Imperva ค้นพบการโจมตีเซิร์ฟเวอร์ PostgreSQL เพื่อติดตั้งมัลแวร์การทำเหมืองข้อมูล cryptocurrency ซึ่งมัลแวร์นี้ถูกซ่อนไว้ในภาพดารา Hollywood ชื่อดังอย่าง Scarlett Johansson

ผู้บุกรุกทำการโจมตี PostgreSQL ผ่านการใช้ module ที่ได้รับการดัดแปลงสำหรับหลีกเลี่ยงการตรวจจับใน Metasploit เมื่อได้ shell ของเครื่องแล้ว สิ่งแรกที่ทำคือการตรวจสอบข้อมูลของ CPU และ GPU ว่าเหมาะสมต่อการทำ cryptocurrency mining ขนาดไหน จากนั้นจะทำการดาวน์โหลดภาพของ Scarlett Johansson จากเว็บไฟล์โฮสติ้ง เมื่อทำการตรวจสอบภาพดังกล่าวพบว่ามีข้อมูลไบนารีที่ผิดปกติซ่อนไว้

จากการตรวจสอบ wallet address ของแฮ็กเกอร์พบว่ามี coin มูลค่าประมาณ 90,000 เหรียญ ซึ่งหมายความว่าผู้โจมตีน่าจะมีการฝังโปรแกรมขุดไว้บนเซิร์ฟเวอร์หลายเครื่องแล้ว

แต่ทำไมผู้โจมตีใช้รูปภาพของคนดังเพื่อฝังมัลแวร์? นักวิจัยเชื่อว่าการทำเช่นนี้เป็นการหลอกลวงโปรแกรมรักษาความปลอดภัยเนื่องจากเทคนิคการผนวกรหัสไบนารีกับไฟล์รูปภาพหรือเอกสารที่แท้จริงทำให้ไฟล์ดูถูกต้องปลอดภัยและสามารถผ่านซอฟต์แวร์ป้องกันไวรัสส่วนใหญ่ได้

ที่มา : hackread

โครงการ Internet Systems Consortium (ISC) ประกาศแพตช์ระดับความรุนแรงสูงสำหรับซอฟต์แวร์ ISC-BIND และ ISC-DHCP ซึ่งทำให้ผู้โจมตีสามารถทำการ DoS ซอฟต์แวร์ได้จากระยะไกล

สำหรับช่องโหว่แรกบนซอฟต์แวร์ BIND นั้นได้รหัส CVE-2018-5734 กระทบ BIND ในรุ่น 9.10.5-S1 to 9.10.5-S4, 9.10.6-S1 และ 9.10.6-S2 ได้คะแนน CVSSv3 ทั้งหมด 7.5 สามารถทำการอัปเดตแพตช์ได้ทันที หรือผิดการทำงานของฟังก์ชันที่มีปัญหาก่อนด้วยการตั้งค่า "servfail-ttl 0;"

ส่วนช่องโหว่ที่สองบนซอฟต์แวร์ DHCP นั้นได้รหัส CVE-2018-5732 กระทบ DHCP ในรุ่น 4.1.0 -> 4.1-ESV-R15, 4.2.0 -> 4.2.8, 4.3.0 -> 4.3.6, 4.4.0 ได้คะแนน CVssv3 ทั้งหมด 7.5 โดยไม่มีวิธีการแก้ปัญหาด้วยวิธีการอื่นนอกจากอัปเดตซอฟต์แวร์

Recommendation : ดำเนินการอัปเดตซอฟต์แวร์ที่อาจมีช่องโหว่ให้เป็นเวอร์ชันล่าสุดโดยด่วน

Affected Platform : BIND เวอร์ชัน 9.10.5-S1 to 9.10.5-S4, 9.10.6-S1 และ 9.10.6-S2
DHCP เวอร์ชัน 4.1.0 -> 4.1-ESV-R15, 4.2.0 -> 4.2.8, 4.3.0 -> 4.3.6, 4.4.0

ที่มา : US-CERT