News

Cisco Patches Critical CDP Flaws Affecting Millions of Devices

Cisco แก้ช่องโหว่ Cisco Discovery Protocol (CDP) กระทบหลายผลิตภัณฑ์

5 ช่องโหว่ในระดับ critical ถูกค้นพบในการ Cisco Discovery Protocol (CDP) ช่องโหว่เหล่านี้อนุญาตให้ผู้โจมตีที่เข้าถึง local network สามารถยึดอุปกรณ์ได้ กระทบอุปกรณ์เน็ตเวิร์คระดับองค์กรมากกว่าล้านชิ้น ช่องโหว่เหล่านี้ถูกค้นพบโดยบริษัทด้านความปลอดภัยของ IoT (Armis)
CDP คือโปรโตคอลที่มีการใช้งานใน Layer 2 (Data Link Layer) บนอุปกรณ์เน็ตเวิร์คที่เป็นของทาง Cisco มีค่าตั้งค่าเริ่มต้นให้มีการใช้งานในทุกอุปกรณ์ โดยปัจจุบันยังไม่มีให้แก้ไขหรือปิดการใช้งานจากผู้ใช้งานได้โดยตรง

Aimis ได้แสดงวีดีโอสาธิตการใช้ช่องโหว่ใน CDP ซึ่งมีการตั้งชื่อเล่นให้ว่า CDPwn ช่องโหว่ที่พบเป็นช่องโหว่เกี่ยวกับ Remote code execution 4 ช่องโหว่ และ denial of service 1 ช่องโหว่ จากการสาธิตแสดงให้เห็นว่านักวิจัยสามารถดักฟังข้อมูลจากโทรศัพท์ ภาพ และ เสียง ขโมยข้อมูลผ่านทาง switch รวมถึงทำการโจมตีข้ามไปยังเครือข่ายต่างๆ ได้

ช่องโหว่ CDPwn ส่งผลต่ออุปกรณ์ของ Cisco มากมายรวมถึงเราเตอร์ Cisco IOS XR สวิตช์ Cisco NX-OS, ระบบ Cisco NCS, ไฟร์วอลล์ Cisco FirePower, Cisco 8000 IP Camera Series และ Cisco IP Phone 7800 และ 8800 series

ปัจจุบัน Cisco ได้ให้ข้อมูลอัปเดตเพิ่มเติมและรายละเอียดการลดผลกระทบจากช่องโหว่ของ CDPwn ในหน้า Security Advisory เมื่อวันที่ 5 กุมภาพันธ์ร่วมกับ Armis โดยสามารถดูได้จาก https://tools.

Adobe addresses 42 flaws in its five products

Adobe ออกอัปเดตแพตช์ประจำเดือนกุมภาพันธ์ 2020

Adobe ออกอัปเดตแพตช์ประจำเดือนกุมภาพันธ์เพื่อแก้ไข 42 ช่องโหว่ใน 5 ผลิตภัณฑ์ ได้แก่ Framemaker, Acrobat รวมถึง Reader, Flash Player, Digital Editions และ Experience Manager

ช่องโหว่ใน Framemaker ส่วนใหญ่ถูกจัดอยู่ในความรุนแรงระดับ Critical และมีผลกระทบกับ Framemaker บนระบบปฏิบัติการ Windows โดยช่องโหว่ที่พบคือ buffer overflow, heap overflow, out-of-bounds write, และ memory corrupt flaws ส่งผลให้ผู้โจมตีสามารถรันคำสั่งที่เป็นอันตรายด้วยสิทธิของผู้ใช้งานปัจจุบันได้

นอกจากนี้ทาง Adobe ยังกล่าวถึงช่องโหว่อีก 17 ช่องโหว่ของผลิตภัณฑ์ Acrobat รวมถึง Reader ในระบบปฏิบัติการ Windows และ MasOs ซึ่งเป็นช่องโหว่ที่มีความรุนแรงระดับ Critical 2 ช่องโหว่ ได้แก่ช่องโหว่ memory corruption ที่ส่งผลให้ผู้โจมตีสามารถรันคำสั่งที่เป็นอันตรายบนอุปกรณ์ที่มีช่องโหว่ และช่องโหว่ privilege escalation bugs ที่อนุญาตให้ผู้โจมตีสามารถเขียนไฟล์ที่เป็นอันตรายไปยังระบบได้ ในส่วนของข้อบกพร่องที่เหลืออยู่ใน Acrobat and Reader ถูกจัดลำดับความรุนแรงในระดับปานกลางได้แก่ช่องโหว่ memory leaks และช่องโหว่ information disclosure ข้อบกพร่องถูกรายงานไปยัง Adobe โดยผู้เชี่ยวชาญอิสระและนักวิจัยจาก Qihoo 360, Tencent, Renmin University of China, Cisco Talos, the Chinese Academy of Sciences, Baidu, และ McAfee

นอกจากนี้ทาง Adobe ยังเปิดเผยถึงช่องโหว่ arbitrary code execution ใน Flash Player ซึ่งหากผู้โจมตีสามารถรันคำสั่งแปลกปลอมด้วยสิทธิของผู้ใช้งานปัจจุบัน รวมถึงช่องโหว่ใน Digital Editions ได้แก่ ช่องโหว่ command injection bug, information disclosure และช่องโหว่ denial-of-service (DoS) ที่ส่งผลกระทบกับ Adobe Experience Manager เวอร์ชั่น 6.5 และ 6.4

โดยทาง Adobe ยื่นยันว่ายังไม่พบการโจมตีผ่านช่องโหว่ทั้งหมดนี้เกิดขึ้น

ที่มา : securityaffairs

Microsoft’s February 2020 Patch Tuesday Fixes 99 Flaws, IE 0day

ไมโครซอฟต์ออกแพตช์ประจำเดือนกุมภาพันธ์ 2020
ไมโครซอฟต์ได้แก้ไขข้อบกพร่อง 99 รายการซึ่งรวมไปถึงช่องโหว่ 0 day ใน Internet Explorer (IE) ในแพตช์ประจำเดือนกุมภาพันธ์ 2020 มีช่องโหว่ระดับ Critical 10 ช่องโหว่ ระดับ Important 87 ช่องโหว่และระดับ Moderate 2 ช่องโหว่
ในการแก้ไขครั้งนี้ยังรวมไปถึงการแก้ไขช่องโหว่ CVE-2020-0674 ช่องโหว่ 0 day ใน Internet Explorer (IE) ซึ่งมีการพบการโจมตีแล้ว
ผู้ใช้ควรอัปเดทติดตั้งความปลอดภัยโดยเร็วที่สุดเพื่อป้องกันวินโดว์จากความเสี่ยงด้านความปลอดภัยที่ถูกเปิดเผยแล้ว
นอกเหนือจากช่องโหว่ IE CVE-2020-0674 แล้วไมโครซอฟต์ระบุว่ามีการเปิดเผยช่องโหว่อื่นอีกสามช่องโหว่ต่อสาธารณชนแต่ยังไม่พบการโจมตีช่องโหว่เหล่านี้ ได้แก่ CVE-2020-0683 ช่องโหว่ยกระดับสิทธิ์ใน Windows Installer CVE-2020-0686 ช่องโหว่ยกระดับสิทธิ์ใน Windows Installer และ CVE-2020-0706 ช่องโหว่การเปิดเผยข้อมูลใน Microsoft Browser

ที่มา : bleepcomputer

ทำความรู้จักเทคโนโลยี Deception Solution ตรวจจับและรับมือภัยคุกคามด้วยลูกไม้และการหลอกลวง

ในช่วงปี 2019 ที่ผ่านมา เทรนด์หนึ่งซึ่งได้รับการพูดถึงอย่างมีนัยยะสำคัญและเริ่มได้รับความสนใจในมุมของการตรวจจับ ป้องกันและตอบสนองภัยคุกคามคือเทรนด์ซึ่งนำแนวคิดเดิมของ Honeypot และ Sandbox มาเปลี่ยนโฉมเพื่อให้แทนที่จะทำหน้าที่ในการ "กักกัน" ภัยคุกคามเพียงอย่างเดียว มันยังสามารถวิเคราะห์และตอบสนองภัยคุกคามที่ตรวจพบได้ในตัว อีกทั้งยังสามารถเปลี่ยนระบบทั่วไปให้มีศักยภาพในการเป็น Honeypot เพื่อหลอกล่อให้ภัยคุกคามไม่สามารถบรรลุเป้าหมายของมันได้ เทคโนโลยีกลุ่มนี้ถูกนำเสนอในชื่อของ Deception Solution และในวันนี้เราจะมาพูดถึงเทคโนโลยีนี้กันครับ
วิวัฒนาการและพฤติกรรมของภัยคุกคามในปี 2019
Advance Persistent Threat (APT)
เมื่อไม่กี่ปีที่ผ่านมา หากเราพูดถึงการมาของกลุ่มภัยคุกคามที่ศักยภาพและทักษะที่สูงซึ่งเรามักจะเรียกกันว่า Advance Persistent Threat (APT) มันอาจยังคงเป็นเรื่องที่ไกลตัวและคงไม่ใช่ประเด็นที่ต้องกังวลมากนักว่าจะมีใครทุ่มเทศักยภาพและทักษะขนาดนั้นเพื่อโจมตีระบบและธุรกิจของเรา อย่างไรก็ตามการวิวัฒนาการและพฤติกรรมของ APT นั้นกลับเกิดขึ้นขัดแย้งกับแนวความคิดนี้ การโจมตีจาก APT สามารถเกิดขึ้นแม้เราจะไม่ได้เป็น group of interests ที่ APT หมายปองแต่อาจเกิดขึ้นได้เพียงเพราะว่าเรามีปัจจัยที่สามารถช่วยให้กลุ่ม APT กลุ่มนั้นสามารถบรรลุเป้าหมายได้

Advance Persistent Threat (APT) คือรูปแบบของภัยคุกคามรูปแบบหนึ่งที่มีพฤติกรรมในการพยายามจะฝังตัวไว้ในเครือข่ายของเป้าหมายและทำการหลบซ่อนจากระบบการตรวจจับในเครือข่าย จุดประสงค์ของการโจมตีของ APT มีหลากหลายตามเป้าหมายของการโจมตี การรวบรวมข้อมูลที่สำคัญเป็นเพียงขั้นตอนหนึ่งเท่านั้นเพื่อให้ภัยคุกคามสามารถเคลื่อนย้ายตัวเองไปยังระบบอื่นๆ เมื่อได้ข้อมูลครบเรียบร้อยตัวของภัยคุกคามจะทำการเคลื่อนย้ายตัวเอง (Lateral movement) ไปยังเครื่องอื่น ๆ ตามข้อมูลที่พบเจอ เพื่อที่จะหาแหล่งข้อมูลสำคัญขององค์กร รวมถึงช่องโหว่ที่เกิดขึ้นในองค์กรอีกด้วย เป้าหมายของการโจมตีโดย APT คือการเข้าถึงถึงระบบต่าง ๆ ในเครือข่าย โดยไม่ถูกตรวจจับและสามารถจารกรรมข้อมูลสำคัญให้มากที่สุด

คำว่า “Advance” หมายถึง เทคนิคและวิธีการที่ภัยคุกคามใช้เพื่อบรรลุเป้าหมายในการโจมตีซึ่งแตกต่างจากภัยคุกคามทั่วไป และคำว่า“Persistent” หมายถึงศักยภาพในการฝังตัวในระบบเป็นระยะเวลานานและตรวจจับได้ยาก ส่วนใหญ่ผู้โจมตีฝังตัวอยู่ในระบบเป็นเวลานานเพื่อคอยสำรวจระบบเพื่อหาข้อมูลเพิ่มเติม/เคลื่อนย้ายตัวเอง ในอีกด้านหนึ่ง "Persistent" ยังไม่ถึงความพยายามในการบรรลุให้ถึงเป้าหมายของการโจมตีให้ได้ด้วยโจมตี
BOTNET

Botnet คือรูปแบบของภัยคุกคามที่อาศัยการแพร่กระจายไปยังระบบเป็นเจ้ามากเพื่อควบคุมและแสวงหาประโยชน์ โดยกลุ่มของ Botnet สามารถถูกใช้เพื่อสร้างการโจมตีในลักษณะ Distributed Denial of Services (DDoS) ส่งผลให้เว็บไซต์หรือระบบขององค์กรนั้น ไม่สามารถใช้งานได้ โดยส่วนใหญ่นั้น Botnet มักจะถูกควบคุมให้ทำงานตามคำสั่งของผู้ควบคุมให้มีการสั่งการจาก Command and Control Center (C&C) รวมไปถึงรับและส่งข้อมูลที่ Bot เองสามารถแสวงหาจากระบบที่ยึดครองได้

การตรวจจับและป้องกันในปัจจุบันพึ่งพาอาศัยการตรวจจับให้ได้จึงจะป้องกันให้ได้ นั่นหมายถึงระบบในการตรวจจับ อาทิ Next-Gen Firewall, Intrusion Detection Systems (IDS), Intrusion Prevention Systems (IPS), Web Application Firewall (WAF), Endpoint Protection จะต้องสามารถแยกแยะพฤติกรรมการใช้งานปกติออกจากพฤติกรรมที่เป็นการโจมตีได้ แยกแยะไฟล์ที่เป็นอันตรายกับไฟล์ที่ไม่เป็นอันตรายได้ ซึ่งนั่นทำให้เกิดเกมไล่จับของตำรวจที่ต้องมองหาคนร้ายที่ต้องปลอมตัวมาอย่างแนบเนียนและมีการเปลี่ยนลักษณะไปเรื่อยๆ

จะเป็นอย่างไรถ้าเราทำให้สภาพแวดล้อมที่เป็นเป้าหมายของภัยคุกคามนั้นมั่นคงและพร้อมรับการโจมตีที่สุด จับตาในทุกๆ มุมที่คนร้ายอาจซ่อนเร้น ให้ข้อมูลปลอมแก่คนร้ายเพื่อให้คนร้ายเปิดเผยตัวตนออกมา และรอในจุดที่พร้อมที่สุดเพื่อจับกุมคนร้ายในจังหวะที่คนร้ายเปิดเผยตัวเอง แนวคิดเหล่านี้คือที่มาของเทคโนโลยีที่มีชื่อว่า Deception Solution ครับ
Deception Solution Features
ด้วยคุณสมบัติของ Deception Solution ที่ได้มีการพัฒนาขึ้นมาเพื่อเฝ้าระวัง และตอบโต้การทำงานของภัยคุกคามที่มีความสามารถในการปกปิดตัวเองและสร้างความเสียหายได้สูง ฟีเจอร์หลักของ Deception Solution ครอบคลุมความสามารถดังต่อไปนี้

Real-time detection
สามารถแสดงรูปแบบการโจมตีของผู้ไม่ประสงค์ดี โดยการวางเหยื่อล่อ (Decoy) ให้อยู่ในสภาพแวดล้อมของอค์กร เพื่อทำการเบี่ยงเบนหรือลวงผู้ไม่ประสงค์ดีให้ทำการเข้ามาโจมตีเหยื่อล่อ (Decoy) เพื่อตรวจสอบพฤติกรรมในการเข้ามาโจมตี ไม่ว่าจะเป็นรูปแบบการทำงานของ Ransomware และ Phishing attack หรือในขณะเริ่มกระบวนการ การเก็บข้อมูลภายในระบบเพื่อโจมตีเป้าหมาย (Reconnaissance) และการเคลื่อนที่ในเครือข่าย (Lateral movement) ในดาต้าเซ็นเตอร์ขององค์กรและบนคลาวด์ เป็นต้น
Enhanced Prevention
ยกระดับมาตรการในการป้องกันความปลอดภัย ด้วย การประเมินความเสี่ยงของ Account Credential (Attack Path), ช่องโหว่ (Vulnerability), ความเสี่ยง (Risk), และการวิเคราะห์พฤติกรรมการโจมตีของผู้ไม่ประสงค์ดี โดย Solution นี้สามารถนำไปใช้ร่วมกับ 3rd party solutions อื่น ๆ ในการทำ Automatic Blocking และ Quarantine การโจมตีอย่างทันท่วงที
Detailed Attack ANalysis
สามารถรวบรวมและตรวจสอบ Tactics, Techniques, and Procedures (TTPs) ของ BOTs, APTs, Insider Threats และยังสามารถทำการวิเคราะห์พฤติกรรมการโจมตีของผู้ไม่ประสงค์ดีได้อีกด้วย
Substantiated Alerts
สามารถบริหารจัดการการแจ้งเตือนตามรูปแบบการโจมตี และแจ้งข้อมูลที่เกี่ยวข้องของเครื่องที่ถูกบุกรุก รวมถึงรูปแบบของการโจมตี
Actionable Forensics
สามารถรายงานข้อมูลการโจมตีและนำไปใช้งานในรูปแบบต่าง ๆ เช่น IOC, STIX, Syslog, PDF, CSV และ PCAP ได้
Accelerated Incident Response
รูปแบบการวิเคราะห์ที่เกิดขึ้นสามารถนำไปใช้ร่วมกับระบบอื่น ๆ เพื่อยกระดับการตอบสนองได้อย่างรวดเร็ว
Technology Advantage Points
จากแนวความคิดที่อยู่ในรูปแบบของการป้องกันเพียงอย่างเดียว (Protect) ซึ่งนำมาสู่การพัฒนามาเป็นรูปแบบในการเฝ้าระวัง (Detect) และการตอบสนอง (Response) ต่อภัยคุกคามโดยใช้ Deception Solution (เหยื่อล่อ) เพื่อทำการหลอกล่อให้ผู้ไม่ประสงค์ดีหรือมัลแวร์แสดงตัวออกมา และทำการหยุดยั้งการโจมตีได้ทันที จุดเด่นของ Deception Solution มีตามรายละเอียดดังต่อไปนี้
ตรวจจับภัยคุกคามอย่างรวดเร็วและหยุดยั้งการโจมตีทุกขั้นตอน

ทำการวางเหยื่อล่อ (Decoy) เพื่อล่อหลอกให้ผู้ไม่ประสงค์ดีหรือมัลแวร์ทำการโจมตี เมื่อมีการโจมตีมาที่เหยื่อล่อ ระบบจะแจ้งเตือนในทันที โดยระบบจะแสดงรูปแบบของการโจมตี ตั้งแต่ขั้นตอนที่ผู้ไม่ประสงค์ดีหรือมัลแวร์เริ่มเคลื่อนไหวในเครือข่าย
ลดเวลาในการตรวจสอบภัยคุกคาม โดยสามารถระบุเครื่องที่ถูกโจมตีได้ รวมถึงสามารถวิเคราะห์การโจมตีก่อนที่จะก่อให้เกิดความเสียหาย
หยุดยั้ง APT, Botnet และการโจมตีในรูปแบบอื่น ๆ ด้วยการแจ้งเตือนไปยังผู้ดูแลระบบผ่านทางอีเมล์ ถ้ามีเหตุการณ์ภัยคุกคามเกิดขึ้นในขณะที่มีการโจมตี
สามารถวางเหยื่อล่อ (Decoy) ที่มีความคล้ายคลึงระบบในเครือข่ายจริงเพื่อตรวจจับ zero-day attacks โดยไม่จำเป็นต้องใช้ signatures ในการป้องกัน

เข้าถึงข้อมูลพฤติกรรมของภัยคุกคามและป้องกันการโจมตีในอนาคต

สามารถตรวจจับพฤติกรรมที่เกิดขึ้นจริงของภัยคุกคามและทำการวิเคราะห์ เพื่อให้เข้าถึงและเข้าใจการโจมตีรวมถึงเป้าหมายการโจมตีได้
แสดงข้อมูลรายงาน Indicators of Compromise (IOC) และรายงานรูปแบบการโจมตีผ่าน UI, PCAP files, Syslog, IOC, และ CSV เพื่อใช้ร่วมกับระบบอื่น ๆ ได้

Attivo Networks: Active Deception for Threat Detection Solutions
Deception and Decoy
Attivo Networks ออกแบบและพัฒนาระบบ Deception Solution ให้มีความเสมือนกับระบบจริงบนเครือข่ายของผู้ใช้งาน ซึ่ง Attivo Networks ทำหน้าที่เป็นระบบตรวจจับโดยใช้การวางเหยื่อล่อ (Decoy) เพื่อตอบโต้ภัยคุกคามทุกรูปแบบ ตั้งแต่พฤติกรรมของภัยคุกคามที่เริ่มทำงานจนเข้าถึงเป้าหมาย และตรวจจับพฤติกรรมภัยคุกคามในเครือข่าย รวมไปถึงสามารถที่จะประเมินโอกาสที่จะเกิดความเสี่ยงของ Lateral movement ในเครือข่ายได้อีกด้วย

โดยพื้นฐานของการวางเหยื่อล่อ (Decoy) และการเบี่ยงเบนเป้าหมายการโจมตีของผู้ไม่ประสงค์ดีหรือมัลแวร์ Attivo Networks สามารถเข้ารับมือกับการโจมตีของผู้ไม่ประสงค์ดีหรือมัลแวร์ได้ และสามารถแจ้งเตือนไปยังผู้ดูแลรระบบผ่านทางอีเมล์ รวมถึงแจ้งเตือนให้ระบบอื่น ๆ (3rd Party) เข้ามาช่วยทำการป้องกันและหยุดยั้งการโจมตีได้อย่างทันท่วงที ลดเวลาในการวิเคราะห์พฤติกรรมการโจมตีของผู้ไม่ประสงค์ดีหรือมัลแวร์ และยังช่วยลดความรุนแรงที่ก่อให้เกิดความเสียหายกับระบบได้ โดย Attivo Networks ถูกออกแบบเพื่อให้ใช้ได้ทั้งในเครือข่าย, ภายในองค์กร, ดาต้าเซ็นเตอร์ และบนคลาวด์ ซึ่งมีให้บริการทั้งในรูปแบบของ Appliance และ Virtual Machine เป็นต้น
Attivo Networks สามารถทำให้ทุกจุดเชื่อมต่อและเครือข่ายกลายเป็นเหยื่อล่อ (Decoy) ได้
Attivo Networks ทำการสร้างจุดเชื่อมต่อและเครือข่ายต่าง ๆ ให้กลายเป็นเหยื่อล่อ โดยการสร้างร่องรอยของข้อมูลการเชื่อมต่อที่น่าเชื่อถือเพื่อลวงให้เกิดการโจมตีไปยังเหยื่อล่อที่วางไว้ เป็นการสร้างระบบป้องกันแบบตอบโต้เพื่อปกป้ององค์กรและข้อมูลสำคัญในองค์กร
การสนับสนุนการป้องกันระบบ
Attivo Networks การตรวจจับและเก็บข้อมูลพฤติกรรมรวมถึงการแนะนำวิธีการแก้ไขปัญหาเบื้องต้น เช่น

IP Address ของเครื่องที่ตรวจพบพฤติกรรมของภัยคุกคาม หรือถูกบุกรุกแล้ว
การใช้งาน Username และ Password
ไฟล์ที่เกี่ยวข้องกับภัยคุกคามที่ถูกนำมาวาง (dropped payloads) และการวิเคราะห์รูปแบบการทำงานไฟล
รายละเอียดการโจมตี และรายละเอียดที่เกี่ยวข้อง เพื่อใช้ในการนำไปวิเคราะห์
รายละเอียดของการแก้ไขใน System, การทำงานของ Process, Registry และการใช้งาน Network Activity

เพิ่มประสิทธิภาพในการขยายตัวของเครือข่ายและการทำงานร่วมกับ 3rd Party Solutions
Attivo Networks สามารถรองรับการขยายตัวของเครือข่ายได้หลากหลายรูปแบบ ทั้งเครือข่ายที่ไปยังสาขา บนคลาวด์ หรือแม้กระทั่งการแบ่งย่อยของ VLAN ในเครือข่าย โดยสามารถบริหารจัดการได้จากส่วนกลางเพื่อให้ง่ายต่อการดูแล ทั้งยังลดภาระของผู้ดูแลโดยสามารถเชื่อมต่อใช้งานร่วมกับ 3rd Party Solution Partners ของ Attivo Networks

สนใจ Solution หรือต้องการข้อมูลเพิ่มเติ่มติดต่อได้ที่ Nattapong@i-secure.

Increased Emotet Malware Activity

สำนักงานความมั่นคงปลอดภัยไซเบอร์และโครงสร้างพื้นฐาน (CISA) ของสหรัฐอเมริกาออกคำเตือนถึงการเพิ่มขึ้นของการโจมตีด้วยมัลแวร์ Emotet
Emotet เป็นโทรจันที่มีความซับซ้อนซึ่งโดยทั่วไปจะทำหน้าที่เป็นตัวดาวน์โหลดหรือ dropper มัลแวร์อื่น ๆ โดยส่วนใหญ่มัลแวร์ดังกล่าวจะแพร่กระจายผ่านไฟล์แนบทางอีเมลที่เป็นอันตรายและพยายามแพร่กระจายภายในเครือข่ายโดยการ Brute Force ข้อมูลประจำตัวของผู้ใช้และการ shared drives หากโจมตีสำเร็จผู้โจมตีสามารถเข้าถึงข้อมูลสำคัญของผู้ใช้งานได้

CISA แนะนำผู้ใช้งานและผู้ดูแลระบบปฏิบัติตาม best practice ต่อไปนี้เพื่อป้องกัน

บล็อกไฟล์อันตรายที่ถูกแนบมากับอีเมล (เช่น ไฟล์ .dll และ .exe)
บล็อกไฟล์แนบอีเมลที่ไม่สามารถสแกนได้โดยซอฟต์แวร์ป้องกันไวรัส (เช่นไฟล์. zip)
แนะนำให้ทำการตั้งค่า Group Policy Object และ Firewall rule
แนะนำให้ติดตั้งโปรแกรมป้องกันไวรัสและทำการแพทช์อย่างสม่ำเสมอ
ติดตั้งตัวกรองที่เกตเวย์อีเมลและบล็อก IP ที่น่าสงสัยที่ไฟร์วอลล์
ยึดตามหลักการของ least privilege
ตั้งค่า Domain-Based Message Authentication, Reporting & Conformance (DMARC)
จัดการแบ่งโซนเน็ตเวิร์ค
จำกัดสิทธิการเข้าถึงที่ไม่จำเป็น

CISA แนะนำให้ผู้ใช้และผู้ดูแลระบบตรวจสอบแหล่งข้อมูลต่อไปนี้สำหรับข้อมูลเกี่ยวกับการป้องกัน Emotet และมัลแวร์อื่น ๆ

CISA Alert Emotet Malware https://www.

พบการปล่อยโค้ดโจมตีสำหรับช่องโหว่ CVE-2020-0609 และ CVE-2020-0610

พบการปล่อยโค้ดโจมตีสำหรับช่องโหว่ CVE-2020-0609 และ CVE-2020-0610

ช่องโหว่ใน Windows RD Gateway (CVE-2020-0609 และ CVE-2020-0610) เป็นช่องโหว่ที่ทำให้สามารถรันคำสั่งจากระยะไกลได้ (Remote Code Execution) โดยที่ผู้โจมตีไม่จำเป็นต้องเข้าสู่ระบบ เพียงแค่เชื่อมต่อด้วย RDP และส่ง request อันตรายไปยังเครื่องเป้าหมายเท่านั้น ส่งผลกระทบ Windows Server 2012, Windows Server 2012 R2, Windows Server 2016 และ Windows Server 2019 ทั้งสองช่องโหว่เพิ่งได้รับการแก้ไขในแพตช์ประจำเดือนมกราคม 2020

ปัจจุบันมีการปล่อยตัวแสกนหาช่องโหว่และโค้ดสำหรับโจมตีออกมาแล้ว ซึ่งโค้ดสำหรับโจมตีที่ถูกปล่อยมานี้ยังไม่ใช้โค้ดที่ทำการโจมตีเพื่อการรันคำสั่งจากระยะไกล เป็นเพียงโค้ดสำหรับการโจมตีเพื่อให้หยุดทำงาน (Denial-of-Service) เท่านั้น แต่เป็นไปได้ที่จะมีความพยายามต่อยอดโค้ดโจมตีดังกล่าวให้ร้ายแรงขึ้นในไม่ช้า

สามารถอ่านรายละเอียดของช่องโหว่ CVE-2020-0609 และ CVE-2020-0610 โดยละเอียดได้จาก kryptoslogic โดยบทความดังกล่าวระบุว่าช่องโหว่ทั้งสองเกิดจากความผิดพลาดในส่วนจัดการ UDP

ที่มา : MalwareTechBlog

Microsoft discloses security breach of customer support database

Microsoft ตั้งค่าผิด ข้อมูลลูกค้าถูกเปิดเผย

Microsoft เปิดเผยรายละเอียดเกี่ยวกับเหตุการณ์ฐานข้อมูลของลูกค้ารั่วไหล เกิดจากการตั้งค่าผิดพลาด ซึ่งเกิดขึ้นเมื่อช่วง 5 ธันวาคม - 31 ธันวาคม 2019 และได้มีแจ้งรายงานไปยัง Microsoft โดย Bob Diachenko นักวิจัยด้านความปลอดภัย โดยข้อมูลดังกล่าวเป็นของลูกค้าที่เคยใช้บริการ customer support

การรั่วไหลของข้อมูลเกิดบน Elasticsearch 5 Server ซึ่งข้อมูลใน Server ทั้งห้าเป็นข้อมูลที่ซ้ำกันเพื่อสำรองซึ่งกันและกัน มีประมาณ 250 ล้านรายการ เช่น ที่อยู่อีเมล, ที่อยู่ IP และรายละเอียดต่างๆ แต่ข้อมูลบันทึกส่วนใหญ่ไม่มีข้อมูลผู้ใช้ส่วนบุคคล

สำหรับกรณีนี้ Microsoft ได้เริ่มแจ้งไปยังลูกค้าที่ได้รับผลกระทบถึงแม้ว่าจะไม่พบการใช้งานที่เป็นอันตรายของข้อมูล และได้กล่าวว่าเหตุการณ์ดังกล่าวเป็นผลมากจากการตั้ง Azure security rules ที่ไม่ถูกต้อง ซึ่งปรับใช้เมื่อวันที่ 5 ธันวาคม และตอนนี้ได้ทำการแก้ไขเรียบร้อยแล้วและเพิ่มมาตรการการรักษาความปลอดภัยและการตั้งค่าให้รัดกุมขึ้น

ที่มา : ZDNet

Cisco Firepower Management Center Lightweight Directory Access Protocol Authentication Bypass Vulnerability

Cisco ออกแพตช์ให้ช่องโหว่ร้ายแรงใน Firepower Management Center
มีช่องโหว่ร้ายแรงในหน้า web interface ของ Firepower Management Center (CVE-2019-16028) ถ้าเปิดให้ authentication ผ่าน external LDAP server ผู้โจมตีจะสามารถสร้าง HTTP request อันตรายเพื่อเข้าถึงหน้า web interface ด้วยสิทธิ์ผู้ดูแลระบบได้
สามารถตรวจสอบได้ว่ามีความเสี่ยงต่อช่องโหว่นี้หรือไม่ได้จากเมนู System > Users > External Authentication แล้วตรวจสอบว่ามีการเปิดใช้ LDAP หรือไม่
Cisco แนะนำว่าควรปิดการใช้งานการ authentication ด้วย LDAP จนกว่าจะทำการอัปเดตแพตช์

ที่มา : Cisco

Mitsubishi Electric discloses security breach, China is main suspect

Mitsubishi Electric ตรวจพบการบุกรุกเครือข่ายและการรั่วไหลของข้อมูล เชื่อจีนเป็นผู้โจมตี
จากการแถลงการณ์ที่เผยแพร่บนเว็บไซต์ของ บริษัท มิตซูบิชิ อิเล็คทริค ซึ่งเป็นหนึ่งในบริษัทผู้ผลิตอุปกรณ์ไฟฟ้าและอิเล็กทรมนิกส์ที่ใหญ่ที่สุดในโลก บริษัทฯ ได้มีการประกาศถึงการตรวจพบการโจมตีและการรั่วไหลของข้อมูลซึ่งเกิดขึ้นเมื่อ 28 มิถุนายน ปี 2019 และได้มีการสอบสวนภายในอย่างเป็นทางการเมื่อเดือนกันยายนปีเดียวกัน

บริษัทฯ ยังได้มีการประกาศถึงการโจมตีลงในหนังสือพิมพ์ท้องถิ่นสองฉบับคือ Asahi Shimbun และ Nikkei โดยเป็นการกล่าวโทษไปยังกลุ่มจารกรรมไซเบอร์ของจีนชื่อ Tick (Bronze Butler) ซึ่งเป็นที่รูจักว่าเป็นกลุ่ม APT ที่พุ่งเป้าไปที่อุตสาหกรรมในประเทศญี่ปุ่นและเคยมีประวัติการโจมตีมาแล้วย้อนหลังไปหลายปี

อ้างอิงจากประกาศดังกล่าว ทางมิตซูบิชิเชื่อว่าต้นกำเนิดการแฮกมาจากบริษัทพันธมิตรทางธุรกิจซึ่งอยู่ในจีน โดยผู้โจมตีได้มีการใช้บัญชีของพนักงานในการติดตั้งไฟล์ที่เป็นอันตรายในระบบ และเข้าถึงระบบซึ่งอยู่ในประเทศญี่ปุ่น และท้ายที่สุดนำไปสู่การเข้าถึงและการขโมยไฟล์ที่เป็นเอกสารทางธุรกิจกว่า 200 MB อีกทั้งยังมีการใช้เทคนิคการโจมตีหลายรายการพบลบหลักฐานดิจิตอล ส่งผลให้การตรวจสอบและวิเคราะห์การโจมตีทำได้ยากอีกด้วย

ในขณะนี้ทางสำนักงานใหญ่ของมิตซูบิชิได้ทำการแจ้งไปรัฐบาลญี่ปุ่นรวมไปถึงกระทรวงกลาโหมแล้วถึงสถานะและควบคืบหน้าในการตรวจสอบ สืบเนื่องจากมิตซูบิชิเป็นหนึ่งในผู้ถือสัมปทานรายใหญ่กับกระทรวงกลาโหม รวมไปถึงมีโปรเจคด้านการสื่อสารและสาธารณูปโภค ซึ่งอาจทำให้การรั่วไหลของข้อมูลรอบนี้เป็นประเด็นเรื่องความมั่นคงด้วย

ที่มา : ZDNet