อมูลของผู้ใช้ 100 ล้านรายถูกเปิดเผย

Quora ได้ประกาศเมื่อวันที่ 3 ธันวาคมที่ผ่านมาว่า ระบบของพวกเขาถูกแฮ็กและนำไปสู่การเปิดเผยข้อมูลผู้ใช้ประมาณ 100 ล้านรายไปยังบุคคลที่สามที่ไม่ได้รับอนุญาต การละเมิดนี้ถูกพบในวันศุกร์ที่ 30 พฤศจิกายนเมื่อเห็นว่ามีการเข้าถึงข้อมูลของผู้ใช้โดยบุคคลที่สามที่ไม่ได้รับอนุญาต Quora กล่าวว่าพวกเขาได้ติดต่อกับหน่วยงานด้านกฎหมาย และจ้างบริษัทให้คำปรึกษาด้านความปลอดภัยและพิสูจน์หลักฐานทางคอมพิวเตอร์ (Digital Forensics) เพื่อช่วยเหลือแล้ว โดยคาดว่าข้อมูที่รั่วไหลจะประกอบด้วย ข้อมูลของบัญชีผู้ใช้ (ชื่อ, อีเมล, รหัสผ่านที่ถูกเข้ารหัส, ข้อมูลที่เชื่อมโยงกับบัญชีอื่นๆ ที่ใช้สำหรับการเข้าสู่ระบบ), คำถามและคำตอบ, comment, direct message และ answer request

ปัจจุบันยังไม่ทราบว่าผู้โจมตีสามารถเข้าถึงระบบได้อย่างไร Quora เริ่มส่งอีเมลถึงผู้ใช้ที่ได้รับผลกระทบเพื่อแจ้งถึงการเกิดเหตุการณ์ในครั้งนี้ คาดว่า Quora ซึ่งเป็นเว็บไซต์ที่ใหญ่ที่สุดเป็นอันดับ 95 ของโลกโดยมีจำนวนผู้เข้าชมเกือบ 700 ล้านครั้งต่อเดือนดังนั้นจำนวนผู้ใช้ที่ได้รับผลกระทบจึงยังไม่แน่นอน อย่างไรก็ตามไม่มีข้อมูลทางการเงินที่เกี่ยวข้องกับข้อมูลผู้ใช้ที่เปิดเผย สิ่งที่ต้องกังวลน่าจะเป็นเรื่องการพยายามใช้ข้อมูลที่ได้มาในการเข้าถึงบัญชีผู้ใช้ในเว็บไซต์อื่น ๆ

ที่มา:bleepingcomputer.

ETERNALSILENCE – 270K+ devices vulnerable to UPnProxy Botnet build using NSA hacking tools

ในเดือนเมษายน Akamai รายงานว่า มีการโจมตีอุปกรณ์เราเตอร์ที่ใช้ภายในบ้านกว่า 65,000 ตัว โดยใช้ประโยชน์จากช่องโหว่ใน Universal Plug'N'Play (UPnP) ล่าสุดบริษัทได้ทำการปรับปรุงและอัพเดทเพื่อแก้ไขปัญหาดังกล่าว

จากรายงานระบุว่าผู้โจมตีสามารถใช้การส่ง UDP เพียงแค่แพ็กเกจเดียวก็สามารถทำการโจมตีด้วย remote code execution ได้สำเร็จ การโจมตีผ่านโปรโตคอล UPnP นี้ยังส่งผลให้ผู้โจมตีสามารถควบคุมการรับส่งข้อมูลทั้งในและนอกเครือข่ายได้โดยอาศัยการทำ NAT ทำให้เราเตอร์ที่ถูกโจมตีสำเร็จนั้นกลายเป็น Proxy ผู้เชี่ยวชาญจึงได้ตั้งชื่อการโจมตีนี้้ว่า "UPnProxy"

ผู้เชี่ยวชาญแนะนำให้ผู้ใช้ทำการอัพเดทหรือทำการแพทช์เฟิร์มแวร์ของเราเตอร์เพื่อลดความเสี่ยง เนื่องจากมีช่องโหว่ของ UPnP อีกจำนวนมากที่ยังไม่ได้รับการแก้ไข ผู้เชี่ยวชาญยังพบว่ามีเราเตอร์ที่มีความเสี่ยงมากกว่า 3.5 ล้านตัว โดย 277,000 สามารถถูกโจมตีด้วย UPnProxy และอีก 45,000 ตัวถูกโจมตีสำเร็จเรียบร้อยแล้ว

ล่าสุด Akamai ได้มีรายงานที่น่าสนใจออกมา โดยได้ระบุว่าผู้ที่อยู่เบื้องหลังการโจมตี UPnProxy ได้อาศัยช่องโหว่ของ EternalBlue (CVE-2017-0144) และ EternalRed (CVE-2017-7494) เพื่อทำการโจมตีเครื่องที่มีการใช้งาน Windows SMB และ Linux Samba ซึ่งอยู่ด้านหลังเราเตอร์ที่มีช่องโหว่ของ UPnProxy โดยได้ตั้งชื่อการโจมตีนี้ว่า "EternalSilence" และคาดว่าอาจจะมีการอาศัยเครื่องมืออื่นๆ ของ NSA เพิ่มเติมอีก จากรายงานยังระบุอีกว่า ผู้โจมตีจะทำการสแกนหาการใช้งาน SSDP โปรโตคอล และใช้ช่องทางดังกล่าวในการโจมตีผ่าน UPnProxy ต่อไป หรือทำการสแกนหาอุปกรณ์ที่มีการตั้งค่าให้เปิดใช้งานพอร์ต TCP/2048 ไว้ เมื่อพบจะพยายามเข้าไปยังพาธ /etc/linuxigd/gatedesc.

Cisco addressed SQL Injection flaw in Cisco Prime License Manager

ทาง Cisco ได้ประกาศเรื่องการอัพเดทแพทช์เพื่อแก้ไขปัญหาช่องโหว่ใน web framework สำหรับ Cisco Prime License Manager ที่ส่งผลทำให้แฮกเกอร์สามารถโจมตีด้วยวิธี SQL Injection ได้

จากข่าวรายงานว่าช่องโหว่ดังกล่าวถูกพบโดย Suhail Alaskar จาก Saudi Information Technology Company โดยช่องโหว่นี้เกิดจากข้อบกพร่องที่ไม่มีการตรวจสอบความถูกต้องเมื่อผู้ใช้งานป้อนข้อมูลในหน้าเว็บ ทำให้แฮกเกอร์สามารถเรียกใช้งานโดยส่งคำขอ HTTP POST ที่แอบซ่อนคำสั่ง SQL ที่เป็นอันตรายไปยังเว็บแอปพลิเคชันที่มีช่องโหว่ ส่งผลให้แฮกเกอร์สามารถแก้ไขและลบข้อมูลในฐานข้อมูล Prime License Manager (PLM) ได้ หรือได้รับสิทธิ์การเข้าถึง shell โดยใช้สิทธิ์ผู้ใช้ postgres ได้

Cisco Prime License Manager ที่ได้รับผลกระทบ ประกอบด้วย Prime License Manager เวอร์ชัน 11.0.1 และใหม่กว่า, Cisco Unified Communications Manager และ Cisco Unity Connection ที่ต่ำกว่าเวอร์ชัน 12.0 แนะนำให้ผู้ใช้งานที่ได้รับผลกระทบทำการอัพเดทแพทช์ ciscocm.

Samba Releases Security Updates

ทีมผู้ผลิต Samba ออกแพตช์ปรับปรุงความปลอดภัยเพื่อแก้ไขปัญหาช่องโหว่ต่างๆใน Samba ที่ผู้โจมตีสามารถใช้ช่องโหว่เหล่านี้เพื่อควบคุมระบบที่ได้รับผลกระทบได้
ผู้ใช้และผู้ดูแลระบบควรตรวจสอบประกาศความปลอดภัยจาก Samba สำหรับ CVE-2018-14629, CVE-2018-16841, CVE-2018-16851, CVE-2018-16852, CVE-2018-16853 และ CVE-2018-16857 และอัปเดตแพตช์ให้เป็นรุ่นที่ถูกแก้ไขช่องโหว่แล้ว

ที่มา:www.

VMware released security updates to address a vulnerability (CVE-2018-6983) that was recently discovered at the Tianfu Cup PWN competition.

ข้อบกพร่องของ VMware Workstation ที่ได้รับการเปิดเผยในการแข่งขัน WCF Cup PWN

VMware ได้เปิดตัวการปรับปรุงด้านความปลอดภัยเพื่อแก้ไขช่องโหว่ (CVE-2018-6983) ที่เพิ่งค้นพบโดย Tianwen Tang ของทีม Vulcan ของ Qihoo 360 ในการแข่งขัน WCF Cup PWN
แฮ็กเกอร์ได้รับรายได้มากกว่า 1 ล้านเหรียญสำหรับการโจมตีที่ไม่มีวันถูกเปิดเผยในงานประกวดการแฮ็กที่เกิดขึ้นระหว่างวันที่ 16-17 พฤศจิกายนที่เมืองเฉิงตู
Tianwen Tang ได้รับ 100,000 เหรียญเพื่อใช้ประโยชน์จากข้อบกพร่องนี้ได้อย่างสมบูรณ์ได้แก้ไขช่องโหว่ของ Workstation และ Fusion อย่างรวดเร็ว
VMware ขอขอบคุณ Tianwen Tang จากทีม Qihoo 360Vulcan Team ที่เข้าร่วมการแข่งขัน Tianfu Cup 2018 International Pwn Contest เพื่อรายงานปัญหานี้แก่เรา
ช่องโหว่นี้เป็นข้อผิดพลาดจำนวนมากซึ่งส่งผลกระทบต่ออุปกรณ์เครือข่ายเสมือนจริง อาจใช้ประโยชน์จากการรันโค้ดบนโฮสต์เวิร์คสเตชันจากผู้เยี่ยมชม
ข้อบกพร่องมีผลต่อ Workstation 14.x และ 15.x บนแพลตฟอร์มใดก็ได้และ Fusion 10.x และ 11.x บน macOS

ที่มา : securityaffairs

Hacker backdoors popular JavaScript library to steal Bitcoin funds

แฮกเกอร์ได้สิทธิ์ในการเข้าถึง JavaScript library ที่เป็นที่นิยมและทำการส่งโค้ดอันตรายเพื่อขโมยเงิน Bitcoin

Event-Stream 3.3.6 เป็นแพคเกจใน npm ของ JavaScript ทำงานกับข้อมูลสตรีม Node.