Impact Level : High

Affected Platform : 3G, 4G LTE

Conclusion : ปัญหาด้านความปลอดภัยล่าสุดบน 3G และ 4G LTE อาจนำไปสู่การรั่วไหลของ metadata ได้
ณ งาน Black Hat 2017 ที่ลาสเวกัส นักวิจัยด้านความปลอดภัย Ravishankar Borgaonka และ Lucca Hirschi ได้มีการเปิดเผยงานวิจัยที่เกี่ยวข้องกับปัญหาด้านความปลอดภัยบนเครือข่าย 3G และ 4G LTE ที่อาจนำไปสู่การรั่วไหลของข้อมูลในลักษณะที่เป็น metadata อาทิ ช่วงเวลาที่มีการโทรหรือส่งข้อความหรือที่อยู่ปัจจุบันของโทรศัพท์เครื่องดังกล่าวได้
ปัญหาด้านความปลอดภัยดังกล่าวนั้นอยู่ในกระบวนการพิสูจน์ตัวตนและการแลกเปลี่ยนกุญแจเข้ารหัส กระบวนการแลกเปลี่ยนและตกลงที่จะใช้กุญแจในการเข้ารหัสนั้นส่วนหนึ่งขึ้นอยู่กับส่วนของตัวนับ (counter) ซึ่งอยู่ในแพ็คเกตที่มีการรับส่ง ค่าของตัวนับดังกล่าวจะถูกเก็บอยู่ที่ระบบของฝั่งผู้ให้บริการเพื่อยืนยันตัวตนของอุปกรณ์และมีหน้าที่สำคัญในการป้องกันการโจมตีที่ลักลอบดักจับ แก้ไขและส่งคืนแพ็คเกตที่มีการแก้ไขแล้ว (replay attack) เมื่อตัวนับดังกล่าวถูกใช้ในการรับส่งเพื่อยืนยันตัวตนหรือแลกเปลี่ยนกุญแจสำหรับเข้ารหัส นักวิจัยทั้งสองคนได้ตรวจพบการใช้งานค่าตัวนับที่ไม่เหมาะสมและมีข้อมูลที่ควรจะถูกเข้ารหัสรั่วไหลออกมา ส่งผลให้ผู้โจมตีซึ่งอาจมอนิเตอร์การใช้งานอยู่สามารถดักจับการรับส่งข้อมูลเพื่อให้ลักษณะและรูปแบบของข้อมูลที่อาจบ่งชี้ถึง metadata ได้

ผลลัพธ์ของปัญหาด้านความปลอดภัยนี้อาจนำไปสู่การพัฒนาอุปกรณ์ IMSI catcher อีกรูปแบบซึ่งใช้ในการดักจับข้อมูลข้อมูลได้ด้วย และเนื่องจากการใช้งานอย่างแพร่หลาย ปัญหานี้จึงส่งผลกระทบต่อผู้ใช้งานและผู้ให้บริการทั่วโลก ในตอนนี้องค์กร 3GPP ซึ่งเป็นองค์กรหลักในการพัฒนาโปรโตคอลที่เกี่ยวข้องได้รับทราบถึงการมีอยู่ของช่องโหว่ดังกล่าวและ และจะดำเนินการแก้ไขในรุ่นต่อไปซึ่งอาจหมายถึงในระบบ 5G

ที่มา : ZDNet

Impact Level : High

Affected Platform : ESXi 5.5, 6.0 ถึง 6.5 และ VMWare Tools ก่อนรุ่น 10.1.0

Conclusion : ช่องโหว่บน VMware VIX API ทำให้ผู้ใช้งานเข้าถึง Guest OS ที่ไม่ได้รับอนุญาตได้
นักวิจัยด้านความปลอดภัย Ofri Ziv จาก GuardiCore ได้เปิดเผยช่องโหว่บน VMware VIX API ในงาน Black Hat 2017 ที่ลาสเวกัสโดยช่องโหว่ดังกล่าวอนุญาตผู้ใช้งานที่มีสิทธิ์ใช้งานต่ำหรือถูกจำกัดสิทธิ์ไว้อยู่สามารถใช้ช่องโหว่ดังกล่าวในการเข้าถึง Guest OS ที่ไม่ได้รับอนุญาตได้
ช่องโหว่ดังกล่าวนั้นเกิดขึ้นในส่วนของ Virtual Infrastructure eXtension (VIX) API ซึ่งเป็น API ที่ช่วยให้ผู้ใช้งานสามารถทำการควบคุมการทำงานของ VM, จัดการไฟล์ภายใน Guest OS รวมไปถึงเข้าถึง Guest OS ได้โดยตรง ในการโจมตีช่องโหว่นี้บัญชีผู้ใช้งานใน vSphere ซึ่งมีสิทธิ์การใช้งานที่จำกัดอยู่จะได้ต้องรับสิทธิ์ในการอนุญาตให้ใช้ VIX API ก่อนด้วยจึงจะทำการโจมตีได้
ช่องโหว่ได้รับรหัส CVE-2017-4919 กระทบ ESXi 5.5, 6.0 และ 6.5 และ VMware Tools เวอร์ชันก่อน 10.1.0 ซึ่งมีการปิดการใช้งาน API ดังกล่าวเป็นค่าเริ่มต้นแล้ว

Recommendation : ในการลดผลกระทบที่เกิดจากช่องโหว่ ผู้ใช้งานสามารถทำการตั้งค่าใน ESXi เฉพาะรุ่น 6.0 (https://kb.

Impact Level : High

Affected Platform : Docker Latest Version

นักวิจัยด้านความปลอดภัย Sagie Dulce จากบริษัท Aqua Security ได้แสดงการใช้ API ของ Docker เพื่อสนับสนุนการทำงานของมัลแวร์ในงาน Black Hat ครั้งล่าสุดที่ลาสเวกัส โดยในการทดลองนี้ Docker API สามารถถูกใช้ในการซ่อน ฝังและสั่งการมัลแวร์ได้
การโจมตีนี้สามารถทำได้โดยระบบที่มีการติดตั้ง Docker ทุกเวอร์ชันที่มีการเปิดให้เรียกหา API ผ่านทางโปรโตคอล TCP (ยังคงเปิดใช้ฟีเจอร์นี้เป็นค่าดีฟอลต์ในรุ่นปัจจุบันบน Docker for Windows)
การใช้ Docker API ในการสนับสนุนการทำงานของมัลแวร์ประกอบด้วยการโจมตีหลายขั้นตอนและต้องอาศัยการตอบสนองจากผู้ใช้งาน โดยประกอบด้วยขั้นตอนในการข้ามผ่านฟีเจอร์ Same Origin Policy ด้วยการโจมตีที่เรียกว่า Host Rebinding Attack ที่ส่งผลให้ผู้โจมตีสามารถเข้าถึง Docker daemon REST API ได้ รวมไปถึงการสร้าง "Shadow Container" เพื่อคงการเข้าถึงเอาไว้แม้จะมีการรีบูตระบบ

Recommendation : ในการป้องกันนั้น Sagie Dulce แนะนำให้ปรับแต่งการตั้งค่าในการเรียก Docker API ให้เฉพาะไคลเอนต์ที่มีการพิสูจน์ตัวตน (ผ่านใบรับรอง) รวมถึงบล็อคการเข้าถึงพอร์ต 2375 และปิดการใช้งานโปรโตคอล LLMNR และ NetBIOS เพื่อป้องกันการ Host Rebinding Attack ด้วย

ที่มา : threatpost

Affected Platform : Diebold Opteva ATM with AFD Platform

บริษัทด้านความปลอดภัย IOActive ได้ประกาศการค้นพบสองช่องโหว่ร้ายแรงบนเอทีเอ็มของ Diebold รุ่น Opteva ที่มีการใช้แพลตฟอร์ม AFD เพื่อปกป้องกล่องเก็บเงินซึ่งส่งผลให้ผู้โจมตีสามารถขโมยเงินจากตู้ได้โดยตรงโดยไม่ต้องมีการยืนยันตัวตนใดๆ
ในการโจมตีนั้น ผู้โจมตีจะต้องมีการใช้ทั้งสองช่องโหว่ควบคู่กันเนื่องจากระบบของเอทีเอ็มมักจะมีการแยกระบบปฏิบัติการออกจากส่วนที่มีการเก็บเงิน โดยในขั้นตอนแรกผู้โจมตีจะต้องทำการเข้าถึง AFD controller ด้วยวิธีทางกายภาพคือการเสียบแท่งเหล็กขนาดเล็กเข้าไปในส่วนลำโพง แท่งเหล็กดังกล่าวจะถูกใช้ในการยกตัวล็อคข้างในที่ทำการป้องกันการเข้าถึงคอมพิวเตอร์ของเอทีเอ็มเอาไว้อยู่ จากนั้นผู้โจมตีจะต้องทำการถอดสาย USB ที่ต่อเข้ากับคอมพิวเตอร์แล้วใช้ช่องทางนีทำเพื่อทำการเชื่อมต่อและส่งข้อมูลกับ AFD controller โดยตรง จากนั้นผู้โจมตีจะทำการโจมตีช่องโหว่ที่เกิดจากการไม่เข้ารหัสและไม่ตรวจสอบแหล่งที่มาของโปรโตคอลของ AFD เพื่อส่งคำสั่งปลอมให้ระบบทำการถอนเงินออกมาได้
อย่างไรก็ตามปัญหาของช่องโหว่นี้อยู่ที่การแพตช์ IOActive กล่าวว่าทางบริษัทได้มีการติดต่อกับ Diebold เป็นระยะเพื่อสอบถามความคืบหน้าในเรื่องการแพตช์แต่กลับยังไม่ได้รับคำตอบที่ชัดเจนว่าได้มีการแพตช์แล้วในเฟิร์มแวร์รุ่นใหม่แล้วหรือไม่ จน IOActive ต้องตัดสินเผยแพร่รายงานการวิเคราะห์ดังกล่าวในที่สุด

ดูรายงานได้ที่: https://www.

Impact Level: High

Affected Platform : Cross Platform

มัลแวร์ SambaCry ซึ่งมีการใช้ช่องโหว่ในชื่อเดียวกันบน Samba ที่พึ่งได้รับแพตช์มาเมื่อไม่นานมานี้ กำลังถูกใช้โดยมัลแวร์ CowerSnail ในรูปแบบเดียวกับการแพร่กระจายของ WannaCry
จากการวิเคราะห์ของ Kaspersky มัลแวร์ CowerSnail น่าจะเป็นมัลแวร์ที่ถูกพัฒนาโดยนักพัฒนาเดียวกับที่พัฒนามัลแวร์ SambaCry อันเนื่องมาจากการใช้ C&C server เดียวกัน มัลแวร์ CowerSnail ถูกออกแบบมาให้ทำงานได้บนหลายระบบโดยพุ่งเป้าไปที่การแพร่กระจายและฝังตัวเป็นระยะเวลานานผ่านการควบคุมบนโปรโตคอล IRC ที่ทำให้ผู้โจมตีสามารถสั่งการมัลแวร์ได้จากระยะไกล

Recommendation : แนะนำให้ตรวจสอบความผิดปกติของระบบอย่างสม่ำเสมอเพื่อตรวจหาการมีอยู่ของมัลแวร์

ที่มา : The Register

ผู้พัฒนา่มัลแวร์เรียกค่าไถ่ Petya รุ่นแรกซึ่งใช้ชื่อว่า Janus ที่เคยแพร่กระจายในปี 2016 ได้มีการปล่อย master key หรือกุญแจเข้ารหัสตัวหลักที่สามารถใช้ในการถอดรหัสไฟล์ได้ เช่นเดียวกับผู้พัฒนามัลแวร์เรียกค่าไถ่ TeslaCrypt ซึ่งแพร่ระบา่ดในปี 2015 ซึ่งได้มีการปล่อยกุญแจสำหรับเข้ารหัสออกมาให้ผู้ใช้งานนำไปถอดรหัสไฟล์ได้เช่นเดียวกัน
ทาง Kaspersky Lab และนักวิจัยด้านความปลอดภัย Haserezade จาก MalwareBytes ได้ออกมายืนยันความถูกต้องของกุญแจเข้ารหัสดังกล่าวว่าสามารถใช้ในการถอดรหัสไฟล์หรือข้อมูลที่ถูกเข้ารหัสโดยมัลแวร์เรียกค่าไถ่ Petya และ GoldenEye ได้จริง แต่อย่างไรก็ตามกุญแจถอดรหัสดังกล่าวสามารถใช้ได้กับเฉพาะ Petya ในรุ่นปี 2016 เท่านั้น ไม่สามารถใช้ใช้การถอดรหัส Petya รุ่นปี 2017 ที่มีการแพร่กระจายเมื่อช่วงที่ผ่านมาได้
Hasherezade กล่าวว่าสำหรับ Petya ในรุ่นปี 2017 นั้น แม้ว่าจะมีต้นแบบในการพัฒนามาจากซอร์สโค้ดของมัลแวร์ Goldeneye แต่มันก็ขาดความสามารถในการถอดรหัสระบบที่ติดเชื้อได้ และถูกจัดให้อยู่ในกลุ่ม wiper malware ซึ่งมาในชื่อต่างๆ เช่น Not Petya, ExPetr เป็นต้น
Petya คือมัลแวร์เรียกค่าไถ่แบบเข้ารหัสซึ่งเป็นที่รู้จักกันว่าจะพุ่งเป้าไปที่ Master Boot Record ของเหยื่อแทนที่จะไปที่แหล่งเก็บไฟล์ต่างๆ บนเครื่อง รวมไปถึง network shares หรือ backups ที่เครื่องของเหยื่ออาจมีเข้าถึงอยู่อยู่ โดยมันจะทำการเรียกร้องเงินค่าไถ่เป็นจำนวน $400 เพื่อแลกกับการถอดรหัสไฟล์ อย่างไรก็ตามในช่วงเมษายน 2016 นักวิจัยได้พัฒนาเครื่องมือซึ่งทำให้เหยื่อสามารถถอดรหัสในเวอร์ชันก่อนๆ ได้โดยไม่จำเป็นต้องโอนเงินค่าไถ่

ที่มา : threatpost

นักวิจัยด้านความปลอดภัยจาก CheckPoint ประกาศการค้นพบมัลแวร์บนแอนดรอยด์ตัวใหม่ "CopyCat" แพร่กระจายไปแล้วกว่า 14 ล้านเครื่อง และน่าจะขโมยข้อมูลบัตรเครดิตไปแล้วจากกว่า 4.4 ล้านเครื่อง
CheckPoint กล่าวว่า ในจำนวนกว่า 14 ล้านเครื่องที่มีการแพร่กระจายนั้นจะมีเหยื่ออยู่ในประเทศกลุ่มเอเชียใต้และเอเชียตะวันออกเฉียงใต้เป็นหลัก โดยมีอินเดียที่มีการตรวจพบว่ามีการติดเชื้อมากที่สุด รวมไปถึงในปากีสถาน, บังกลาเทศ, อินโดนีเซียและพม่า (ยังไม่ยืนยันว่าเจอในไทย) ส่วนในอเมริกาก็มีอุปกรณ์ที่ตรวจพบมัลแวร์แล้วกว่า 280,000 เครื่อง
จากการวิเคราะห์มัลแวร์ดังกล่าว CheckPoint เปิดเผยว่า มัลแวร์มีการใช้หลายช่องโหว่ในการ "รูท" อุปกรณ์เพื่อให้ได้สิทธิ์สูงสุดในระบบ กระทบแอนดรอย์หลายรุ่นด้วยกัน หลังจากที่มัลแวร์มีสิทธิ์สูงสุดในระบบแล้ว มันจะทำการปิดฟีเจอร์รักษาความปลอดภัยทั้งหมดรวมไปถึงแก้ไขการตั้งค่าของแอพและอุปกรณ์เพื่อให้มีการแสดงโฆษณาเพื่อสร้างรายได้ รวมไปถึงขโมยข้อมูลต่างๆ
CheckPoint ยังไม่สามารถระบุแน่ชัดถึงช่องทางในการแพร่กระจายได้ แต่เชื่อกันว่า CopyCat น่าจะแพร่กระจายผ่านทาง third-party app ที่ไม่ได้อยู่บน Google Play Store และทางฟิชชิ่ง CheckPoint ยังระบุว่าผู้อยู่เบื้องหลังของ CopyCat อาจจะเป็นบริษัทโฆษณาในจีนเนื่องจากมีการตรวจพบความคล้ายคลึงและพฤติกรรมที่คล้ายกันใน CopyCat กับเครือข่ายโฆษณา MobiSummer
การป้องกัน CopyCat อย่างดีที่สุดคือการไม่ติดตั้งแอพแปลกปลอมหรือแอพที่มีที่มาที่ไม่เชื่อถือ หากสงสัยว่ามีการติดเชื้อแล้ว แนะนำทำการสำรองข้อมูลและติดตั้งระบบใหม่จะดีที่สุด

ที่มา : TheHackerNew

ช่วงก่อนหน้านี้ทาง NCR ได้ออกมาแจ้งเตือนถึงเหตุการณ์โจรกรรมข้อมูลแบบ Eavesdropping หรือ รูปแบบของการดักจับข้อมูลที่กำลังถูกนำมาใช้กับบัตรที่ใช้แทบแม่เหล็กในการอ่านค่ากับตู้ ATM model Personas และล่าสุดทาง NCR ได้ออกมาแจ้งเตือนอีกครั้งถึงการโจมตีในรูปแบบเดิมนี้กับ SelfServ ATM ใน USA
เทคนิค การทำงานของ Eavesdropping Skimming Attack คือผู้ไม่หวังดีจะทำการเจาะรูบริเวณของตัวตู้ ATM จากนั้นจะฝังอุปกรณ์ไว้เพื่ออ่านค่าจากแทบแม่เหล็กของตัวบัตรที่ผู้ใช้งานสอดเข้าไป การโจมตีที่ Personas ATM เจอนั้นคือการดักจับข้อมูลที่มุ่งเป้าหมายไปที่บอร์ดแม่เหล็กที่ทำหน้าที่เป็นตัวควบคุมบัตร ในการโจมตีครั้งใหม่กับ SelfServ ATM นั้นวิธีการได้ถูกยกระดับขึ้น แต่ยังคงหลักการทำงานเดิมอยู่
เป้าหมายการโจมตีครั้งนี้คือ model 6634 โดยผู้ไม่หวังดีทำการเจารูตู้เป็นรูปกรอบสี่เหลี่ยมบริเวณด้านข้างที่อยู่ระหว่าง ATM monitor และ Card Reader และใช้รูนี้ในการฝังตัว Eavesdropping Skimmer ไว้ข้างใต้ Card Reader เพื่อที่ตัวดักจับข้อมูลนี้จะเชื่อมต่อกับหัวอ่านค่าบัตรของตู้ได้พอดี จากนั้นก็จะทำการปกปิดร่องรอยที่เจาะไว้ ส่วนการดักจับ PIN ก็คือการแอบติดกล้องไว้เหนือแป้นกดรหัสเพื่อดูว่าผู้ใช้งานกดรหัสตัวไหนไปบ้าง
ข้อเสนอแนะ
ควรตรวจสอบตู้ ATM ให้บ่อยมากขึ้น ตรวจดูว่ามีการติดตั้งกล้องเพื่อแอบดูรหัส PIN หรือมีการติดตั้ง Skimmers เพื่อแอบลอบดึงข้อมูลจากบัตรอิเล็กทรอนิกส์หรือไม่ รวมไปถึงการติดตั้งอุปกรณ์ตรวจหา Deep Insert Skimmers

ที่มา : NRC

Joomla! ได้มีการประกาศเวอร์ชันล่าสุดคือเวอร์ชัน 3.7.3 เมื่อวันอังคารที่ผ่านมาโดยนอกเหนือจากการแก้ไขปัญหาบั๊กของโปรแกรมโดยทั่วไปแล้ว ในเวอร์ชันนี้ยังมีการแก้ปัญหาด้านความปลอดภัยทั้งหมด 3 ช่องโหว่ด้วย

ช่องโหว่แรกเป็นช่องโหว่ Information Disclosure ซึ่งกระทบตั้งแต่ Joomla! ในรุ่น 1.7.3 ถึง 3.7.2 มีความรุนแรงระดับสูง, ช่องโหว่ที่สองเป็นช่องโหว่ XSS กระทบ1.7.3 ถึง 3.7.2 และช่องโหวที่สามเป็นช่องโหว่ XSS ซึ่งกระทบ 1.5.0 ถึง 3.6.5 โดยช่องโหว่ที่สองมีความรุนแรงระดับสูงส่วนช่องโหว่ที่สามมีความรุนแรงระดับต่ำ

แนะนำให้ทำการอัพเดตเพื่อลดความเสี่ยงที่จะถูกโจมตีระบบโดยด่วน

ที่มา : joomla

สองนักจัยจากมหาวิทยาลัยเวอร์จิเนีย ได้พัฒนาระบบช่วยการจัดรหัสผ่านที่แตกต่างจากที่เคยมีในท้องตลาด โดยทีมนักวิจัยได้อธิบายว่า Horcrux จะแทรกข้อมูลประจำตัวปลอมเข้าในฟอร์มของผู้ใช้ เนื่องจากเวลาผู้ใช้กรอกข้อมูลลงในแบบฟอร์มนั้น จะมี JSscripts ที่แอบเก็บข้อมูลในแบบฟอร์มไปก่อนที่ผู้ใช้จะกดส่งข้อมูล ทั้งสองกล่าวว่าพวกเขาป้องกันการโจมตีนี้โดย Horcrux จะใส่ข้อมูลประจำตัวปลอม(dummy)ในช่องข้อมูลเพื่อหลอก JSscripts แต่เมื่อผู้ใช้กดส่งข้อมูล Horcrux ก็จะดักจับการดำเนินการส่งฟอร์มและส่งข้อมูลจริงให้กับทางระบบ

คุณลักษณะที่สองที่ทำให้ Horcrux โดดเด่นเมื่อเทียบกับไคลเอ็นต์การจัดการรหัสผ่านอื่นๆคือ Horcrux จะกระจายข้อมูลการรับรองผู้ใช้ไปยัง Server หลายเครื่อง ซึ่งหมายความว่าหากผู้โจมตีสามารถเข้าถึงเซิร์ฟเวอร์ตัวใดตัวหนึ่งได้เขาจะไม่สามารถเข้าถึงรหัสผ่านทั้งหมดของผู้ใช้เพื่อจำกัดความเสียหายของเหตุการณ์ด้านความปลอดภัย นอกจากนี้ข้อมูลประจำตัวที่จัดเก็บไว้ในเซิร์ฟเวอร์หลายเครื่องยังมีการแบ่งปันข้อมูลลับโดยใช้ Cuckoo Hashing Algorithm ซึ่งช่วยจำกัดความสามารถในการกู้คืนข้อมูลรหัสผ่านของผู้บุกรุกได้แม้ว่าจะสามารถจัดการกับเซิร์ฟเวอร์เก็บรหัสผ่านได้หลายเครื่องก็ตาม แต่ข้อดีนี้ก็ตามมาด้วยข้อเสียคือผู้ใช้ต้อง Host Server เก็บรหัสผ่านของตนเองเพื่อใช้ Horcrux ซึ่งเป็นสิ่งที่ผู้ใช้ส่วนมากไม่สามารถมีเงินทุนจ่ายให้ได้

ที่มา : bleepingcomputer