DDoS attack on BBC may have been biggest in history

อาจเป็นการโจมตีแบบ DDoS ที่มีขนาดใหญ่ที่สุดในประวัติศาสตร์ เมื่อเว็บไซต์ BBC ถูกโจมตีเมื่อวันสิ้นปีนานกว่า 3 ชั่วโมงครึ่ง โดยทางกลุ่มที่เรียกตนเองว่า New World Hacking ออกมาแสดงความรับผิดชอบต่อการโจมตีดังกล่าวที่มีขนาดสูงถึง 602 Gbps และเป็นเพียงแค่การทดสอบเท่านั้น
New World Hacking กลุ่มแฮกเกอร์ที่มีจุดประสงค์หลักในการโจมตีเว็บไซต์ที่สนับสนุน ISIS ได้ออกมาแสดงความรับผิดชอบต่อเหตุการดังกล่าว โดยแจ้งกับทาง BBC ว่า “พวกเราไม่ได้วางแผนที่จะล่มระบบไปนานหลายชั่วโมงขนาดนั้น” อย่างไรก็ตาม แฮกเกอร์กลุ่มนี้ยังได้ทำการโจมตีเว็บไซต์แคมเปญของ Donald Trump หนึ่งในผู้สมัครลงชิงตำแหน่งประธานาธิบดีสหรัฐฯ ในวันเดียวกันด้วยเช่นกัน
ที่น่าสนใจคือ กลุ่มแฮกเกอร์ระบุว่า พวกเขาใช้ Amazon AWS ในการสร้าง Bandwidth ขนาดใหญ่ที่ใช้โจมตี ซึ่งทาง A10 Networks ให้ความเห็นว่า มันอาจจะเป็นไปได้ เนื่องจากบริการ DDoS Attack ไม่ได้ผิดกฏหมายเสมอไป บางครั้งมีการตั้งบริการดังกล่าวขึ้นมาเพื่อตรวจสอบโหลดที่รองรับได้ของเว็บไซต์
จากรายงานของ Netcraft ผู้ให้บริการโซลูชันด้านความปลอดภัย ระบุว่า บริการทุกอย่างของ BBC สามารถให้บริการได้ตามปกติแล้วหลังจากที่มีการใช้ระบบ Centent Delivery Network ของ Akamai

ที่มา : NETWORKWORLD

Patch now! Flash-exploitin’ PC-hijackin’ attack spotted in the wild by Huawei bods

Adobe ต้องออก Patch มาอุดช่องโหว่ที่มีคนกำลังใช้โจมตีผู้ใช้งาน Flash กันอยู่ โดยหนึ่งในช่องโหว่นี้ถูกรายงานโดยทีมงาน IT Security ของ Huawei ซึ่ง Adobe เองก็ได้เปิดเผยว่าช่องโหว่นี้กำลังถูกใช้โจมตีผู้ใช้งานบางกลุ่มแบบ Targeted Attack อยู่ และแนะนำให้ผู้ใช้งาน Adobe Flash ทุกคนทำการอัพเดตโดยทันที

ในครั้งนี้เป็นการ Patch เพื่ออุดช่องโหว่ถึง 19 ช่องด้วยกัน โดยมีทั้งช่องโหว่ Type Confusion, Integer Overflow, Use-after-free() และ Memory Corruption

สำหรับการตรวจสอบความปลอดภัยนั้น ผู้ใช้งาน Windows หรือ Mac จะต้องใช้ Flash รุ่น 20.0.0.267 หรือ 18.0.0.324 จึงจะถือว่าปลอดภัย ส่วนผู้ใช้งาน Google Chrome ต้องอัพถึงรุ่น 20.0.0.267 จึงจะปลอดภัย ในขณะที่ผู้ใช้งาน MS Edge และ MS IE 11 บน Windows 10 จะต้องใช้งานรุ่น 20.0.0.267 จึงจะปลอดภัย ส่วนผู้ใช้งาน MS IE 10 และ IE 11 บน Windows 8.x ต้องอัพถึงรุ่น 20.0.0.267 จึงจะปลอดภัย และผู้ใช้งาน Linux ต้องอัพถึงรุ่น 11.2.202.559 ถึงจะปลอดภัย

ที่มา : theregister

Critical Vulnerability in VPN Exposes User’s Real IP Address to Attacker

นักวิจัยด้านความปลอดภัยจาก Perfect Privacy ได้ออกมาประกาศค้นพบช่องโหว่ที่มีความรุนแรงสูงบนระบบเครือข่าย VPN ที่ช่วยให้แฮ็คเกอร์สามารถเข้าถึง IP จริงของผู้ใช้งานในระบบได้ ซึ่งจากการทดสอบบริการ VPN ชื่อดัง 9 เครือข่าย พบว่า มีถึง 5 เครือข่ายที่เสี่ยงถูกแฮ็คเกอร์ขโมยข้อมูล IP ของผู้ใช้บริการ

การจะแฮ็คหมายเลข IP ของผู้ใช้ผ่านช่องโหว่ดังกล่าว จำเป็นต้องเคลียร์เงื่อนไขพิเศษหลายรายการ โดยนักวิจัยด้านความปลอดภัยระบุว่า ถ้าผู้ให้บริการ VPN เปิดใช้งาน Port Forwarding ( ซึ่งส่วนใหญ่จะเปิด ) บนชื่อบัญชีของผู้ใช้ และแฮ็คเกอร์รู้หมายเลข IP ปลายทางของการทำ VPN จะทำให้แฮ็คเกอร์สามารถสืบกลับไปหา IP ต้นทางซึ่งเป็น IP จริงของผู้ใช้ได้ทันที

การสืบหมายเลข IP จริงจาก IP ปลายทางหลัง VPN
สำหรับแฮ็คเกอร์แล้ว IP ปลายทางหลังจาก VPN นั้นหาได้ง่ายมากผ่านทาง Public IRC, การเชื่อมต่อ Torrent หรือจะทำ Site Hijacking ก็ได้ เช่น หลอกล่อให้ผู้ใช้งานเข้าไปยังเว็บไซต์ที่ถูกไฮแจ็ค ก็สามารถได้หมายเลข IP ปลายทางทันที ซึ่งเมื่อแฮ็คเกอร์ได้หมายเลข IP นี้มาแล้ว แฮ็คเกอร์จำเป็นต้องมีชื่อบัญชีบนบริการ VPN เช่นเดียวกับของผู้ใช้เพื่อใช้สืบกลับไปหา IP จริง หลังจากนั้น แฮ็คเกอร์สามารถทำให้ผู้ใช้ VPN เข้าถึง Resource บน VPN Server เครื่องเดียวกับของตนได้ แฮ็คเกอร์ก็จะทราบหมายเลข IP จริงของผู้ใช้ผ่านทาง Routing Table ภายในและการตั้งค่า Port Forwarding ทันที

สำหรับผู้ที่ใช้บริการ OpenVPN, PPTP หรือ IPSec อยู่ ต่างได้รับผลกระทบจากช่องโหว่นี้ทั้งสิ้น เนื่องจากบริการเหล่านี้ต่างวางโครงสร้างอยู่บน OSI Model และช่องโหว่ที่ค้นพบอยู่บน Layer ที่ต่ำกว่า ซึ่งทีมนักวิจัยให้คำแนะนำ ดังนี้

ใช้หมายเลข IP หลายๆ หมายเลข
เปิดการเชื่อมต่อที่เข้ามาที่ IP1 และออกไปที่ IP2 – IPx
ทำ Port Forwarding ที่ IP2 – IPx แทนที่จะเป็น IP1
อย่าใช้ Man-in-the-Middle IP สำหรับการทำ Port Forwarding

ที่มา : HACKREAD

Shocking! Instagram HACKED! Researcher hacked into Instagram Server and Admin Panel

Wesley Weinberg นักวิจัยด้านความปลอดภัยของ Synack ได้อออกมาเปิดเผยการค้นพบรายการช่องโหว่บน Facebook ซึ่งช่วยให้เขาสามารถเข้าถึงข้อมูลสำคัญที่เก็บอยู่ในเซิฟเวอร์ของ Instagram ได้ทันที
Weinberg อ้างว่า เขาถูกข่มขู่โดย Facebook ทันทีหลังจากที่เขาเปิดเผยรายการช่องโหว่และการตั้งค่าที่ผิดพลาดบน Facebook ซึ่งช่วยให้เข้าถึงข้อมูลสำคัญต่างๆ ที่เก็บอยู่บนเซิฟเวอร์ของ Instagram ได้ ซึ่งข้อมูลเหล่านั้นประกอบด้วย

ซอร์สโค้ดของเว็บไซต์ Instagram
SSL Certificate และ Private Key สำหรับ Instagram
Key ที่ใช้สำหรับเซ็น Authentication Cookie
รายละเอียดข้อมูลส่วนตัวของผู้ใช้และพนักงานของ Instagram
ข้อมูลการพิสูจน์ตัวตนของเซิฟเวอร์อีเมล
Key อื่นๆ สำหรับฟังก์ชันที่สำคัญของ Instagram

สิ่งที่ Weinberg ค้นพบ คือ บั๊ค Remote Code Execution (RCE) บน Session Cookie สำหรับใช้จำ Username/Password ของผู้ใช้งาน ซึ่งช่วยให้ Weinberg สามารถโจมตีเพื่อบังคับให้เซิฟเวอร์คายข้อมูลการพิสูจน์ตัวตนในฐานข้อมูลออกมาได้ หนึ่งในข้อมูลเหล่านั้นคือ Credential ของพนักงาน Instagram และ Facebook ถึงแม้ว่ารหัสผ่านที่ได้มาจะถูกเข้ารหัสด้วย “bcrypt” ก็ตาม แต่ Weinberg ก็สามารถแฮกรหัสผ่านที่ไม่แข็งแรงได้หลายรายการภายในเวลาไม่กี่นาที
Weinberg ยังไม่หยุดแค่นั้น เขาพยามมองหาความผิดพลาดบน Configuration File ที่เขาค้นพบบนเซิฟเวอร์ Instagram และเขาก็สามารถเข้าถึงข้อมูลแทบทั้งหมดได้โดยไม่คาดคิดมาก่อน ข้อมูลเหล่านั้นประกอบด้วย API Key สำหรับใช้ต่อกับ Service อื่นๆ, รูปภาพที่ผู้ใช้ Instagram อัพโหลดขึ้นไป, ข้อมูลเนื้อหาต่างๆ บนเว็บไซต์ Instagram, ข้อมูล Credential ของ Email Server, iOS/Android app signing keys
นอกจากนี้ Facebook ได้ออกมายืนยันแล้วว่า มีช่องโหว่ Remote Code Execution บนโดเมน sensu.

Juniper warns of spying code in firewalls

Juniper ได้ทำ Internal Code Review และตรวจพบโค้ดแปลกปลอมที่ถูกฝังอยู่ใน Juniper ScreenOS ซึ่งเป็นระบบปฏิบัติการของ Juniper NetScreen Firewall โดยรุ่นที่ตรวจพบคือ ScreenOS 6.2.0r15 ถึง 6.2.0r18 และ 6.3.0r12 ถึง 6.3.0r20 ซึ่งทาง Juniper ก็ได้ทำการออก Critical Patch มาแล้ว พร้อมแจ้งให้ผู้ใช้งานทั้งหมดทำการอุดช่องโหว่โดยด่วน

ช่องโหว่ที่เกิดจากโค้ดแปลกปลอมนี้ เปิดช่องโหว่ร้ายแรงด้วยกัน 2 จุด ได้แก่ เปิดให้ผู้โจมตีทำ SSH หรือ Telnet เข้ามาได้ และสามารถ Monitor VPN Traffic และทำการถอดรหัสข้อมูลเหล่านี้ได้ โดยปัจจุบันนี้ไม่มีวิธีที่ผู้ใช้งานจะทำการตรวจสอบได้ว่าองค์กรของตนเองเคยถูกโจมตีไปแล้วหรือไม่ และช่องโหว่ทั้งสองนี้ปรากฎตัวมาตั้งแต่เดือนกันยายน ปี 2012 แล้ว จึงแนะนำให้รีบ Patch โดยด่วน

ส่วนเทคนิคที่ใช้ในการฝังโค้ดที่ไม่ได้รับอนุญาตนี้มีชื่อว่า FEEDTROUGH ซึ่งสามารถอ่านรายละเอียดเพิ่มเติมได้ที่ http://www.

News and updates from the Project Zero team at Google

นักวิจัยจาก Google ค้นพบช่องโหว่บนซอฟต์แวร์ของอุปกรณ์ FireEye ที่ใช้ป้องกันภัยคุกคามแบบ APT หลายรุ่น โดยแฮกเกอร์สามารถเจาะผ่านช่องโหว่เข้ามา เพื่อเข้าถึงระบบเครือข่ายขององค์กรได้แบบ Full Access ส่งผลให้สามารถดักข้อมูลรวมไปถึงส่งโค้ดมัลแวร์แฝงเข้ามายังระบบเครือข่ายได้ทันที

Google ระบุว่า เคสนี้นับว่าเป็นฝันร้ายโดยแท้จริง เนื่องจากสามารถโจมตีได้ง่ายมาก เพียงแค่ส่งอีเมลไปยังบุคคลภายในเพื่อหลอกล่อให้คลิ๊กลิงค์เท่านั้น แฮกเกอร์ก็จะสามารถเข้าถึงระบบเครือข่ายขององค์กรทั้งหมดได้ทันที หลังจากนั้นยังสามารถแอบมอนิเตอร์ทราฟฟิคของระบบ หรือส่ง Worm เข้าไปกระจายตัวในเครือข่ายได้อย่างง่ายดาย

FireEye ได้ทราบถึงช่องโหว่ดังกล่าว และระบุว่าสาเหตุหลักมาจาก Module ที่ใช้วิเคราะห์ไฟล์บีบอัดของ Java (JAR) ซึ่งก็ได้ให้คำอธิบายและออกแพทช์เพื่ออุดช่องโหว่เป็นที่เรียบร้อย แนะนำให้ผู้ใช้อุปกรณ์ซีรี่ย์ NX, EX, FX และ AC อัพเดทแพทช์เพื่ออุดช่องโหว่โดยเร็ว

ที่มา : blogspot

MacKeeper fails to keep 13 million Mac users safe

MacKeeper เป็นโปรแกรมที่มาพร้อมกับสโลแกน “Clean your Mac”, “100% performance boost” หรือไม่ก็ “Increase security level” ที่มักเป็น Pop-up โฆษณาเด้งขึ้นมาเมื่อเข้าเว็บไซต์ต่างๆ โดยให้บริการการป้องกันไวรัส, เข้ารหัสข้อมูล, กำจัดไฟล์ขยะทั้งหลาย และปรับแต่ประสิทธิภาพของ Mac
นักวิจัยด้านความปลอดภัย FoundThe Stuff ค้นพบช่องโหว่บน MacKeeper ซึ่งช่วยให้สามารถเข้าถึงฐานข้อมูลลูกค้ามากกว่า 13 ล้านคนได้ ไม่ว่าจะเป็นชื่อลูกค้า, อีเมล, ชื่อผู้ใช้, รหัสผ่าน (MD5 Hash), เบอร์โทรศัพท์ และข้อมูลอื่นๆ โดยได้โพสต์รายละเอียดลงบน Reddit ในหัวข้อ Massive Databreach ซึ่งนักวิจัยจาก Forbes ได้ลองพิสูจน์แล้วว่าสามารถเข้าถึงรายชื่อลูกค้ากว่า 13 ล้านคนนั้นได้จริง สำหรับผู้ที่ใช้บริการของ MacKeeper แนะนำให้รีบเปลี่ยนรหัสผ่านใหม่ทันที

ที่มา : nakedsecurity

Critical 0-day Remote Command Execution Vulnerability in Joomla

Daniel Cid นักวิจัยด้านความปลอดภัยจาก Sucuri รายงานช่องโหว่ remote code execution ของ Joomla! ที่เกิดจากการตรวจสอบข้อมูล session ก่อนเซฟลงฐานข้อมูลไม่ดีพอ ทำให้แฮกเกอร์สามารถส่งโค้ดเข้ามารันได้ และปัญหาใหญ่คือช่องโหว่นี้ถูกโจมตีเป็นวงกว้างแล้วตั้งแต่วันเสาร์ที่ผ่านมา

Securi รายงานพบการโจมตีครั้งแรกเมื่อวันที่ 12 ธันวาคมที่ผ่านมา และจนตอนนี้เกือบทุกเว็บไซต์และเว็บที่บริษัทวางไว้กำลังถูกโจมตีช่องโหว่นี้ทั้งหมด ทำให้คาดเดาได้ว่าตอนนี้แฮกเกอร์กำลังโจมตีเป็นวงกว้าง อย่างไรก็ตาม Daniel Cid ได้รายงานอีกว่ามีการโจมตีเข้ามาทาง User-Agent จากไอพี 74.3.170.33, 146.0.72.83 และ 194.28.174.106

ถ้าใครยังใช้รุ่นที่มีช่องโหว่อยู่ก็อาจจะตกเป็นเหยื่อในไม่ช้า ทางแก้ตอนนี้คือทุกคนควรอัพเดตไปใช้ Joomla! 3.4.6 ทันที

ที่มา : theregister, blognone, Joomla

FireEye Patches Critical Flaw Found by Google Researchers

FireEye ผลิตภัณฑ์ด้านการป้องกัน APT ได้ออกแพทช์แก้ไขช่องโหว่ระดับร้ายแรงที่ค้นพบโดย Tavis Ormandy และ Natalie Silvanovich จากทีมงาน Google’s Project Zero

ช่องโหว่ดังกล่าวเป็นช่องโหว่ประเภท Remote Code Execution ส่งผลกระทบกับอุปกรณ์ Network Security (NX), Email Security (EX), Malware Analysis (AX) และ File Content Security (FX)

อย่างไรก็ตาม FireEye ได้ออกอัพเดทแพทช์เพื่อแก้ไขช่องโหว่ Remote Code Execution ให้กับลูกค้าที่ใช้ผลิตภัณฑ์แล้ว ภายในเวลา 6 ชั่วโมง หลังจากได้รับการรายงานจาก Google’s Project Zero

ที่มา : securityweek

Kill Flash Now: 78 bugs patched in latest update

Adobe ออก Patch สำหรับ Flash Player ใน OS X, Windows, Linux และ Android โดยมี 75 ช่องโหว่ที่เปิดให้ทำ Remote Code Execution ได้ ในขณะที่อีก 3 ช่องโหว่นั้นเปิดให้ทำ Security Bypass ได้

นักวิจัยยังออกมาเผยว่า ถึงแม้จะทำการ Disable Flash บน Browser ไปแล้ว แต่ถ้าถูก Inject Flash Object ผ่านเอกสารอื่นๆ เข้ามาได้ ก็ถูกโจมตีได้อยู่ดี ยกเว้นเสียแต่ว่าจะถอดการติดตั้งทิ้ง หรือ Patch ให้เรียบร้อย ซึ่งผู้ใช้งาน Adobe AIR และ AIR SDK สามารถอัพเดต Patch ได้แล้ว

ที่มา : theregister