News

Critical Vulnerability Patched in Oracle Database

Oracle ออกอัปเดตแก้ไขช่องโหว่ร้ายแรงในโปรแกรมระบบฐานข้อมูล Oracle Database

เมื่อวันศุกร์ที่ 10 สิงหาคม 2018 ที่ผ่านมา บริษัท Oracle ได้ออกแพตช์อัปเดตเพื่อแก้ไขช่องโหว่ร้ายแรงในโปรแกรมระบบฐานข้อมูล Oracle Database และเตือนให้ผู้ใช้อัปเดตแพตช์ดังกล่าวให้เร็วที่สุด

ช่องโหว่ดังกล่าวคือ CVE-2018-3110 เป็นช่องโหว่ของ Java VM ที่อยู่ภายในระบบ Oracle Database Server ผู้โจมตีสามารถใช้ช่องโหว่ดังกล่าวเพื่อยึดระบบฐานข้อมูล Oracle Database และสามารถเข้าถึง shell ของเซิร์ฟเวอร์ที่ลงฐานข้อมูลดังกล่าวได้ ช่วงโหว่ดังกล่าวกระทบระบบฐานข้อมูล Oracle Database รุ่น 11.2.0.4 และ 12.2.0.1 บน Windows และ รุ่น 12.1.0.2 บน Windows และ Linux

ผู้ใช้ระบบฐานข้อมูลรุ่นดังกล่าวควรทำการอัปเดตให้เร็วที่สุดเพื่อป้องกันความเสี่ยงจากช่องโหว่ดังกล่าว

ที่มา : securityweek

DNS Hijacking targets Brazilian financial institutions

นักวิจัยค้นพบการทำ DNS Hijacking โดยกำหนดเป้าหมายเป็นกลุ่มลูกค้าของธนาคารในประเทศบราซิล

ผู้โจมตีพุ่งเป้าไปยังเราเตอร์ DLink DSL เพื่อเปลี่ยนการตั้งค่าเซิร์ฟเวอร์ DNS ให้ชี้ไปยังเซิร์ฟเวอร์ DNS ที่อยู่ภายใต้การควบคุม การโจมตีดังกล่าวส่งผลให้ผู้โจมตีสามารถขโมยข้อมูลสำคัญที่ใช้สำหรับเข้าสู่ระบบของผู้ใช้งานได้ โดยการเปลี่ยนเส้นทางของผู้ใช้ที่พยายามเชื่อมต่อกับเว็บไซต์ธนาคารที่ปลอดภัยไปยังเว็บไซต์ที่เป็นอันตรายที่แฮกเกอร์สร้างขึ้น(redirect)

จากการวิเคราะห์โดยผู้เชี่ยวชาญพบว่าผู้โจมตีได้มีการเปลี่ยนเส้นทางไปใช้เซิร์ฟเวอร์ DNS สองเครื่องคือ 69.162.89.185 และ 198.50.222.136 ซึ่ง DNS ทั้งสองตัวจะเปลี่ยนเส้นทางของเว็บไซต์ Banco de Brasil (www.

Vulnerabilities Found in the Firmware of 25 Android Smartphone Models

นักวิจัยด้านความปลอดภัยนำเสนอช่องโหว่กว่า 47 ช่องโหว่ในเฟิร์มแวร์และอีก 25 ช่องโหว่ในแอปพลิเคชันบนระบบปฏิบัติการ Android ในงานประชุมด้านความปลอดภัย DEF CON ที่ลาสเวกัส

ช่องโหว่ที่พบมีความรุนแรงตั้งแต่ทำให้อุปกรณ์ทำงานผิดพลาดเล็กน้อยไปจนถึงช่องโหว่ร้ายแรงที่ทำให้ได้รับสิทธิ์ root ของอุปกรณ์ ซึ่งหากมีผู้โจมตีด้วยช่องโหว่ร้ายแรงจะสามารถเข้าถึงข้อมูลเรียกดูหรือส่งข้อความ SMS จากโทรศัพท์ของผู้ใช้, ถ่ายภาพหน้าจอหรือบันทึกวิดีโอจากหน้าจอโทรศัพท์เรียกดูรายชื่อผู้ติดต่อของผู้ใช้ บังคับให้ติดตั้งแอพพลิชันโดยพลการโดยไม่ต้องใช้การยินยอมจากผู้ใช้ หรือแม้แต่ลบข้อมูลทั้งหมดของผู้ใช้ออกจากอุปกรณ์

ช่องโหว่เหล่านี้ถูกค้นพบในแอปพลิเคชันเริ่มต้นที่ติดตั้งไว้ล่วงหน้าบนอุปกรณ์และอยู่ในเฟิร์มแวร์ของไดรเวอร์หลักที่ไม่สามารถลบออกได้ ซึ่งยี่ห้อของสมาร์ทโฟนที่พบช่องโหว่ดังกล่าวได้แก่ ZTE, Sony, Nokia, LG, Asus, Alcatel, Vivo, SKY, Plum, Orbic, Oppo, MXQ, Leagoo, Essential, Doogee และ Coolpad

ที่มา : bleepingcomputer

Popular Android Apps Vulnerable to Man-in-the-Disk Attacks

แอพพลิเคชัน Android ยอดนิยมบางตัวที่ติดตั้งในโทรศัพท์ อาจมีช่องโหว่เสี่ยงต่อการถูกโจมตีแบบใหม่ที่ชื่อว่า "Man-in-the-Disk (MitD)" ซึ่งทำให้แอพพลิเคชั่นอื่น crash และเรียกรัน code ที่เป็นอันตรายได้

ทีมงาน Check Point พบการโจมตีแบบ Man-in-the-Disk (MitD) ที่เกี่ยวกับความสามารถในการใช้ "External Storage" ของ Android OS เนื่องจากนักพัฒนาแอพพลิเคชั่นบางรายไม่ชอบใช้พื้นที่จัดเก็บข้อมูลภายใน เพราะหากมีขนาดใหญ่มากอาจจะทำให้ผู้ใช้ตัดสินใจไม่ใช้งานแอพพลิเคชั่นดังกล่าว ทำให้ต้องขอใช้สิทธิ์ในการเข้าถึง External Storage เช่น SD Card หรืออุปกรณ์เก็บข้อมูล USB ที่ต่ออยู่กับโทรศัพท์ และจัดเก็บไฟล์ของแอพพลิเคชั่นไว้ที่นั่น

Man-in-the-Disk ทำงานได้เนื่องจากสาเหตุสองประการ สาเหตุแรกคือแอพพลิเคชั่นใด ๆ ที่ใช้การจัดเก็บข้อมูลภายนอกสามารถถูกแทรกแซงจากแอพพลิเคชั่นอื่นได้ สาเหตุที่สองเนื่องจากแอพพลิเคชั่นเกือบทั้งหมดที่ขออนุญาตใช้งานการจัดเก็บข้อมูลภายนอก ผู้ใช้มักจะมองข้ามและอนุญาตให้งานได้ทันที โดยไม่ได้คำนึงถึงความเสี่ยงด้านความปลอดภัย

ในระหว่างการทดสอบ นักวิจัยของ Check Point ได้ทำการสร้างแอพพลิเคชั่นขึ้นมา และใช้แอพพลิเคชั่นดังกล่าวที่ได้รับอนุญาตให้ใช้งานการจัดเก็บข้อมูลภายนอก โจมตีแอพพลิเคชั่นอื่น และผลลัพธ์แรกที่ได้คือสามารถทำให้แอพพลิเคชั่นเกิดการ crash โดยการแทรกข้อมูลที่ผิดปกติลงไป เพื่อให้เกิดช่องโหว่ และใช้ประโยชน์จากช่องโหว่นั้นเพื่อใส่ code ที่เป็นอันตราย ทั้งนี้หากแอพพลิเคชั่นที่ถูกทำให้ crash มีสิทธิ์สูงกว่าแอพพลิเคชั่นที่ใช้โจมตี จะทำให้ผู้โจมตีได้รับสิทธิ์ดังกล่าว

ผลลัพธ์ที่สองคือสามารถหลอกให้แอพพลิเคชั่นทำการอัพเดทไปเป็นเวอร์ชั่นปลอมที่ผู้โจมตีสร้างขึ้นมาได้ โดยแอพพลิเคชั่นที่ถูกใช้โจมตีนั้นจะทำการตรวจสอบพื้นที่เก็บข้อมูลภายนอก เพื่อดูช่วงเวลาที่แอพพลิเคชั่นจะทำการอัปเดต เนื่องจากบางแอพพลิเคชั่นจะใช้ External Storage เพื่อเก็บไฟล์การอัปเดตชั่วคราวก่อนที่จะใช้ทำการอัปเดต ผู้โจมตีสามารถเปลี่ยนไฟล์เหล่านั้นและหลอกให้แอพพลิเคชันติดตั้งเวอร์ชั่นที่เป็นของตัวเอง

นักวิจัยระบุว่าพบแอพพลิเคชั่นยอดนิยมบางรายการที่มีช่องโหว่ดังกล่าว ซึ่งรวมถึงแอพพลิเคชั่น Google บางตัวที่ติดตั้งไว้ล่วงหน้าอยู่แล้วในอุปกรณ์ Android เช่น Google Translate, Google Voice Typing, Yandex Translate เป็นต้น และยังได้ระบุด้วยว่าปัจจัยหลักที่ทำให้การโจมตีนี้สำเร็จได้นั้น เกิดจากการที่ Developer ไม่ยอมทำตามคำแนะนำใน "Android security guidelines" เกี่ยวกับการใช้งานพื้นที่เก็บข้อมูลภายนอก (External Storage)

คำแนะนำสำหรับ developer

ควรทำการตรวจสอบความถูกต้องของข้อมูล Input เมื่อมีการใช้ข้อมูลจากที่จัดเก็บข้อมูลภายนอก
อย่าเก็บไฟล์ executable หรือ class ไฟล์ไว้ในที่จัดเก็บข้อมูลภายนอก
ไฟล์จัดเก็บข้อมูลภายนอกควรมีการ sign และตรวจสอบการเข้ารหัสก่อนการโหลดแบบไดนามิก

ที่มา : bleepingcomputer

Hacker leaks Snapchat’s source code on Github

Source Code ของ Snapchat Social Media ที่ได้รับความนิยม ถูกแฮกเกอร์นำมาโพสไว้บน GitHub

GitHub Account ที่ชื่อว่า Khaled Alshehri (i5xx) ซึ่งอ้างว่ามาจากปากีสถาน ได้สร้างพื้นที่เก็บข้อมูล GitHub ที่เรียกว่า Source-Snapchat พร้อมคำอธิบายว่า "Source Code for SnapChat" และเผยแพร่โค้ดที่อ้างว่าเป็นแอพพลิเคชั่น Snapchat บน iOS

บริษัท Snap ได้ติดต่อไปยัง GitHub เพื่อใช้สิทธิ์ดำเนินการตามลิขสิทธิ์ Digital Millennium Copyright Act (DMCA) ในการลบที่เก็บข้อมูล Source Code ของ Snapchat

Snap ยืนยันว่าโค้ดได้ถูกลบออกไปแล้วและไม่กระทบกับแอพพลิเคชั่น แต่พบผู้ใช้ Twitter 2 ราย (คนหนึ่งอยู่ในปากีสถานและอีกคนหนึ่งอยู่ในประเทศฝรั่งเศส) ซึ่งเชื่อว่าเป็นผู้สร้าง i5xx GitHub Account ระบุว่าได้มีการแจ้งไปยัง Snapchat เกี่ยวกับ Source Code และ Bug โดยคาดว่าจะได้รับรางวัลจาก Snap แต่กลับไม่ได้รับการตอบสนองใดๆ จึงทำการขู่ว่าจะอัพโหลด Source Code ของ Snapchat อีกครั้งจนกว่าจะได้รับคำตอบจาก Snapchat

ที่มา : hackread

DarkHydrus Relies on Open-Source Tools for Phishing Attacks

DarkHydrus ใช้ Open-Source เป็นเครื่องมือสำหรับช่วยการโจมตี spear-phishing ซึ่งออกแบบมาเพื่อขโมยข้อมูล Credential จากรัฐบาลและสถาบันการศึกษาในตะวันออกกลาง

นักวิจัยของ Palo Alto Networks Unit 42 พบว่ากลุ่มที่มีชื่อว่า "DarkHydrus" ได้ใช้เครื่องมือ Open-Source จาก GitHub ที่ชื่อว่า "Phishery" ช่วยในการโจมตีเพื่อขโมยมูล Credential โดยก่อนหน้านี้เคยใช้เป็น Meterpreter, Cobalt Strike, Invoke-Obfuscation, Mimikatz, PowerShellEmpire และ Veil ร่วมกับเอกสารที่เป็น Microsoft Office เพื่อรับคำสั่งจากระยะไกล

ย้อนกลับไปเมื่อเดือนมิถุนายนพบว่ากลุ่มดังกล่าวได้ทำการโจมตีสถาบันการศึกษา โดยการส่งอีเมลล์ที่ใช้ Subject ว่า "Project Offer" และแนบเอกสารไฟล์ Word เพื่อหลอกให้ผู้ใช้กรอกชื่อผู้ใช้และรหัสผ่าน จากนั้นจึงส่งกลับไปยังเซิร์ฟเวอร์ที่เตรียมไว้

การโจมตีในลักษณะนี้ไม่ใช่วิธีการใหม่ ตัวอย่างเช่น WannaCry และ NotPetya เมื่อปีที่แล้ว ก็ได้มีการใช้ Mimikatz ช่วยในการขโมยข้อมูล Credential และใช้ PsExec เพื่อรับคำสั่งจากระยะไกล

ที่มา: bleepingcomputer

Singapore health system breach likely conducted by APT group, government says

S. Iswaran รัฐมนตรีว่าการกระทรวงการสื่อสารและข้อมูลของสิงคโปร์ (Ministry of Communications and Information) เปิดเผยในแถลงการณ์ต่อรัฐสภา เรื่อง การโจมตีระบบ SingHealth ที่ล่าสุดพบว่าอาจเชื่อมโยงกับกลุ่มผู้โจมตีที่ได้รับการสนับสนุนจากรัฐบาล

S.Iswaran กล่าวว่าเมื่อระหว่างวันที่ 27 มิถุนายนถึง 4 กรกฏาคม ที่ผ่านมา ผู้โจมตีได้ใช้เครื่องมือที่มีความซับซ้อนซึ่งเป็นทั้งมัลแวร์ที่สร้างขึ้นเอง ทำให้สามารถหลบเลี่ยงซอฟต์แวร์ป้องกันไวรัส และเครื่องมือรักษาความปลอดภัยที่ SingHealth ใช้อยู่ ช่วยให้สามารถยกระดับสิทธิ์เพื่อเข้าถึงฐานข้อมูล และสามารถขโมยข้อมูลไปได้ โดยรอยเตอร์รายงานเมื่อวันที่ 20 กรกฎาคม ที่ผ่านมาว่า รัฐบาลสิงคโปร์ได้ให้รายละเอียดของข้อมูลที่รั่วไหล ว่าเป็นข้อมูลบันทึกสุขภาพ 1.5 ล้านรายการ ที่รวมถึงประวัติสุขภาพของนายกรัฐมนตรีสิงคโปร์ ลี เซียน ลุง และบันทึกการใช้ยาผู้ป่วย 160,000 รายการ ในที่นี้ไม่รวมข้อมูลที่เกี่ยวข้องกับตัวยา

รัฐบาลสิงคโปร์ได้ตั้งคณะกรรมการสอบสวน เพื่อสืบสวนเหตุการณ์นี้ร่วมกับบริษัทที่ปรึกษา PricewaterhouseCoopers (PWC) และ บริษัท Singapore Cyber Security Agency เพื่อลดผลกระทบและความเสียหายที่เกิดจากเหตุการณ์ในครั้งนี้

ที่มา : cyberscoop

Cracking the passwords of some WPA2 Wi-Fi networks just got easier

Jens Steube ผู้พัฒนาโอเพนซอร์ส "Hashcat" พบเทคนิคใหม่ในการแคร็กรหัสผ่านจาก Pairwise Master Key Identifier (PMKID) ของวิธีการเข้ารหัสแบบ WPA และ WPA2 ของเครือข่าย Wireless ซึ่งเทคนิคที่พบนี้เป็นเทคนิคที่พบโดยบังเอิญในขณะที่กำลังมองหาวิธีการใหม่ในการโจมตีมาตรฐานความปลอดภัยใหม่อย่าง WPA3

ไอเดียหลักของการเทคนิคนี้นั้นอยู่ที่การดักจับข้อมูลเพื่อให้ได้มาซึ่งส่วนที่เรียกว่า PMKID ซึ่งสามารถถูกดึงมาได้จากจากส่วนที่ถูกเรียกว่า RSN IE ใน EAPOL frame เมื่อได้ PMKID มาแล้ว ผู้โจมตีสามารถใน PMKID มาทำการ brute force ด้วยโปรแกรมซึ่งทำให้เวลาในการคาดเดารหัสผ่านนั้นลดลงไปได้เป็นจำนวนมากเมื่อเปรียบเทียบวิธีการก่อนหน้าที่ผู้โจมตีจำเป็นต้องมีข้อมูลหลายจำพวกก่อนที่จะเริ่มทำการเดารหัสผ่าน

อย่างไรก็ตามการโจมตี WPA3 นั้นจะยากกว่า WPA และ WPA2 เนื่องจาก WPA3 มีการเรียกใช้โปรโตคอลที่ดีขึ้นอย่าง Simultaneous Authentication of Equals (SAE) โดยสำหรับ WPA3 ได้รับการรับรองจาก Wi-Fi Alliance แล้วเมื่อช่วงเดือนมิถุนายนที่ผ่านมา และน่าจะมีการปรากฎบนอุปกรณ์โดยทั่วไปภายในปีนี้

ที่มา : theregister

Third-party misconfiguration exposes TCM Bank consumer data

ธนาคาร TCM ของอเมริการายงานว่ามีข้อมูลลูกค้าหลุดจากการตั้งค่าเว็บไซต์ที่ไม่ปลอดภัย

ธนาคาร TCM ของอเมริกาซึ่งเป็นธนาคารที่จัดการเรื่องการออกบัตรเครดิตให้กับธนาคารขนาดเล็กรายอื่นกว่า 750 ธนาคารในสหรัฐอเมริกา รายงานว่ามีข้อูมลของลูกค้าหลุด โดยข้อมูลดังกล่าวหลุดเนื่องจากการตั้งค่าเว็บไซต์ที่ไม่ปลอดภัยในช่วงเวลาระหว่างเดือนมีนาคม ปี 2017 ถึง ช่วงกลางเดือนกรกฏาคม ปี 2018 และส่งผลกระทบลูกค้าที่สมัครบัตรเครดิตระหว่างเวลาดังกล่าว

ทั้งนี้เว็บไซต์ที่ดั้งค่าไม่ปลอดภัยนั้นดูแลโดยผู้รับเหมาภายนอก ธนาคาร TCM ได้ทราบปัญหาดังกล่าวในวันที่ 16 กรกฏาคม ปี 2018 และได้ทำการแก้ไขในวันต่อมา จากการประเมินของธนาคารพบว่าข้อมูลที่หลดได้แก่ ชื่อ ที่อยู่ วันเกิด และหมายเลขประกันสังคมของลูกค้าน้อยกว่าหนึ่งหมื่นราย คิดเป็นน้อยกว่า 25 % ของลูกค้าที่สมัครทำบัตรเครดิตในช่วงเวลาดังกล่าว ซึ่งธนาคารได้กำชับให้ผู้รับเหมาทำงานเข้มงวดขึ้นและหาวิธีตรวจจับและป้องกันปัญหาแบบเดียวกันให้ดีขึ้น

จากเหตุการณ์ดังกล่าวผู้เชี่ยวชาญด้านความปลอดภัยออกมาให้ความเห็นว่า บริษัทที่จ้างผู้รับเหมาภายนอกดูแลระบบ ควรมีการตรวจสอบระดับความปลอดภัยของระบบดังกล่าวว่าเป็นไปตามมาตราฐานความปลอดภัยที่กำหนดหรือไม่อยู่เสมอเพื่อป้องกันเหตุการณ์แบบเดียวกัน

ที่มา : Scmagazine

Health Care Data of 2 Million People in Mexico Exposed Online

ฐานข้อมูล MongoDB ถูกเปิดเผยข้อมูลทางออนไลน์ ซึ่งมีข้อมูลสุขภาพของผู้ป่วย 2 ล้านคนในเม็กซิโก เช่น ชื่อ เพศ วันเดือนปีเกิด ข้อมูลการประกันสถานะความพิการและที่อยู่

ฐานข้อมูลถูกค้นพบโดยนักวิจัยด้านความปลอดภัย Bob Diachenko ผ่านทาง Shodan ซึ่งเป็นเครื่องมือค้นหาอุปกรณ์ที่เชื่อมต่ออินเทอร์เน็ตทั้งหมด โดยพบว่าฐานข้อมูลนี้ถูกเปิดเผยบนอินเทอร์เน็ต สามารถเข้าถึงและแก้ไขได้แม้ไม่มีรหัสผ่าน

หลังจากการวิเคราะห์ฐานข้อมูล นักวิจัยสามารถค้นหาฟิลด์ที่มีที่อยู่อีเมลของผู้ดูแลระบบได้ อีเมลเหล่านี้มีโดเมนของ hovahealth.