News

Watch out, hackers are targeting CVE-2018-0296 Cisco fixed in 2018

เตือน Hacker ตั้งเป้าหมายการโจมตีไปยังช่องโหว่ CVE-2018-0296 ของ Cisco
Cisco ได้ออกมาเตือนลูกค้าว่า Hacker มีการโจมตีไปยัง อุปกรณ์ Cisco ASA ที่มีช่องโหว่ CVE-2018-0296 ซึ่งได้มีการแก้ไขไปแล้วเมื่อมิถุนายน 2018 ปัญหาของช่องโหว่นี้คือผู้โจมตีไม่ต้องเข้าสู่ระบบก็สามารถโจมตีจากระยะไกลได้ โดยทำให้เกิดการปฏิเสธการให้บริการ (DoS) นอกจากนี้ยังสามารถดูข้อมูลของระบบโดยใช้เทคนิคการสำรวจ Directory ได้
สาเหตุของปัญหามาจากการตรวจสอบ Input ที่ไม่เหมาะสมของ URL HTTP และอาจทำให้แฮกเกอร์สามารถส่งคำขอที่เป็นอันตรายไปยังอุปกรณ์ที่มีความเสี่ยง ซึ่งช่องโหว่ที่มีผลกระทบกับ Software ของอุปกรณ์ Cisco ดังนี้
3000 Series Industrial Security Appliance (ISA)
ASA 1000V Cloud Firewall
ASA 5500 Series Adaptive Security Appliances
ASA 5500-X Series Next-Generation Firewalls
ASA Services Module for Cisco Catalyst 6500 Series Switches and Cisco 7600 Series Routers
Adaptive Security Virtual Appliance (ASAv)
Firepower 2100 Series Security Appliance
Firepower 4100 Series Security Appliance
Firepower 9300 ASA Security Module
FTD Virtual (FTDv)
ซึ่ง Cisco แนะนำให้ผู้ดูแลระบบตรวจสอบ Version ของ Software ที่รันอยู่บนอุปกรณ์ว่าเป็นรุ่นที่ได้รับผลกระทบดังกล่าวหรือไม่ ซึ่ง Cisco ได้เขียนคำแนะนำไว้ที่ Cisco เพื่อแก้ไขปัญหาของช่องโหว่นี้

ที่มา Securityaffairs

Lazarus Hackers มีเป้าหมายที่ Linux และ Windows ด้วยมัลแวร์ Dacls ตัวใหม่

กลุ่ม Lazarus มีมัลแวร์ตัวใหม่ Dacls โจมตีทั้ง Linux และ Windows
Qihoo 360 Netlab พบมัลแวร์ Remote Access Trojan (RAT) ตัวใหม่ชื่อ Dacls ทำงานทั้งบน Windows และ Linux ซึ่งมัลแวร์ตัวนี้มีความเชื่อมโยงกับกลุ่ม Lazarus ที่ถูกสนับสนุนโดยรัฐบาลเกาหลีเหนือ กลุ่มนี้เป็นรู้จักในการแฮก Sony Films ในปี 2014 และเป็นเบื้องหลังในการระบาด WannaCry ไปทั่วโลกในปี 2017 อีกด้วย
นี่เป็นครั้งแรกที่พบมัลแวร์ที่ทำงาน Linux จากกลุ่ม Lazarus โดย Qihoo 360 Netlab เชื่อมโยงความเกี่ยวข้องระหว่าง Dacls กับกลุ่ม Lazarus จากการใช้งาน thevagabondsatchel[.]com ซึ่งเคยมีประวัติว่าถูกใช้งานโดยกลุ่ม Lazarus ในอดีต
Dacls ใช้ TLS และ RC4 ในการเข้ารหัสสองชั้นเพื่อรักษาความปลอดภัยในการสื่อสารกับ command and control (C2) รวมถึงใช้ AES encryption ในการเข้ารหัสไฟล์ตั้งค่า
นักวิจัยพบ Dacls สำหรับ Windows และ Linux พร้อมทั้งโค้ดสำหรับโจมตีช่องโหว่ CVE-2019-3396 ใน Atlassian Confluence บนเซิร์ฟเวอร์ บ่งชี้ถึงความเป็นไปได้ว่ากลุ่ม Lazarus จะใช้ช่องโหว่ดังกล่าวติดตั้ง Dacls นักวิจัยจึงแนะนำให้ผู้ใช้ Confluence ทำการแพตช์ระบบให้เร็วที่สุดเท่าที่จะทำได้
สามารถอ่านรายงานวิเคราะห์ Dacls และดูข้อมูล IOC ได้จาก https://blog.

267M Facebook Users’ Phone Numbers Exposed Online

พบเบอร์โทรของผู้ใช้ Facebook 267 ล้านคนรั่วไหลบนฐานข้อมูล

นักวิจัยด้านการรักษาความปลอดภัย Bob Diachenko พบฐานข้อมูลที่โพสต์อยู่บนฟอรั่มของแฮกเกอร์ เปิดให้ดาวน์โหลดในวันที่ 12 ธันวาคม ที่ผ่านมาก่อนจะถูกลบออก ฐานข้อมูลดังกล่าวมีข้อมูลกว่า 267 ล้านรายการ ประกอบด้วยหมายเลข Facebook ID ซึ่งเป็นเลขสาธารณะที่ใช้ระบุผู้ใช้งาน เบอร์โทรศัพท์ของผู้ใช้งาน ชื่อเต็ม และ Timestamp โดยข้อมูลส่วนใหญ่มาจากผู้ใช้งาน Facebook ในสหรัฐอเมริกา ยังไม่ทราบว่าข้อมูลดังกล่าวถูกรวบรวมจาก Facebook ได้อย่างไรแต่นักวิจัยคาดว่าข้อมูลจะมาจากการเรียก Facebook API ในช่วงเวลาก่อนที่ Facebook API จะปิดไม่ให้สามารถเข้าถึงเบอร์โทรศัพท์ได้ในช่วงปี 2018

ข้อมูลที่พบในฐานข้อมูลนี้สามารถเอาไปโจมตีแบบ Spam หรือ Phishing ได้ โดยนักวิจัยแนะนำให้ปรับตั้งค่าการแสดงข้อมูลใน Facebook เป็น private เพื่อช่วยลดการมองเห็นจากบุคคลที่สาม

ที่มา : 267M Facebook Users’ Phone Numbers Exposed Online

รู้จัก Coordinated Vulnerability Disclosure (CVD)

Coordinated Vulnerability Disclosure เป็นศัพท์ที่ CERT/CC รณรงค์ให้ใช้แทนคำว่า Responsible Disclosure เนื่องจาก CERT/CC มองว่าคำว่า Responsible ในที่นี้มีความหมายที่คลุมเครือเกินไป

เมื่อมีการพบช่องโหว่ ผู้ที่ค้นพบช่องโหว่มักจะพยายามรายงานเจ้าของผลิตภัณฑ์ ไม่ว่าจะเป็นซอฟต์แวร์ ฮาร์ดแวร์หรือเซอร์วิสใดๆ ให้ทราบเพื่อให้ทำการแก้ไข ซึ่งในกระบวนการ Coordinated Vulnerability Disclosure นี้จะเป็นการทำงานร่วมกันระหว่างเจ้าของผลิตภัณฑ์กับผู้ค้นพบช่องโหว่เพื่อแก้ไขช่องโหว่ดังกล่าว โดยหลังจากที่มีการแก้ไขระยะหนึ่งแล้ว ผู้ค้นพบช่องโหว่ถึงจะเปิดเผยรายละเอียดของช่องโหว่ต่อสาธารณะ โดยอาจจะเปิดเผยบางส่วน (Limited Disclosure) หรือเปิดเผยข้อมูลทั้งหมด (Full Disclosure) ก็ได้ ซึ่ง Coordinated Vulnerability Disclosure จะเกิดขึ้นได้ต้องอาศัยทั้งความร่วมมือทั้งผู้ที่ค้นพบช่องโหว่และเจ้าของผลิตภัณฑ์
ตัวอย่างการรายงานช่องโหว่ที่ไม่ได้รับการตอบรับ นำไปสู่การเปิดเผยต่อสาธารณะ
ในอดีตมีเหตุการณ์จำนวนมากที่เกิดจากการที่ผู้ค้นพบช่องโหว่ตั้งใจรายงานช่องโหว่เพื่อให้เกิด Coordinated Vulnerability Disclosure กับเจ้าของผลิตภัณฑ์ แต่ไม่ได้รับการตอบรับจากเจ้าของผลิตภัณฑ์ ทำให้ผู้ค้นพบช่องโหว่ตัดสินใจเผยแพร่ช่องโหว่ดังกล่าวต่อสาธารณชนแทนเพื่อให้เกิดความตระหนักต่อช่องโหว่นั้น

ในบทความ rConfig v3.9.2 authenticated and unauthenticated RCE (CVE-2019-16663) and (CVE-2019-16662) ผู้เขียนบทความ Mohammad Askar ระบุว่าได้รายงานช่องโหว่ไปยังผู้พัฒนา rConfig ถึงช่องโหว่ที่ทำให้รันคำสั่งอันตรายจากระยะไกลได้ (RCE) แต่ไม่ได้รับการติดต่อกลับว่าจะมีการแก้ไขช่องโหว่หรือไม่ เขาจึงตัดสินใจเปิดเผยรายละเอียดเกี่ยวกับช่องโหว่เมื่อผ่านไป 35 วันหลังจากที่ไม่มีการตอบรับ
ตัวอย่างองค์กรที่ได้รับประโยชน์จากการรายงานช่องโหว่
ในเหตุการณ์ข้อมูลรั่วไหลของ Capital One ที่เกิดเมื่อเดือนกรกฏาคม 2019 ที่ผ่านมา Capital One ทราบเหตุการณ์นี้จากช่องทางที่เปิดให้นักวิจัยรายงานช่องโหว่ในวันที่ 17 กรกฏาคม 2019 มีผู้ใช้งาน GitHub พบการโพสข้อมูลที่น่าจะเป็นของ Capital One บน GitHub ข้อมูลดังกล่าวประกอบด้วย IP ของเซิร์ฟเวอร์และคำสั่งที่ใช้ดึงข้อมูลออกจากเซิร์ฟเวอร์ของ Amazon ที่ Capital One ใช้บริการ เมื่อสถาบันการเงิน Capital One ได้ทำการตรวจสอบไฟล์ดังกล่าว จึงพบการเข้าถึงข้อมูลโดยไม่ได้รับอนุญาตโดยใช้คำสั่งเหล่านั้นเมื่อวันที่ 22 ถึง 23 มีนาคม 2019 และได้แจ้งไปยัง FBI ซึ่งได้ทำการติดตามจับกุมผู้ต้องสงสัยได้ในเวลาไม่นานต่อมา (สามารถอ่านรายละเอียดของเหตุการณ์ได้จาก https://www.

WordPress Releases Security and Maintenance Updates

WordPress ได้ปล่อยอัปเดตตัวใหม่ออกมา
WordPress 5.3 และเวอร์ชันก่อนหน้าได้รับผลกระทบจากหลายช่องโหว่ ผู้โจมตีสามารถใช้ประโยชน์จากช่องโหว่เหล่านั้นในการควบคุมเว็บไซต์ที่ได้รับผลกระทบ
หน่วยงาน CISA ได้เตือนให้ผู้ใช้และผู้ดูแลทำการตรวจสอบประกาศของ WordPress https://wordpress.

Update Intel’s Rapid Storage App to Fix Bug Letting Malware Evade AV

Intel ออกอัปเดตแอป Rapid Storage แก้ไขช่องโหว่ที่มัลแวร์ใช้หลบเลี่ยงการตรวจจับจากโปรแกรมป้องกันไวรัส
มีช่องโหว่การไฮแจ็ค DLL ในซอฟต์แวร์ของ Intel Rapid Storage Technology (Intel RST) ถ้าเป็นเวอร์ชั่นเก่าซึ่งอาจทำให้โปรแกรมที่เป็นอันตรายมองเป็นโปรแกรมที่เชื่อถือได้และหลีกเลี่ยงโปรแกรมป้องกันไวรัสได้
DLLs หรือ dynamic-link libraries ไฟล์ของ Microsoft Windows ที่โปรแกรมอื่นโหลดเพื่อใช้งานในฟังก์ชั่นต่าง ๆ ที่มีอยู่ในไลบรารี DLL
เมื่อโหลดไฟล์ DLL แล้วโปรแกรมจะระบุพาธไปยังไฟล์ DLL หรือระบุชื่อ
หากใช้พาทแบบเต็มเช่น c: \ example \ example.

Chrome 79 ออกมาพร้อมกับการรักษาความปลอดภัยและการปรับปรุงที่ดีขึ้น

วันที่ 10 ธันวาคม 2019 Google ได้เปิดตัว Chrome Version 79 ไปยังช่องทาง desktop มาพร้อมกับการแก้ไขความปลอดภัย 51 รายการ สิ่งที่รวมอยู่ในนั้นคือคุณสมบัติใหม่ ๆ เช่น Tab Freeze, back-forward cache และการปรับปรุงความปลอดภัยเช่นการป้องกัน phishing ที่ดีขึ้นและการแจ้งเตือนรหัสผ่านที่เคยรั่วไหล

ผู้ใช้ desktop Windows, Mac และ Linux สามารถอัปเกรดเป็น Chrome 79.0.3945.79 โดยไปที่ Settings > Help > About Google Chrome และ browser จะตรวจสอบการอัปเดตใหม่โดยอัตโนมัติและติดตั้งเมื่อพร้อมใช้งาน ผู้ใช้ Android และ iOS สามารถอัปเดต Chrome ได้จาก App Store ที่เกี่ยวข้อง

โดยคุณสมบัติใหม่ ๆ ที่มาพร้อมกับ Chrome 79 ได้แก่

Proactive Tab Freeze (การตรึงแท็บเชิงรุก) คือคุณลักษณะที่จะจัดการกับ Tab ไม่ได้ใช้งานเป็นเวลา 5 นาทีเพื่อลดการใช้แบตเตอรี่และการใช้งานหน่วยความจำ / CPU
Back-forward cache (แคชย้อนหลัง) สิ่งนี้จะช่วยให้ผู้ใช้ย้อนกลับไปมาระหว่างเพจได้อย่างรวดเร็วโดยไม่ต้องโหลดทรัพยากรในแต่ละครั้ง คุณลักษณะนี้สามารถเปิดใช้งานได้ที่ chrome: // flags / # back-forward-cache-URL
Phishing Alert มีการป้องกัน phishing แบบ real-time Google จะเปรียบเทียบ URL ที่เข้าชมกับรายชื่อเว็บไซต์ที่ปลอดภัยที่เก็บไว้ในคอมพิวเตอร์ของคุณ หากไม่มี URL ในรายการนั้น Chrome จะทำการค้นหา SafeBrowsing เพื่อตรวจสอบว่าเว็บไซต์นั้นเป็น phishing ที่รู้จักหรือไม่ Google ระบุว่าการเปลี่ยนแปลงนี้เพิ่มการปิดกั้นเว็บไซต์ phishing ใหม่ขึ้น 30%
Compromised Password Alert โดย Chrome จะตรวจสอบเมื่อผู้ใช้งานเข้าสู่ระบบบนเว็บต่างๆ ด้วยการส่งรหัสผ่านที่แฮชแล้วไปตรวจสอบกับคลังข้อมูลรหัสผ่านที่เคยรั่วไหล และจะแจ้งเตือนผู้ใช้งานหากพบว่าเขาใช้รหัสผ่านที่เคยมีประวัติรั่วไหล
มีการทำเครื่องหมายว่าไม่ปลอดภัย สำหรับโปรโตลคอล TLS 1.0 และ 1.1 จะเริ่มตั้งแต่วันที่ 13 มกราคม 2020

ที่มา bleepingcomputer

Windows 7 Extended Security Updates (ESU) จะไม่รวมการอัปเดตโปรแกรมป้องกันไวรัส Microsoft Security Essentials

 

เมื่อ Windows 7 กำลังจะสิ้นสุดการสนับสนุนวันที่ 14 มกราคม 2020 ซึ่งทำให้ Microsoft จะหยุดการอัปเดต Microsoft Security Essentials (MSE) สำหรับ Windows 7 และจะไม่อัปเดต Microsoft Security Essentials ให้กับบริษัทที่ซื้อ Windows 7 Extended Security Updates (ESU) ด้วย

ดังนั้นบริษัทที่ยังคงใช้ Windows 7 Extended Security Updates (ESU) แล้วใช้โปรแกรมป้องกันไวรัส Microsoft Security Essentials จะไม่ได้รับการสนับสนุน จึงควรเลือกใช้โปรแกรมป้องกันไวรัสตัวอื่นทดแทน

ที่มา : zdnet

Adobe ออกแพตช์อัปเดตด้านความปลอดภัยประจำเดือนธันวาคม 2019 เพื่อแก้ไข 21 ช่องโหว่ใน Acrobat,Reader, Brackets, Photoshop และ ColdFusion

 

Adobe ออกแพตช์เพื่อแก้ไขช่องโหว่ความรุนแรงระดับ Critical ในอุปกรณ์ดังนี้

แก้ไขช่องโหว่ memory corruption ใน Photoshop CC ส่งผลกระทบทำให้ผู้โจมตีสามารถรันคำสั่งที่เป็นอันตรายด้วย User ที่ใช้งานอยู่
แก้ไขช่องโหว่ command injection ใน Brackets โดย Tavis Ormandy นักวิจัยด้านความปลอดภัยจาก Google Project Zero เบื้องต้นผู้เชี่ยวชาญยังไม่ได้ให้รายละเอียดใดๆ เกี่ยวกับช่องโหว่ดังกล่าว
แก้ไขช่องโหว่ Privilege escalation ใน ColdFusion ที่เกิดจากการเข้าถึงโฟลเดอร์ที่ไม่ปลอดภัยจากค่าเริ่มต้น บริษัทตั้งข้อสังเกตว่าผู้ใช้ที่ปฏิบัติตามขั้นตอน lockdown ระหว่างการติดตั้งจะไม่ได้รับผลกระทบดังกล่าว

Adobe กล่าวว่ายังไม่พบหลักฐานว่าข้อผิดพลาดเหล่านี้ถูกนำไปใช้ในทางไม่ดีและได้ทำการแจ้งลูกค้าว่าการสนับสนุน Acrobat 2015 และ Reader 2015 จะสิ้นสุดในวันที่ 7 เมษายน 2020 และผลิตภัณฑ์จะไม่ได้รับแพตช์รักษาความปลอดภัยอีกต่อไปหลังจากนั้น

ที่มา securityweek

Apple ได้ทำการแก้ไขมากกว่า 50 ช่องโหว่ใน macOS Catalina

 

การอัปเดตด้านความปลอดภัยของ Apple ในสัปดาห์นี้กล่าวถึงช่องโหว่มากมายใน macOS Catalina, iOS และ iPadOS, Safari และผลิตภัณฑ์ซอฟต์แวร์อื่น ๆ

macOS Catalina ได้รับแพตช์สำหรับช่องโหว่จำนวนมากที่สุดคือ 52 ส่วน ที่ได้รับผลกระทบมากที่สุดคือ tcpdump โดยมีช่องโหว่ทั้งหมด 32 ช่อง Apple แก้ไขข้อบกพร่องด้านความปลอดภัยโดยอัปเดตเป็น tcpdump เวอร์ชัน 4.9.3 และ libpcap เวอร์ชัน 1.9.1

Apple ยังได้แก้ไขข้อบกพร่องด้านความปลอดภัย 6 รายการใน OpenLDAP โดยอัปเดตเป็นรุ่น 2.4.28 รวมถึงช่องโหว่ 4 ช่องโหว่ในเคอร์เนลผ่านการปรับปรุงการจัดการหน่วยความจำ ส่วนประกอบอื่น ๆ ที่ได้รับการแก้ไข ได้แก่ ATS, Bluetooth, CallKit, CFNetwork Proxies, CUPS, FaceTime, libexpat และความปลอดภัย

ในขณะที่ช่องโหว่ส่วนใหญ่ส่งผลกระทบต่อ macOS Catalina 10.15 เท่านั้น แต่บางช่องโหว่มีผลกับ macOS High Sierra 10.13.6 และ macOS Mojave 10.14.6 เช่นกัน

การอัปเดตที่เผยแพร่สำหรับ iOS และ iPadOS ทำการแก้ไขทั้งหมด 14 ช่องโหว่ ส่วน bug ใน FaceTime ที่อาจนำไปสู่การโจมตีรูปแบบ arbitrary code execution นั้นได้รับการแก้ไขด้วยการเปิดตัว iOS 12.4.4 ซึ่งสำหรับ iPhone 5s, iPhone 6, iPhone 6 Plus, iPad Air, iPad mini 2, iPad mini 3 และ iPod touch รุ่นที่ 6

ข้อบกพร่องที่เหลือถูกแก้ไขใน iOS 13.3 และ iPadOS 13.3 สำหรับ iPhone 6s , iPad Air 2 , iPad mini 4 iPod touch 7 และรุ่นที่ใหม่กว่า ที่ส่งผลกระทบต่อ CallKit, CFNetwork Proxies, FaceTime, IOSurfaceAccelerator IOUSBDeviceFamily, Kernel, libexpat, Photos, security และ WebKit watchOS 6.1.1 (สำหรับ Apple Watch Series 1 และรุ่นที่ใหม่กว่า) รวมถึงโปรแกรมแก้ไขสำหรับ 10 ช่องโหว่ใน CallKit, CFNetwork Proxies, FaceTime, IOUSBDeviceFamily, เคอร์เนล, libexpat, security และ WebKit tvOS 13.3

Apple ยังกล่าวถึงข้อบกพร่องของ FaceTime ที่ Silvanovich ค้นพบใน watchOS 5.3.4
Safari 13.0.4 ได้ปล่อยแพทช์สำหรับสองช่องโหว่ใน WebKit ที่อาจนำไปสู่การโจมตี arbitrary code execution ขณะที่ Xcode 11.3 มาพร้อมกับการแก้ไขปัญหาใน ld64

ที่มา securityweek