Cisco ประกาศแก้ไขช่องโหว่ที่เกี่ยวข้องกับบัญชีลับหรือ backdoor account เป็นครั้งที่สี่ในเดือนนี้หลังจากมีการตรวจพบถึงการมีอยู่ของรหัสผ่านในซอฟต์แวร์ Cisco Wide Area Application Services ซึ่งอาจทำให้ผู้โจมตีสามารถเข้าถึงการตั้งค่าของอุปกรณ์ได้

ช่องโหว่รหัส CVE-2018-0329 เกิดขึ้นหลังจากที่นักวิจัยด้านความปลอดภัย Aaron Blair จาก RIoT Solutions ไปค้นพบถึงการมีอยู่ของชุดสตริงนี้ซึ่งเป็น SNMP community string ในไฟล์ตั้งค่าของ SNMP daemon ซึ่งเขาเองยังพบอีกช่องโหว่หนึ่งรหัส CVE-2018-0352 โดยเป็นช่องโหว่ยกระดับสิทธิ์ใน Cisco WaaS ด้วย

ที่มา : bleepingcomputer

หลังจากที่ธนาคาร Bank of Montreal และ Simplii Financial ได้ประกาศการรั่วไหลของข้อมูลเมื่ออาทิตย์ที่ผ่านมา แฮกเกอร์ผู้ซึ่งอ้างว่าเป็นผู้โจมตีในครั้งนี้นั้นได้ออกมาขู่เรียกค่าไถ่กว่าเกือบ 1 ล้านเหรียญสหรัฐฯ ในสกุลเงิน Ripple เพื่อแลกกับการไม่เปิดเผยข้อมูลที่รั่วไหลออกมาของลูกค้ากว่า 100,000 คน

อีเมลที่ถูกส่งเพื่อเรียกค่าไถ่จากกลุ่มแฮกเกอร์ยังมีการเปิดเผยถึงวิธีการในเบื้องต้นที่ทำให้แฮกเกอร์สามารถเข้าถึงข้อมูลของบัญชีลูกค้าได้โดยอ้างว่า พวกเขาใช้อัลกอริธึมทางคณิตศาสตร์ทั่วไปในการสร้างเลขของบัญชีธนาคารที่เป็นเลขบัญชีจริง จากนั้นจึงใช้ข้อมูลดังกล่าวในการร้องขอให้ระบบล้างและตั้งค่ารหัสผ่านใหม่ได้

สำนักข่าว CBC News ออกมายืนยันการโจมตีนี้และยืนยันเพิ่มเติมว่าข้อมูลที่ผู้โจมตีใช้ในการกล่าวอ้างนั้นเป็นข้อมูลของลูกค้าซึ่งมีตัวตนจริง โดยทางธนาคารยังคงยืนยันที่จะไม่จ่ายค่าไถ่ให้กับแฮกเกอร์ โดยจะโฟกัสไปที่การปกป้องข้อมูลของผู้ใช้งานที่รั่วไหลออกต่อไป

ที่มา : BANK INFO SECURITY

ในช่วงปลายเดือนพฤกษาคมถึงต้นเดือนมิถุนายนที่ผ่านมา แอปเปิลได้มีการปล่อยแพตช์ด้านความปลอดภัยชุดใหญ่ซึ่งครอบคลุมหลายผลิตภัณฑ์ เฉพาะใน iOS 11.4 นั้น มีแพตช์ด้านความปลอดภัยกว่า 40 รายการ

สำหรับผลิตภัณฑ์ที่ได้รับการอัปเดตเวอร์ชันใหม่แถมแพตช์ด้านความปลอดภัยมีดังต่อไปนี้
- iTunes 12.7.5 for Windows
- watchOS 4.3.1
- iOS 11.4
- macOS High Sierra 10.13.5, Security Update 2018-003 Sierra, Security Update 2018-003 El Capitan
- Safari 11.1.1
- iCloud for Windows 7.5

โดยในรอบนี้นั้น WebKit ซึ่งเป็นเอนจินบนเว็บเบราว์เซอร์นั้นตกเป็นเป้าของการโจมตีและเป็นที่มาของหลายช่องโหว่ หนึ่งในนั้นคือช่องโหว่ CVE-2018-4233 ซึ่งถูกค้นพบโดย Samuel Groß (@5aelo) และถูกใช้งานในงาน Pwn2Own 2018 ที่ผ่านมา โดยทำให้เหยื่อถูกแฮกได้เพียงเป็นเปิดเว็บไซต์ที่มีโค้ดสำหรับโจมตีบนเครื่องที่มีช่องโหว่
Recommendation แนะนำให้ผู้ใช้งานทำการอัปเดตอุปกรณ์และซอฟต์แวร์ให้เป็นเวอร์ชันใหม่โดยด่วน

ที่มา : US-CERT

นักวิจัยภัยคุกคามอิสระ Kaffeine, นักวิจัยจาก Qihoo 360, Kaspersky, TrendMicro และ MalwareBytes ออกรายงานพฤติกรรมของเครือข่ายมัลแวร์ RIG Exploit Kit ล่าสุดที่มีการใช้ช่องโหว่รหัส CVE-2018-8174 ซึ่งเพิ่งถูกแพตช์เมื่อเดือนพฤษภาคมที่ผ่านมาเพื่อโจมตีระบบที่มีช่องโหว่และแพร่กระจายมัลแวร์ขุดบิทคอยน์

ช่องโหว่ CVE-2018-8174 เป็นช่องโหว่ในคอมโพเนนต์ VBScript ซึ่งถูกรวมอยู่ในโปรแกรมอย่าง Internet Explorer และ Microsoft Office ซึ่งทำให้ผู้โจมตีสามารถรันโค้ดที่เป็นอันตรายหรือมัลแวร์ในระบบของเหยื่อได้

เป็นที่เชื่อกันว่าพฤติกรรมของ RIG Exploit Kit เกิดขึ้นหลังจากมีการเปิดเผยโค้ดสำหรับพิสูจน์การมีอยู่ของช่องโหว่ (PoC) โดยนักวิจัยด้านความปลอดภัย Michael Gorelik จาก Morphisec ซึ่งทำให้มัลแวร์สามารถนำโค้ดดังกล่าวไปใช้ในการโจมตีและแพร่กระจายมัลแวร์ได้

แนะนำให้ผู้ใช้งานทำการอัปแพตช์ของระบบปฏิบัติการ Windows ให้เป็นรุ่นล่าสุดโดยด่วน

ที่มา: BLEEPINGCOMPUTER

Google เปิดตัว Chrome เวอร์ชัน 66.0.3359.170 สำหรับ Windows, Mac และ Linux โดยเวอร์ชั่นนี้มีการแก้ไขช่องโหว่ที่ผู้โจมตีสามารถโจมตีได้จากระยะไกลเพื่อเข้าควบคุมเครื่อง ช่องโหว่ที่แก้ไขอยู่ในระดับ Critical,High

Critical: Chain leading to sandbox escape.

Two-Factor Authentication(2FA) เป็นมาตรฐานความปลอดภัยในการเข้าสู่ระบบที่กำลังถูกใช้อย่างแพร่หลายไปทั่วโลก แต่ผู้โจมตีกำลังหาวิธีหลีกเลี่ยง เพื่อเข้าถึงบัญชีเป้าหมายด้วยการใช้ Phishing และมีเครื่องมือชื่อว่า "Evilginx" ถูกพัฒนาขึ้นมาโดย white hacker ที่มีชื่อว่า Kuba Gretzky

เริ่มต้นด้วยการที่ผู้โจมตีสร้าง URL ที่เป็นอันตราย ซึ่งออกแบบมาให้ดูคล้ายกับเว็บไซต์ที่ผู้คนส่วนใหญ่รู้จัก โดยการสาธิตเริ่มจากเปิดอีเมลปลอมที่คล้ายๆว่ามาจาก LinkedIn แต่ที่จริงมันคือ "llnked[dot]com" เมื่อเหยื่อคลิกลิงก์ดังกล่าวจะถูก redirect ไปยังหน้าเข้าสู่ระบบเพื่อหลอกให้ป้อนชื่อผู้ใช้, รหัสผ่าน และรหัสการตรวจสอบสิทธิ์ที่จะถูกส่งไปยังโทรศัพท์มือถือของเจ้าของบัญชี ในขณะเดียวกันผู้โจมตีจะมีการเก็บชื่อผู้ใช้ รหัสผ่าน และรหัส 6-Digit ที่กรอก รวมถึง Session Cookie ที่เกิดขึ้น

แม้ว่ารหัส 2FA ที่เหยื่อกรอก จะไม่สามารถถูกนำมาใช้ซ้ำได้ แต่สิ่งที่ผู้โจมตีต้องการคือ Session Cookie โดย Cookie ดังกล่าวจะถูกป้อนผ่าน Developer Tools บนเว็บไซต์จริง แล้วกด Refresh แค่นั้นเอง ก็สามารถเข้าถึงบัญชีผู้ใช้ของเหยื่อได้แล้ว

รายละเอียดเครื่องมือ: https://breakdev.

ผู้ใช้งาน Google Maps ในช่วงนี้จะต้องระมัดระวัง เนื่องจากพบว่าสามารถถูกใช้ประโยชน์จากช่องโหว่ที่มีอยู่ในบริการแชร์ลิงก์(link-sharing) ของโปรแกรมเพื่อกระจายลิงก์จากเว็บไซต์ที่เป็นอันตราย

บริษัทด้านความปลอดภัย Sophos กล่าวว่า แม้ว่าแฮกเกอร์ไม่สามารถใช้ URLs ที่อยู่บน Google Maps ซึ่งถูกแชร์โดย Google เอง ในการเปลี่ยนเส้นทาง(redirect) ผู้ใช้ไปยังเว็บไซต์ที่ต้องการได้ แต่สามารถใช้ช่องโหว่จากบริการแชร์ลิงก์(maps[.]app[.]goo[.]gl/link=xxx) เพื่อ redirect ผู้ใช้งานไปยังฟิชชิ่งไซต์หรือมัลแวร์ไซต์ได้

นักวิจัยสังเกตเห็นว่า ผู้ไม่ประสงค์ดีบางกลุ่มกำลังมีการใช้ URL shortener เพื่อซ่อนลิงก์ของมัลแวร์หรือฟิชชิ่งไซต์ ในการเปลี่ยนเส้นทาง(redirect) เหยื่อไปยังเว็บไซต์ที่ไม่ปลอดภัย โดยส่วนใหญ่จะเป็นการเปลี่ยนเส้นทางเหยื่อไปยังเว็บไซต์รัสเซียก่อน หลังจากนั้นลิงก์ที่เป็นอันตรายดังกล่าวจะถูกแชร์ผ่าน Google Maps อีกที ซึ่งส่วนนี้เป็นปัญหาจากการที่ Google ไม่มีกระบวนการในการตรวจสอบว่าลิงก์ที่ถูกแชร์ดังกล่าวเป็นลิงก์ที่ปลอดภัยหรือไม่

ทั้งนี้ผู้ใช้งานสามารถระมัดระวังตนเองได้โดยการสังเกต URL ของ Google Maps ที่ถูกแชร์มา โดย URL ดังกล่าวไม่ควรจะมีพารามิเตอร์ในแท็ก link ที่เป็นลิงค์อื่นๆ เช่น maps[.]app[.]goo[.]gl/?link=https%3A%2F%2Fexample.

เมื่อช่วงต้นสัปดาห์ที่แล้ว นักวิจัยด้านความปลอดภัยได้เผยแพร่รายละเอียดของช่องโหว่บนเราเตอร์จำนวนสองช่องโหว่ผ่านบล็อกของ VPNMentor ช่องโหว่ดังกล่าวมีผลกระทบต่อเราเตอร์ GPON-capable มากกว่า 1 ล้านเครื่องที่ผลิตโดยบริษัทสัญชาติเกาหลีใต้ชื่อว่า Dasan และพบว่ากำลังถูกโจมตีผ่าน botnet

ช่องโหว่แรกทำให้ผู้โจมตีสามารถหลีกเลี่ยงกลไกการพิสูจน์ตัวตนเพียงแค่ใส่สตริง "?images" ต่อท้าย URL บนหน้าเว็บของอุปกรณ์ (CVE-2018-10561) เพื่อเข้าถึงการตั้งค่าของอุปกรณ์เราเตอร์ได้ และอีกหนึ่งช่องโหว่ทำให้ผู้โจมตีสามารถฝังโค้ดที่เป็นอันตรายจากระยะไกลลงบนอุปกรณ์ (CVE-2018-10562)

นักวิจัยกล่าวว่าช่องโหว่ดังกล่าวส่งผลกระทบกับเราเตอร์ที่ใช้งานออนไลน์กว่าหนึ่งล้านเครื่อง ส่วนใหญ่ตั้งอยู่ในเขตขนาดใหญ่ในเม็กซิโก, คาซัคสถาน และเวียดนาม

ที่มา : Bleepingcomputer

ทวิตเตอร์ประกาศแจ้งเตือนผู้ใช้งานกว่า 300 ล้านคนวันนี้ให้ดำเนินการเปลี่ยนรหัสของบัญชีผู้ใช้งานหลังจากมีการค้นพบการรั่วไหลของรหัสผ่านภายในระบบภายในเอง

ที่มาของการรั่วไหลของรหัสผ่านดังกล่าวนั้นเกิดขึ้นจากการที่ระบบ logging หรือระบบบันทึกการทำงานของแอปพลิเคชันนั้นมีการบันทึกและแสดงรหัสผ่านที่ผู้ใช้งานส่งเข้ามายังระบบก่อนที่จะถูกนำไปผ่านกระบวนการป้องกันและเข้าสู่ฐานข้อมูล ทำให้รหัสผ่านมีโอกาสที่รั่วไหลในสภาพที่ยังไม่มีการป้องกันได้

ทวิตเตอร์ค้นพบปัญหานี้ด้วยตนเอง และได้นำฟังก์ชันการทำงานที่มีปัญหานั้นออกแล้ว
Recommendation แม้ว่าจะการรั่วไหลของข้อมูลจะอยู่ในขอบเขตที่จำกัด แต่ทวิตเตอร์ก็แนะนำให้ผู้ใช้งานทุกคนทำการเปลี่ยนรหัสผ่านของบัญชีทวิตเตอร์รวมไปถึงตั้งค่าความปลอดภัยเพิ่มเติมโดยการเปิดใช้งานฟีเจอร์ Two Factor Authentication ควบคู่ไปด้วยเพื่อความปลอดภัยสูงสุด

ที่มา : Blog.

นักวิจัยด้านความปลอดภัย Wolfgang Ettlinger จาก SEC Consult Vulnerability Lab ได้มีการเปิดเผยถึงการค้นพบช่องโหว่ล่าสุดรหัส CVE-2018-2879 ในซอฟต์แวร์ Oracle Access Manager (OAM) ซึ่งทำให้ผู้โจมตีสามารถข้ามผ่านระบบการตรวจสอบตัวตน รวมไปถึงยึดบัญชีของผู้ใช้งานอื่นๆ ได้

Oracle Access Manager (OAM) เป็นซอฟต์แวร์จากค่าย Oracle ซึ่งมีหน้าที่ในการช่วยจัดการกระบวนการพิสูจน์และยืนยันตัวตนในรูปแบบของ Single Sign-On ในหลายรูปแบบอุปกรณ์

สำหรับช่องโหว่ที่มีการค้นพบนั้น ที่มาที่แท้จริงของช่องโหว่มาจากปัญหาในการทำ Padding อย่างไม่เหมาะสมเมื่อมีการเข้ารหัสข้อมูลซึ่งนำไปสู่การโจมตีที่เรียกว่า Padding Oracle ได้ การทำ Padding Oracle จะทำให้กระบวกการเข้ารหัสที่มีอยู่นั้นอ่อนแอลง และนำไปสู่การเข้าถึงและแก้ไขข้อมูลที่ความอ่อนไหวสูงได้
Recommendation ช่องโหว่ดังกล่าวถูกค้นพบใน OAM รุ่น 11.1.2.3.0 และ 12.2.1.3.0 รวมไปถึงเวอร์ชันก่อนหน้าทั้งหมด ในขณะนี้ Oracle ได้มีการประกาศแพตช์สำหรับช่องโหว่นี้ออกมาแล้วในซอฟต์แวร์รุ่นล่าสุด แนะนำให้ผู้ดูแลระบบทำการอัปเดตซอฟต์แวร์เป็นเวอร์ชันล่าสุดโดยด่วน

ที่มา : Theregister