News

บริษัทผู้ผลิตโซลูชันป้องกันมัลแวร์ Emsisoft คอนฟิกระบบผิด ข้อมูลในฐานข้อมูลสำหรับใช้ทดสอบระบบรั่วไหล

Emsisoft ประกาศเมื่อสัปดาห์ที่ผ่านมาว่าทางบริษัทได้มีการตรวจสอบการตั้งค่าที่ผิดพลาดในฐานข้อมูล ซึ่งในส่วนระบบที่ใช้สำหรับประเมินประสิทธิภาพผลิตภัณฑ์และทดสอบ บันทึกการใช้งานตรวจพบการเข้าถึงบางส่วนของฐานข้อมูลแต่ไม่สามารถยืนยันได้ว่ามีข้อมูลมากน้อยแค่ไหนที่ถูกเข้าถึงไปบ้าง

ในการตรวจสอบเบื้องต้น ฐานข้อมูลดังกล่าวถูกติดตั้งผิดพลาดไว้ตั้งแต่วันที่ 18 มกราคม จนถึงวันที่ 3 กุมภาพันธ์ ซึ่งเป็นช่วงเวลาที่การตั้งค่าผิดพลาดนั้นถูกตรวจพบ การตรวจสอบพบว่าในฐานข้อมูลดังกล่าวนั้นมีข้อมูลส่วนบุคคลเฉพาะในลักษณะที่เป็นอีเมลทั้งหมด 14 รายการ จาก 7 องค์กร/บริษัท ที่แตกต่างกันออกไป

ข้อมูลในส่วนอื่นซึ่งคาดว่าได้รับผลกระทบนั้น ได้ว่า Technical log ซึ่งเกิดจากการทำงานของโซลูชัน Endpoint protection ของ Emsisoft เองซึ่งไม่มีข้อมูลส่วนบุคคลประกอบอยู่ รวมไปถึงไม่มีข้อมูลใด ๆ เกี่ยวกับลูกค้าหรือผู้ใช้งาน การตรวจสอบเหตุการณ์ไม่พบหลักฐานที่ยืนยันการโจมตีดังกล่าวตั้งใจพุ่งเป้ามาที่บริษัท และไม่พบผลกระทบต่อระบบ Production

Emsisoft ได้มีการประสานงานกับผู้ได้รับผลกระทบและดำเนินการเสริมความปลอดภัยตามความเหมาะสมแล้ว

ที่มา: securityweek

VMware ออกแพตช์ช่องโหว่ DoS ใน ESXi, Workstation, Fusion และ Cloud Foundation ความรุนแรงต่ำ

VMware ประกาศแพตช์ด้านความปลอดภัยให้กับช่องโหว่รหัส CVE-2020-3999 ซึ่งเป็นช่องโหว่ DoS ส่งผลกระทบต่อผลิตภัณฑ์ในกลุ่ม ESXi, Workstation, Fusion และ Cloud Foundation

ช่องโหว่ CVE-2020-3999 ถูกค้นพบโดย Lucas Leong และ Murray McAllister โดยผลลัพธ์ของช่องโหว่นั้นทำให้ผู้ใช้งานซึ่งมีสิทธิ์เป็นแค่ผู้ใช้งานทั่วไปในระบบที่สามารถเข้าถึง virtual machine ต่าง ๆ ได้สามารถสร้างเงื่อนไขเพื่อทำให้โปรเซส vmx ของ virtual machine นั้น crash และทำให้เกิดเงื่อนไขของการปฏิเสธการให้บริการ

ผู้ดูแลระบบสามารถตรวจสอบเวอร์ชันของผลิตภัณฑ์ที่ได้รับผลกระทบเพิ่มเติมได้จากหัวข้อ Response Matrix จากลิงค์ในแหล่งที่มาข่าว

ที่มา: vmware

Ziggy Ransomware ประกาศปิดระบบและจะปล่อยคีย์ถอดรหัสทั้งหมดให้เเก่ผู้ที่ตกเป็นเหยื่อ

นักวิจัยด้านความปลอดภัย M. Shahpasandi ได้เปิดเผยถึงความเคลื่อนไหวล่าสุดจากผู้ดูแลระบบ Ziggy Ransomware ซึ่งได้ทำการประกาศผ่านทาง Telegram ว่ากำลังปิดระบบการทำงานของ Ziggy Ransomware และจะปล่อยคีย์ถอดรหัสทั้งหมดให้เเก่ผู้ที่ตกเป็นเหยื่อ

ผู้ดูแลระบบ Ziggy Ransomware กล่าวว่าพวกเขารู้สึกผิดเกี่ยวกับการกระทำและมีความกังวลเกี่ยวกับการดำเนินการบังคับใช้กฏหมายซึ่งเกิดขึ้นแล้วกับ Emotet และ Netwalker Ransomware เป็นเหตุให้ผู้ดูแลระบบจึงตัดสินใจปิดระบบและปล่อยคีย์ทั้งหมดให้เเก่ผู้ที่ตกเป็นเหยื่อ

ผู้ดูแลระบบ Ziggy Ransomware ได้ทำการโพสต์ไฟล์ SQL ที่มีคีย์ถอดรหัสจำนวน 922 คีย์สำหรับเหยื่อที่ถูกเข้ารหัส ซึ่งไฟล์ SQL จะแสดงคีย์สามคีย์ที่จำเป็นในการถอดรหัสไฟล์ นอกจากนี้ผู้ดูแลระบบแรนซัมแวร์ยังโพสต์ตัวถอดรหัสและซอร์สโค้ดสำหรับตัวถอดรหัสอื่นที่ทำให้สามารถสร้างซอฟต์แวร์ถอดรหัสแบบออฟไลน์ เพื่อถอดรหัสให้กับเหยื่อที่ติดไวรัสและไม่สามารถเชื่อมต่อกับอินเทอร์เน็ตหรือไม่สามารถเข้าถึงเซิร์ฟเวอร์ที่ดูแลควบคุมได้

ทั้งนี้ BleepingComputer ได้แนะนำให้ผู้ที่ตกเป็นเหยื่อใช้ตัวถอดรหัสของบริษัทรักษาความปลอดภัยอย่าง Emsisoft แทนที่จะเป็นตัวถอดรหัสที่มาจากกลุ่ม Ziggy Ransomware เพื่อ ป้องกันมัลแวร์อื่น ๆ เช่นแบ็คดอร์ที่อาจเเฝงไว้กับตัวถอดรหัส

ที่มา: bleepingcomputer

แจ้งเตือนส่วนเสริมเบราว์เซอร์ชื่อดัง The Great Suspender มีมัลแวร์ Google ถอดไม่ให้ดาวน์โหลดแล้ว

 

Google ได้ลบและบังคับให้ถอนการติดตั้ง Extension ที่มีชื่อว่า “The Great Suspender” ออกจาก Chrome web store โดย The Great Suspender เป็น Extension ที่นิยมอย่างมากและมีผู้ใช้มากกว่า 2,000,000 ราย หลังจากมีการตรวจพบว่า The Great Suspender มีโค้ดของมัลแวร์ฝังอยู่

Great Suspender เป็น Extension ใน Google Chrome ที่จะระงับแท็บที่ไม่ได้ใช้งานและยกเลิกการโหลดทรัพยากรเพื่อลดการใช้หน่วยความจำของเบราว์เซอร์ ซึ่งเมื่อผู้ใช้พร้อมที่จะใช้แท็บอีกครั้งผู้ใช้คลิกที่แท็บเพื่อใช้งานต่อได้

Google ได้ตรวจสอบ Extension และพบว่าผู้พัฒนา Extension ที่ได้ทำการซึ้อ โปรเจกต์ในเดือนมิถุนายน 2020 เพื่อนำไปพัฒนาต่อได้ทำการเพิ่มฟีเจอร์ที่ทำให้สามารถเรียกใช้โค้ดได้โดยผู้ใช้ไม่ได้อนุญาตจากเซิร์ฟเวอร์ระยะไกลรวมถึง Extension มีโค้ดในการติดตามผู้ใช้ทางออนไลน์และกระทำการแฝงโฆษณาไว้ ซึ่งฟีเจอร์ดังกล่าวอยู่ใน The Great Suspender เวอร์ชัน 7.1.8

ทั้งนี้สำหรับผู้ที่ต้องการใช้ Extension ที่ชื่อว่า The Great Suspender อย่างถูกต้องและเวอร์ชันดังเดิมสามารถเข้าไปดาวน์โหลดได้ที่ GitHub ซึ่งเป็นเวอร์ชันสุดท้ายของ Extension คือเวอร์ชัน 7.1.6 ได้ที่: github

ที่มา: bleepingcomputer, thehackernews

พบฐานข้อมูลของ SitePoint ถูกขายในฟอรั่มแฮกเกอร์กว่าหนึ่งล้านรายการ

เว็บไซต์ SitePoint เว็บสอนด้านการพัฒนาและออกแบบเว็บไซต์ชื่อดังออกมายอมรับว่าระบบของตนตกเป็นเหยื่อในการโจมตีหลังจากมีการพบฐานข้อมูลของเว็บไชต์ SitePoint ถูกขายในฟอรั่มแฮกเกอร์กว่าหนึ่งล้านราย โดยการโจมตีนั้นเกิดขึ้นในเดือนธันวาคม 2020

ฐานข้อมูลที่ถูกพบประกอบด้วยข้อมูลของสมาชิกผู้ใช้งานเว็บไชต์ SitePoint จำนวน 1,020,959 คน ซึ่งมีรายละเอียดคือ ชื่อบัญชีผู้ใช้งาน, อีเมลรหัสผ่านที่แฮชฟังก์ชั่น bcrypt และ slate, วันเดือนปีเกิด, ประเทศ, IP address และข้อมูลอื่น ๆ

SitePoint ได้ทำการสอบสวนเหตุการณ์การบุกรุก พบว่าผู้ประสงค์ร้ายได้เข้าถึงเครือข่ายผ่านการละเมิดเครื่องมือสำหรับ third party และคีย์ API ที่ถูกขโมยเพื่อเข้าถึง codebase และระบบของ SitePoint

ทั้งนี้ SitePoint ได้ทำการรีเซ็ตรหัสผ่านของผู้ใช้งานแล้วผู้ใช้ที่เข้าสู่ระบบต้องทำการตั้งรหัสผ่านใหม่เป็นจำนวน 10 ตัวอักษรขึ้นไปก่อนเข้าสู่ระบบ อย่างไรก็ดีหากมีการใช้รหัสผ่าน SitePoint ของผู้ใช้ในเว็บไซต์อื่น ๆ ผู้ใช้ควรเปลี่ยนรหัสผ่านใหม่ซึ่งใช้แยกจากระบบอื่น ๆ และควรระมัดระวังการโจมตีแบบฟิชชิงจากอีเมลด้วย

ที่มา: zdnet, bleepingcomputer

แจ้งเตือนปัญหาใน Remote Desktop Web Access ใช้เดา Username ได้ ไมโครซอฟต์ไม่แก้ไขแพตช์เพราะไม่ใช่ช่องโหว่

นักวิจัยด้านความปลอดภัย Matt Dunn จาก Raxis ได้เปิดเผยปัญหา Timing attack ใน Remote Desktop (RD) Web Access ของไมโครซอฟต์ซึ่งเป็นเว็บแอปสำหรับฟีเจอร์ Remote desktop ปัญหาดังกล่าวถูกเรียกว่า Timing attack ที่ส่งผลให้ผู้โจมตีสามารถคาดเดาชื่อบัญชีผู้ใช้งานได้

ปัญหาดังกล่าวนั้นเกิดขึ้นในขั้นตอนของการพิสูจน์ตัวตน หากมีการพยายามพิสูจน์ตัวตนด้วยบัญชีผู้ใช้งานที่ไม่มีอยู่จริง ระบบเบื้องหลังของ RD Web Access จะใช้เวลาประมวลผลประมาณ 4000 มิลลิวินาที ในขณะเดียวกันหากมีการใช้ชื่อบัญชีที่มีอยู่จริงแต่รหัสผ่านผิด ระบบเบื้องหลังจะตอบกลับมาโดยใช้เวลาเพียงแค่ประมาณ 232 มิลลิวินาทีเท่านั้น อัตราส่วนความแตกต่างของเวลาในการตอบกลับทำให้ผู้โจมตีสามารถใช้ปัจจัยดังกล่าวในการระบุหาชื่อบัญชีผู้ใช้งานได้ หากผู้โจมตีทราบชื่อของโดเมน Active Directory

ปัญหานี้เกิดขึ้นกับ Windows Server 2016 และ 2019 และมีการพัฒนาโมดูลของ Metasploit ขึ้นมาเพื่อใช้โจมตีแล้วที่ตำแหน่ง auxiliary/scanner/http/rdp_web_login

Raxis ได้มีการรายงานปัญหาดังกล่าวไปยังไมโครซอฟต์ อย่างไรก็ตามอ้างอิงจากไทม์ไลน์การแจ้งช่องโหว่ Microsoft ปฏิเสธที่จะสนับสนุนและแก้ไขปัญหาด้านความปลอดภัยนี้

เราขอแนะนำให้ผู้ดูแลระบบตั้งค่าการเข้าถึง RD Web Access ผ่าน VPN เพื่อให้สามารถควบคุมการเข้าถึงได้, เปิดใช้ ISA หรือเซอร์วิส Microsoft Federation และบังคับให้ RD Web Access ต้องวิ่งผ่านเพื่อลดผลกระทบจากการโจมตี รวมไปถึงเปิดใช้ Multi factor authentication ด้วย

ที่มาFebruary: raxis

Google เปิดโครงการ Open Source Vulnerabilities (OSV) ฐานข้อมูลช่องโหว่โอเพนซอร์สจากโครงการ OSS-Fuzz

 

Google เปิดโครงการฐานข้อมูลช่องโหว่ Open Source Vulnerabilities (OSV) ซึ่งรวมรายการของช่องโหว่ในโครงการโอเพนซอร์สเอาไว้ ในปัจจุบันข้อมูลจาก OSV นั้นมาจากผลลัพธ์ของโครงการ OSS-Fuzz ซึ่งใช้เทคนิคแบบ Fuzzing ในการค้นหาช่องโหว่

เมื่อ OSS-Fuzz ค้นพบช่องโหว่ OSV จะทำหน้าที่หลักในการ triage ข้อมูลของช่องโหว่นั้นให้สามารถเข้าถึงได้จากช่องทางหรือแพลตฟอร์มอื่น ๆ โดยโครงการที่มีอยู่ก่อนหน้าอย่าง CVE ก็สามารถอ้างอิงรูปแบบของ OSV ในการอ้างถึงรายละเอียดของช่องโหว่ได้ ในขณะเดียวกันผู้ใช้งานและผู้พัฒนาก็สามารถอ้างอิงช่องโหว่ผ่านทางระบบ API ของ OSV ได้ด้วย

ผู้ที่สนใจสามารถเข้าถึง OSV ได้ที่ osv.

แจ้งเตือนมัลแวร์ Hildegard จาก TeamTNT พุ่งเป้าโจมตี Kubernetes

Unit42 จาก Palo Alto Networks ประกาศการค้นพบแคมเปญการโจมตีใหม่จากกลุ่มแฮกเกอร์ TeanTNT ซึ่งพุ่งเป้าโจมตีสภาพแวดล้อมระบบที่มีการใช้งาน Kubernetes ด้วยมัลแวร์ Hildegard โดยมีจุดประสงค์หลักในการทำ Cryptojacking

ผู้โจมตีจะทำการเข้าถึงคลัสเตอร์ที่อนุญาตให้มีการเข้าถึงได้โดยไม่ต้องระบุตัวตน จากนั้นผู้โจมตีจะทำการติดตั้งมัลแวร์ Hildegard ซึ่งมีความสามารถในการแพร่กระจายตัวเองไปยัง container ที่มีอยู่เพื่อกระบวนการขุดเหมือง

ลักษณะสำคัญของมัลแวร์ Hidlegard คือมีการติดตั้งกับเซิร์ฟเวอร์ที่ใช้ออกคำสั่งและควบคุมผ่านโปรโตคอล IRC, มีฟังก์ชันในการซ่อนกระบวนการทำงานและโปรเซสในลักษณะที่คล้ายมัลแวร์ในกลุ่ม Rootkit และยังไม่สามารถถูกใช้เพื่อขโมยข้อมูลที่มีอยู่ออกไปด้วย

เราขอแนะนำให้ผู้ใช้งาน ผู้พัฒนาและผู้ดูแลระบบตรวจสอบการตั้งค่าของสภาพแวดล้อมว่ามีการตั้งค่าอย่างปลอดภัย รวมไปถึงเฝ้าระวังเพื่อระบุหาการทำงานที่ผิดปกติที่อาจเกิดขึ้นในระดับ container ด้วย

ที่มา: securityweek.

บริษัท Cybersecurity สัญชาติฝรั่งเศส StormShield ถูกแฮก ซอร์สโค้ดผลิตภัณฑ์ถูกขโมย

StormShield บริษัทด้าน Cybersecurity สัญชาติฝรั่งเศสประกาศการตรวจพบการโจมตีและการรั่วไหลข้อมูลซึ่งส่งผลให้ซอร์สโค้ดของผลิตภัณฑ์ด้านความปลอดภัยของบริษัทได้รับผลกระทบจากการโจมตี

บริษัท StormShield เป็นผู้ผลิตโซลูชันด้านความปลอดภัย Unified Threat Management (UTM), อุปกรณ์ไฟร์วอลล์, โซลูชัน Endpoint protection และระบบจัดการไฟล์ที่เน้นด้านความปลอดภัย ลูกค้าส่วนใหญ่ของ StormShield นั้นอยู่ในกลุ่มหน่วยงานราชการของฝรั่งเศส, กองทัพรวมไปถึงลูกค้าแบบ SMB

ในรายละเอียดเกี่ยวกับเหตุการณ์นั้น StormShield ตรวจพบการบุกรุกผ่านทาง Technical portal ซึ่งใช้สำหรับการซัพพอร์ตกับลูกค้า ซึ่งส่งผลให้ส่วนแรกให้ข้อมูลสำหรับยืนยันตัวตนใน Technical portal นั้นได้รับผลกระทบ ต่อมา StormShield ตรวจพบการเข้าถึงซอร์สโค้ดของ Stormshield Network Security (SNS) ซึ่งคาดว่าเป็นการเข้าถึงจากการใช้ข้อมูลยืนยันตัวตนที่ได้มา ในเบื้องต้นไม่พบว่ามีการแก้ไขซอร์สโค้ดโดยผู้โจมตี

ในเบื้องต้น ทาง StormShield ได้มีการจัดการบัญชีใน Technical portal ที่ได้รับผลกระทบแล้ว รวมไปถึงที่มีการเปลี่ยนใบรับรองที่ใช้รับรองผลิตภัณฑ์ของ StormShield ใหม่ ผลลัพธ์ของการโจมตีอาจทำให้ผู้โจมตีซึ่งเข้าถึงซอร์สโค้ดของอุปกรณ์ได้นั้นสามารถใช้ซอร์สโค้ดเพื่อศึกษาการมีอยู่ของช่องโหว่ และนำไปใช้ในการโจมตีต่อไปได้

ที่มา:

bleepingcomputer.

Google ประกาศแพตช์ Zero-day ด่วนใน Chrome เชื่อเกี่ยวข้องกับแคมเปญหลอกของเกาหลีเหนือ

Google ประกาศ Chrome เวอร์ชัน 88.0.4324.150 ซึ่งมีการเปลี่ยนแปลงสำคัญคือการแพตช์ช่องโหว่ CVE-2021-21148 ซึ่งเป็นช่องโหว่ Heap overflow ในเอนจินจาวาสคริปต์ V8 ช่องโหว่ CVE-2021-21148 ถูกระบุว่าอาจมีความเกี่ยวข้องกับแคมเปญของกลุ่ม APT สัญชาติเกาหลีเหนือซึ่งใช้ช่องโหว่นี้ในการหลอกล่อผู้เชี่ยวชาญด้านความปลอดภัยในแคมเปญการโจมตีที่พึ่งถูกเปิดเผยเมื่อปลายเดือนมกราคมที่ผ่านมา

อ้างอิงจากไทม์ไลน์ของช่องโหว่ ช่องโหว่ CVE-2021-21148 ถูกแจ้งโดย Mattias Buelens ในวันที่ 24 มกราคม สองวันหลังจากนั้นทีมความปลอดภัย Google ประกาศการค้นพบแคมเปญโจมตีของเกาหลีเหนือซึ่งมีการใช้ช่องโหว่ที่คาดว่าเป็นช่องโหว่ตัวเดียวกัน

เนื่องจากช่องโหว่มีการถูกใช้เพื่อโจมตีจริงแล้ว ขอให้ผู้ใช้งานทำการตรวจสอบว่า Google Chrome ได้มีการอัปเดตโดยอัตโนมัติว่าเป็นเวอร์ชันล่าสุดแล้วหรือไม่ และให้ทำการอัปเดตโดยทันทีหากยังมีการใช้งานรุ่นเก่าอยู่

ที่มา:

zdnet.