นักวิจัยด้านปลอดภัยจาก Cisco Talos เตือนผู้ใช้ที่ดาวน์โหลดโปรแกรม CCleaner เวอร์ชั่น 5.33 โปรแกรมกำจัดขยะในคอมพิวเตอร์ยอดฮิตในวันที่ระหว่าง 15 สิงหาคม - 12 กันยายน เนื่องจากพบว่าโปรแกรมดังกล่าวได้ถูกฝัง Floxif มัลแวร์ไว้ โดยมัลแวร์ดังกล่าวจะทำหน้าที่เก็บข้อมูลของเครื่องเหยื่อและส่งไปยัง C&C Server
สำหรับตอนนี้ CCleaner ได้ออกเวอร์ชั่นใหม่ 5.34 แล้ว โดยแนะนำให้ทำการ Restore ระบบกลับไปยังวันก่อนหน้าที่ติดตั้งโปรแกรม
แนะนำให้ทำการ Restore ระบบกลับไปยังวันก่อนหน้าที่ติดตั้งโปรแกรม
ที่มา : TALOS
แจ้งเตือนช่องโหว่ OPTIONSBLEED บน Apache2 ข้อมูลในหน่วยความจำรั่วไหลได้
นักวิจัยด้านความปลอดภัย Hanno Böck ได้ออกมาประกาศการค้นพบช่องโหว่ใหม่บน Apache ที่รหัส CVE-2017-9798 ซึ่งอาจส่งผลให้ข้อมูลที่อยู่บนหน่วยความจำรั่วไหลออกมาได้เพียงแค่ส่ง HTTP request โดยใช้เมธอด OPTIONS
เมธอด OPTIONS บนโปรโตคอล HTTP เป็นเมธอดที่ทำให้ผู้ร้องขอข้อมูลโดยใช้เมธอดดังกล่าวเห็นได้ว่าเว็บเซิร์ฟเวอร์ให้บริการการเข้าถึงข้อมูลด้วยเมธอดใดบ้าง โดยเมื่อเว็บเซิร์ฟเวอร์ได้รับการร้องขอข้อมูลด้วยเมธอด OPTIONS เว็บเซิร์ฟเวอร์จะทำการตอบกลับด้วยข้อความ Allow เพื่อด้วยชื่อเมธอดที่สามารถใช้งานได้ เช่น Allow: GET, POST, OPTIONS
ที่มาของช่องโหว่ดังกล่าวมาจากการที่ Apache มีการตั้งค่า (directive) ชื่อว่า "Limit" ที่สามารถใช้จำกัดการใช้งานเมธอดในรายผู้ใช้งานได้ ช่องโหว่เกิดขึ้นเมื่อการตั้งค่าชื่อเมธอดของ Limit ในไฟล์ .htaccess นั้นไม่ได้เป็นเมธอดที่ถูกต้อง ส่งผลให้เกิดช่องโหว่ use-after-free เมื่อเว็บเซิร์ฟเวอร์พยายามส่งข้อความ Allow กลับซึ่งทำให้ข้อมูลในหน่อยความจำรั่วไหลได้
ในด้านของความเสียหายนั้น OPTIONSBLEED สร้างความเสียหายน้อยมากเมื่อเทียบกับ Heartbleed เนื่องจากข้อมูลที่รั่วไหลออกมาจากหน่อยความจำนั้นมีน้อยกว่า และไม่ได้ส่งผลกระทบต่อเว็บเซิร์ฟเวอร์ไม่ได้มีการเปลี่ยนแปลงค่าใดๆ เมื่อติดตั้ง จะส่งผลหากเว็บเซิร์ฟเวอร์มีการตั้งค่าที่ผิดเท่านั้น
แนะนำให้ผู้ใช้งานและผู้ดูแลระบบทำการอัพเดตรุ่นของ Apache ให้เป็นรุ่นล่าสุด หรือทำการใช้แพตช์เฉพาะซึ่งสามารถดาวโหลดได้จากแหล่งที่มา
ที่มา : The Fuzzing Project
นักวิจัยจากทีม lgtm นำโดย Man Yue Mo ค้นพบช่องโหว่ CVE-2017-9805 ที่มีผลกระทบต่อ Struts ตั้งแต่รุ่น 2.5 ขึ้นมาทั้งหมด
CVE-2017-9805 เป็นช่องโหว่มาจาก REST API plugin ที่เป็นช่องทางในการสื่อสารของ Struts servers และยังใช้งานบัคของโปรแกรมที่อนุญาตให้ส่งข้อมูลจากแหล่งที่ไม่น่าเชื่อถือได้ โดยเรียกกระบวนการนี้ว่า
unsafe deserialization ทั้งหมดนี้สามารถทำให้ผู้ไม่ประสงค์ดีรันโค้ดจากระยะไกลได้
โดยตอนนี้ทาง Apache ได้ปล่อย Struts 2.5.13 แก้ไขช่องโหว่นี้แล้ว
ที่มา : SECURITYWEEK
นักวิจัยด้านความปลอดภัยจาก 2 บริษัท พบแคมปญการส่งอีเมล์ที่มีการแพร่กระจาย Locky ransomware ถึง 2 ครั้ง
แคมเปญแรกพบโดยนักวิจัยจาก AppRiver มีการส่งเมล์ 23 ฉบับภายใน 24 ชั่วโมง เมื่อวันที่ 28 สิงหาคมที่ผ่านมา ในสหรัฐอเมริกา โดยอีเมล์ที่ส่งออกมานั้นจะมีข้อความที่คลุมเคลือเพื่อหลอกให้ผู้ใช้คลิก เช่น “กรุณาสั่งพิมพ์”, “เอกสาร”, “รูป”, “ภาพ”, “สแกน” และอีเมล์จะมาพร้อมกับไฟล์ ZIP ที่มี Visual Basic Script (VBS) เมื่อเหยื่อคลิกเปิดไฟล์ ก็จะเริ่มดาวน์โหลด Locky ransomware ตัวล่าสุดที่ชื่อ Lukitus (หมายถึง "ล็อก" เป็นภาษาฟินแลนด์) แล้วเข้ารหัสไฟล์ทั้งหมดในเครื่องของเหยื่อ และใส่สกุลไฟล์ว่า [.]lukitus จากนั้นจะแสดงข้อความบน desktop และให้เหยื่อดาวน์โหลดและติดตั้งชื่อ Tor บน browser เพื่อเข้าเว็บไซต์ของผู้โจมตีสำหรับจ่ายเงินเป็นจำนวน 0.5 Bitcoin (~$2,300)
แคมเปญฉบับที่ 2 ในเดือนสิงหาคม พบโดยบริษัท Comodo Labs เป็นการส่งผ่านอีเมลจำนวนมากกว่า 62,000 ฉบับ ที่มีการฝัง Locky ransomware สายพันธุ์ใหม่ที่ชื่อว่า KARUSdilapidated โดยใช้ที่อยู่ไอพีที่ต่างกันถึง 11,625 IP ใน 133 ประเทศ ลักษณะคล้ายโดนโจมตีผ่านเครื่องซอมบี้หรือบอทเน็ตในการช่วยกระจายเมล์ ซึ่งหากต้องการไฟล์คืนก็จะต้องจ่ายเงิน อยู่ระหว่าง 0.5 Bitcoin (~$2,311) และ 1 Bitcoin (~$4,623)
ที่มา : The Hacker News
นักวิจัยด้านความปลอดภัยพบช่องโหว่ 5 จุดบนเฟิร์มแวร์ที่กำลังใช้งานอยู่บนโมเด็ม Arris ซึ่งถูกแจกโดย AT&T โดย 3 ใน 5 ช่องโหว่ดังกล่าวเป็นบัญชีการเข้าใช้งานผ่านช่องทางลับซึ่งฝังอยู่ในอุปกรณ์ ผู้โจมตีสามารถใช้บัญชีใดก็ได้ก็ไดในสามบัญชีนี้เพื่อเข้าควบคุมเครื่องของเหยื่อ รายละเอียดช่องโหว่ทั้ง 5 มีดังนี้
Backdoor 1: โดยปกติ modem จะเปิดใช้งาน SSH ไว้เป็นค่า default และสามารถเข้าถึงได้จากภายนอก นั่นหมายความว่าผู้โจมตีสามารถใช้ ชื่อผู้ใช้งาน "remotessh" และรหัสผ่าน "5SaP9I26" ซึ่งเป็นค่า default ในการเข้ามา authen เครื่องด้วยสิทธิ์ root นั่นหมายความว่าสามารถจะทำอะไรกับเครื่องนั้นก็ได้
Backdoor 2: Arris จะมี built-in web server ที่ทำงานอยู่ใน internal admin panel ซึ่งผู้โจมตีสามารถผ่านการระบุตัวตนผ่าน port 49955 ด้วยชื่อ “tech” และรหัสผ่านแบบเปล่า
ช่องโหว่ Command injection: เกี่ยวข้องกับ built-in web server ตัวเดิม ซึ่งมีช่องโหว่ให้ผู้โจมตีทำการสั่ง run shell command บน web server ได้
Backdoor 3: ผู้โจมตีสามารถใช้ชื่อผู้ใช้งาน "bdctest" และรหัสผ่าน "bdctest" เพื่อเข้าสู่ระบบผ่าน port 61001 โดยจะต้องรู้ serial number ของตัวเครื่องเพื่อเข้าสู่ระบบทางช่องทางนี้ด้วย
Firewall bypass: ผู้โจมตีสามารถสร้าง HTTP request ที่ถูกปรับแต่งขึ้นมาโดยส่งผ่าน port 49152 ทำให้ผู้โจมตีสามารถ bypass internal firewall ของตัวอุปกรณ์และเปิดการเชื่อมต่อ TCP proxy กับตัวเครื่องซึ่งจะทำให้ผู้โจมตีใช้งานช่องโหว่ที่เหลืออีก 4 จุดได้ ถึงแม้ว่าผู้ใช้งานจะทำการเปิด on-device firewall แล้วก็ตาม
ในขณะนี้ยังตรวจไม่พบการโจมตีผ่านทางช่องโหว่ทั้ง 5 ช่องโหว่ดังกล่าว แต่ก็ควรเพิ่มการระมัดระวังหากมีการใช้งานอุปกรณ์เหล่านี้อยู่
ที่มา : BLEEPINCOMPUTER
Cex, หนึ่งใน Website ตัวกลางรายใหญ่ที่ทำหน้าเป็นตัวกลางในการซื้อขายอุปกรณ์ IT เช่น ชิ้นส่วนคอมพิวเตอร์, เกมส์, ภาพยนต์, อัลบั้มเพลงเก่าและอื่นๆ ได้ออกมาให้ข่าวว่าถูก Hacker เจาะระบบและขโมยข้อมูล
ทางบริษัทกำลังติดต่อลูกค้าทุกคนที่คาดว่าได้รับผลกระทบจากเหตุการณ์นี้ ทาง Cex ได้มีการกล่าวเพิ่มเติมเกี่ยวกับผลกระทบของข้อมูลที่หลุดไปว่า ข้อมูลที่ Hacker ได้ไปนั้นรวมไปถึงข้อมูลเช่น ชื่อ-นามสกุล, ที่อยู่, เบอร์โทรศัพท์และอีเมล ซึ่งล้วนแล้วแต่เป็นข้อมูลที่ถูกเก็บอยู่ในฐานข้อมูลจำนวนกว่า 2,000,000 รายการ อย่างไรก็ตาม Cex ได้หยุดเก็บรายละเอียดของบัตร credit และ debit ตั้งแต่ปี 2009 ทำให้ข้อมูลที่ Hacker สามารถขโมยไปได้ในตอนนั้นหมดอายุแล้วในเวลานี้และไม่สามารถใช้งานได้อีก
หากใครได้รับอีเมลจาก Cex แนะนำให้ปฏิบัติตามโดยการแก้ไขข้อมูลรหัสผ่านให้เหมาะสม
ที่มา : BLEEPINCOMPUTER
ConnMan คือ Network Manager ที่ถูกพัฒนาขึ้นมาไว้ใช้กับอุปกรณ์ต่างๆ ที่มีการลง Operating System เอาไว้ในตัว ซึ่งถูกใช้อย่างแพร่หลายในอุปกณ์ IoT ConnMan ถูกพบว่ามีช่องโหว่ร้ายแรงในฟังก์ชัน DNS-Proxy เวอร์ชันที่ได้รับผลกระทบคือ ConnMan 1.34 และรุ่นก่อนหน้า ช่องโหว่ดังกล่าวมีความเสี่ยงต่อการเกิด Buffer Overflow ซึ่งอาจทำให้เกิด DoS และ Remote Code Execution ช่องโหว่นี้สามารถถูกทำให้เกิดซ้ำๆได้ ตราบเท่าที่ผู้โจมตีสามารถนำไปพัฒนาต่อเพื่อใช้ในการโจมตีเป้าหมายที่ต้องการ
ข้อแนะนำ ให้อัพเดท ConnMan เป็นเวอร์ชัน 1.35 ขึ้นไป และไม่ควรเชื่อมต่อปุกรณ์ IoT กับ Network ที่ไม่มีความน่าเชื่อถือ เช่น Free Access Point
ที่มา : NRI-SECURE
พบช่องโหว่ใน RubyGems ซึ่งเป็นเครื่องมือที่ใช้ในการจัดการภาษา Ruby รายละเอียดช่องโหว่ที่พบมีดังนี้
• DNS request hijacking vulnerability.
นักวิจัยด้านความปลอดภัยจาก ERPScan พบช่องโหว่ใน SAP POS Xpress Server ช่วยให้ผู้โจมตีสามารถแก้ไขไฟล์ configuration บนระบบ SAP-Point Sale, เปลี่ยนแปลงราคาสินค้า, รวบรวมข้อมูลบัตรชำระเงินและส่งข้อมูลไปยังเซิร์ฟเวอร์ของผู้โจมตี โดยได้มีการรายงานช่องโหว่ดังกล่าวไปยัง SAP แล้วในเดือนเมษายนปี พ.ศ. 2560
ช่องโหว่ดังกล่าวเกิดจาก SAP POS Xpress Server ไม่มีการตรวจสอบสิทธิ์ในการเข้าถึงระบบ ซึ่งหมายความผู้โจมตีสามารถแก้ไขข้อมูลสำคัญโดยไม่ต้องมีการยื่นยันตัวตนใดๆ โดยผู้โจมตีสามารถปรับเปลี่ยนราคาสินค้า, วิธีการชำระเงิน หรือแม้กระทั้งติดตั้ง sniffers ข้อมูลบัตรชำระเงิน
นักวิจัยกล่าวว่าผู้โจมตีจะต้องอยู่ในร้านและเชื่อมต่ออุปกรณ์พิเศษที่รันคำสั่งที่เป็นอันตรายทั้งหมดโดยอัตโนมัติ ซึ่งคืออุปกรณ์ Rasberry Pi board โดยมีค่าใช้จ่ายประมาณ 25 เหรียญ ซึ่งนักวิจัย ERPScan ได้ทดลองใช้ช่องโหว่ที่ค้นพบเพื่อปรับราคาของ Macbook Pro ที่มีราคาสูงมากให้เหลือเพียง 1 เหรียญ
ผูัเชี่ยวชาญยังเตือนว่าช่องโหว่ดังกล่าวสามารถทำให้ระบบ SAP POS ไม่สามารถใช้งานได้ และทำให้เกิดความเสียหายทางการเงินอย่างร้ายแรงต่อผู้ค้าปลีกที่ไม่ได้ติดตั้งแพทช์รักษาความปลอดภัยของ SAP โดยช่องโหว่ใน SAP Point of Sale (POS) Retail Xpress Server ได้รับการแก้ไขและแพทช์รักษาความปลอดภัย โดยสามารถดาวน์โหลดได้จาก SAP Support Portal
ที่มา : BLEEPINGCOMPUTER
Dinesh Venkatesan ผู้เชี่ยวชาญด้านความปลอดภัยของ Symantec พบแอพพลิเคชันสำหรับสร้าง Ransomware บน Android จากโฆษณาผ่าน Social Network Messaging และบนเว็บบอร์ดเกี่ยวกับการแฮ็คของจีน ที่ช่วยให้แฮ็คเกอร์สามารถดาวน์โหลดและใช้ Trojan Development Kits (TDKs) สร้าง Ransomware เป็นของตัวเองได้ ซึ่ง Ransomware ที่ถูกสร้างขึ้นมานี้จะมีพฤติกรรมคล้ายกับ Lockdroid Ransomware คือจะทำการล็อกอุปกรณ์ไม่ให้ผู้ใช้สามารถใช้งานได้ และเปลี่ยนรหัส PIN
จุดเด่นของแอปพลิเคชันนี้ คือ การทำงานโดยใช้ GUI แบบง่ายๆ ที่ช่วยให้ผู้ใช้สามารถกำหนดค่าได้โดยที่แทบไม่ต้องใช้ความรู้ด้านการเขียนโปรแกรม เมื่อดาวน์โหลดแอพพลิเคชันมาติดตั้ง หลังเปิดใช้งานแอพพลิเคชันจะให้ใส่ข้อมูลสำหรับสร้าง Ransomware เป็นของตัวเอง ได้แก่
- ข้อความที่เรียกค่าไถ่บนหน้าจอ
- รหัสที่ใช้ปลดล็อคอุปกรณ์
- ไอคอนของ ransomware-laced app
- กระบวนการเชิงคณิตศาสต์สำหรับการปรับแต่งโค้ดแบบสุ่ม
- Animations ที่จะให้แสดงผลบนหน้าจอของเครื่องที่ติด Ransomware
Recommendation
- Backups ข้อมูลอย่างสม่ำเสมอ
- ผู้ใช้งานไม่ควรติดตั้งแอปพลิเคชันที่มีแหล่งที่มาไม่ชัดเจน
- ไม่คลิกลิงก์หรือเปิดไฟล์ ที่มาพร้อมกับอีเมลที่น่าสงสัย
- ให้ความสำคัญกับสิทธิ์ที่ app ร้องขอทุกครั้ง
ที่มา : BLEEPINGCOMPUTER