แจ้งเตือนช่องโหว่ RCE ในซอฟต์แวร์ Exim คาดกระทบอีเมลเซิร์ฟเวอร์กว่าครึ่งหนึ่งของโลก

ซอฟต์แวร์ Exim ซึ่งเป็นซอฟต์แวร์ประเภท mail transfer agent (MTA) ถูกระบุว่ามีช่องโหว่ประเภท Remote Code Execution โดย Qualys วันนี้

ช่องโหว่ที่รหัส CVE-2019-10149 หรือในอีกชื่อซึ่งถูกเรียกว่า "Return off the WIZard" โดย Qualys นั้นเป็นช่องโหว่ประเภท Remote Code Execution ที่มีลักษณะที่คล้ายกับช่องโหว่เก่าแก่อย่าง WIZ และ DEBUG ในซอฟต์แวร์ sendmail ในอดีต การโจมตีช่องโหว่นี้สามารถทำได้สองรูปแบบคือแบบ local attack ซึ่งผู้ใช้งานที่มีอีเมลอยู่บนเซิร์ฟเวอร์อยู่แล้วทำการโจมตี และแบบ remote attack ซึ่งถูกระบุว่ามีความซับซ้อนสูง เนื่องจากผู้โจมตีจะต้องมีการรักษา connection ที่เชื่อมต่อกับเซิร์ฟเวอร์ที่มีช่องโหว่เอาไว้กว่า 7 วัน และยังไม่มีการโจมตีช่องโหว่จากระยะไกลที่ง่ายไปกว่านี้

ช่องโหว่กระทบ Exim ตั้งแต่เวอร์ชัน 4.87 ถึง 4.91 โดยผู้ใช้งานสามารถทำการอัปเกรดซอฟต์แวร์เพื่อรับแพตช์จากโครงการต้นน้ำได้ตั้งแต่วันนี้เป็นต้นไป

ที่มา : zdnet

แพตช์ช่องโหว่ Android ประจำเดือนมิถุนายน 2562 มาแล้ว ทั้งหมด 22 ช่องโหว่ถูกแพตช์

Google ประกาศแพตช์ด้านความปลอดภัยสำหรับ Android ประจำเดือนมิถุนยายน 2562 วันนี้โดยมีช่องโหว่ระดับวิกฤติ (critical) จำนวน 8 ช่องโหว่จากทั้งหมด 22 ช่องโหว่ที่ถูกแพตช์ในรอบนี้

สำหรับช่องโหว่ร้ายแรงระดับวิกฤติ คอมโพเนนต์ของระบบที่ยังคงปรากฎช่องโหว่เหล่านี้เป็นจำนวนมากยังได้แก่ส่วนที่เป็น Media Framework ซึ่งผู้โจมตีสามารถสร้างไฟล์ซึ่งเมื่อถูกประมวลผลด้วย Media Framework จะทำให้ผู้โจมตีสามารถรันโค้ดที่เป็นอันตรายได้ อีกหนึ่งช่องโหว่มาจากส่วน System ในโมดูลที่เกี่ยวข้องกับไฟล์ PAC และส่วนที่เหลือเป็นช่องโหว่ระดับวิกฤติจากคอมโพเนนต์ของ Qualcomm

ผู้ใช้งานสามารถรับแพตช์ได้ทันทีตั้งแต่วันนี้เป็นต้นไป โดยความช้า-เร็วในการรับแพตช์จะขึ้นอยู่กับผู้ผลิตในแต่ละราย ข้อมูลเกี่ยวกับช่องโหว่แบบมีรายละเอียดครบถ้วนสามารถตรวจสอบได้ที่ https://source.

โครงการ phpMyAdmin ประกาศแพตช์สำหรับช่องโหว่ SQL Injection และ CSRF

โครงการ phpMyAdmin ประกาศแพตช์สำหรับช่องโหว่รหัส CVE-2019-11768 (PMSA-2019-3) และ CVE-2019-12616 (PMSA-2019-4) วันนี้ โดยเป็นช่องโหว่ SQL Injection และ CSRF ตามลำดับ

ช่องโหว่ CVE-2019-11768 เป็นช่องโหว่ SQL Injection ในส่วน Designer Feature โดยตรวจพบกับ phpMyAdmin เวอร์ชันก่อน 4.8.6 ซึ่งจะเกิดขึ้นเมื่อผู้โจมตีมีการสร้างฐานข้อมูลด้วยชื่อแบบพิเศษซึ่งจะทำให้เกิดเงื่อนไขของ SQL Injection

ในส่วนของช่องโหว่ CVE-2019-12616 นั้น เป็นช่องโหว่ประเภท CSRF ที่หน้าล็อกอินของ phpMyAdmin โดยผู้โจมตีสามารถทำการโจมตีผ่าน HTML tag ที่มีการพัฒนาอย่างไม่ปลอดภัยเพื่อใช้สิทธิ์ของผู้ใช้งานในการส่งคำสั่งที่เป็นอันตรายไปยังระบบได้ ช่องโหว่นี้กระทบ phpMyAdmin ก่อนรุ่น 4.9.0 โดยให้ทำการอัปเดตเป็นเวอร์ชันใหม่กว่าเพื่อรับการแก้ไขช่องโหว่

ที่มา: PMASA-2019-3 , PMASA-2019-4

ผู้สร้าง GandCrab ransomware ประกาศว่าจะหยุดให้บริการ Ransomware-as-a-Service เพราะได้เงินพอแล้ว

ในช่วงปลายเดือนที่ผ่านมาผู้สร้าง GandCrab ransomware ได้ประกาศว่าจะทำการปิดการทำงานของ Ransomware-as-a-Service (RaaS) ด้วยเหตุผลที่ว่าผู้สร้างสามารถที่จะทำเงินได้มากพอแล้ว (มากกว่า 2 พันล้านเหรียญ) และวางแผนที่จะยกเลิกการให้บริการภายในหนึ่งเดือน

มัลแวร์เรียกค่าไถ่ (Ransomware) เป็นการโจมตีในรูปแบบการเข้ารหัสไฟล์ในเครื่องผู้ใช้งาน เหยื่อต้องจ่ายเงินให้แก่ผู้โจมตีเพื่อแลกกับการถอดรหัสเพื่อให้ได้ไฟล์คืนมา โดยพบว่ามัลแวร์เรียกค่าไถ่ที่อยู่ในตระกูล GandCrab ได้รายได้จากการขาย GandCrab RaaS ให้กับผู้ต้องการและส่วนแบ่งจากเงินเรียกค่าไถ่ที่เหยื่อจ่ายมา จากประกาศดังกล่าวยังมีการระบุว่า ผู้สร้างวางแผนจะทำการลบคีย์สำหรับถอดรหัสทิ้งด้วย ซึ่งจะส่งผลให้ผู้ที่ตกเป็นเหยื่อไม่สามารถกู้คืนไฟล์ได้ แต่นักวิจัยก็เชื่อว่าการประกาศลบคีย์สำหรับถอดรหัสนี้อาจจะเป็นแค่แผนการเพื่อกระตุ้นให้ผู้ที่ตกเป็นเหยื่อตื่นตระหนกและรีบทำการชำระค่าไถ่ก็เป็นไปได้

อย่างไรก็ตามหากอ้างอิงถึงเหตุการณ์ลักษณะเดียวกัน ที่ผู้ผลิตมัลแวร์เรียกค่าไถ่ประกาศจะปิดกระบวนการทำงานของมัลแวร์ อย่างเช่น TeslaCrypt, XData, Crysis และ FilesLocker ผู้สร้างมัลแวร์เหล่านั้นมักจะปล่อยคีย์สำหรับถอดรหัสออกมาให้เหยื่อฟรีๆ มากกว่า ดังนั้นทางเลือกที่ดีที่สุดคือ ไม่ติดเลยจะดีกว่า หรือควรมีแผนสำหรับกู้คืนระบบเมื่อตกเป็นเหยื่อจริงๆ อย่างเช่น การมีระบบ Backup ข้อมูลของเครื่องสำคัญๆ อย่างสม่ำเสมอ

ที่มา: zdnet

Adobe แก้ไขช่องโหว่จำนวน 87 ช่องโหว่ในแพตช์ประจำเดือน (Patch Tuesday) ส่วนใหญ่อยู่ในผลิตภัณฑ์ Adobe Acrobat และ Adobe Reader

จากช่วงโหว่จำนวน 87 ช่องโหว่ที่อยู่ภายในผลิตภัณฑ์ Adobe Acrobat, Adobe Reader,Adobe Flash Player และ Adobe Media Encoder มีช่องโหว่ในระดับควรอัปเดต (important) 36 ช่องโหว่ และช่องโหว่ในระดับความรุนแรงสูงสุด 48 ช่องโหว่ ซึ่งผู้โจมตีสามารถใช้ประโยชน์จากช่องโหว่ในระดับความรุนแรงสูงสุดเพื่อรันคำสั่งอันตรายที่ใช้ควบคุมระบบได้ เช่น ฝังคำสั่งอันตรายไว้ในไฟล์ PDF ที่จะทำงานเมื่อผู้ใช้งานเปิดไฟล์ PDF ด้วย Adobe Reader ที่มีช่องโหว่ดังกล่าว แนะนำให้ผู้ใช้งานทำการอัปเดตแพตช์ให้เป็นเวอร์ชั่นล่าสุดเพื่อลดความเสี่ยง

ที่มา : threatpost

Apple ได้ทำการปล่อยอัพเดตแพตช์ด้านความปลอดภัยเพื่อแก้ไขช่องโหว่ในหลายผลิตภัณฑ์ ได้แก่
• watchOS 5.2.1
• Safari 12.1.1
• Apple TV Software 7.3
• tvOS 12.3
• iOS 12.3 และ
• macOS Mojave 10.14.5, Security Update 2019-003 High Sierra, Security Update 2019-003 Sierra
ช่องโหว่ที่มีความรุนแรงสูงสุดที่ถูกแก้ไขในแพตช์นี้สามารถถูกผู้โจมตีใช้ควบคุมเครื่องได้จากระยะไกล ผู้โจมตีสามารถติดตั้งโปรแกรมอยู่กับสิทธิที่เกี่ยวข้องกับผู้ใช้ ดูการเปลี่ยนแปลงหรือลบข้อมูล หรือสร้างบัญชีใหม่ที่มีสิทธิผู้ใช้เต็มรูปแบบ แนะนำให้ผู้ใช้งานทำการอัปเดตแพตช์

ที่มา : us-cert

แจ้งเตือนระดับวิกฤติ ช่องโหว่ล่าสุดบน WhatsApp ถูกโจมตีเพื่อฝัง Spyware สัญชาติอิสราเอล

นิตยสาร Financial Times ออกรายงานเมื่อช่วงเช้าที่ผ่านมาหลังจากมีการตรวจพบข้อมูลที่เชื่อถือได้ว่าบริษัทสัญชาติ NSO Group ซึ่งอยู่เบื้องหลังการโจมตีระบบมือถือเพื่อสอดแนม ได้ทำการโจมตีช่องโหว่ใน WhatsApp ซึ่งส่งผลให้ผู้โจมตีสามารถฝังมัลแวร์ลงที่เครื่องเป้าหมายได้

บริษัท NSO Group เป็นบริษัทสัญชาติอิสราเอลที่มีชื่อเสียงในเรื่องของการพัฒนาเทคโนโลยีสอดแนม โดยเคยมีผลงานในการพัฒนาหนึ่งในมัลแวร์บนระบบ iOS "Pegasus" ตามคำสั่งของลูกค้า อีกทั้งยังมีประวัติในการโจมตีช่องโหว่ zero-day หลายรายการด้วย โดยเชื่อกันว่า NSO Group ใช้ช่องโหว่นี้ในการโจมตีและติดตั้งมัลแวร์ลงในเป้าหมายที่ถูกจ้างวาน

ทางตัวแทนของ WhatsApp ได้ออกมาให้ข้อมูลเพิ่มเติมเกี่ยวกับช่องโหว่นี้ว่า ช่องโหว่ดังกล่าวที่รหัส CVE-2019-3568 เป็นช่องโหว่ซึ่งพึ่งถูกค้นพบเมื่อต้นเดือนที่ผ่านมา โดยลักษณะของช่องโหว่ Buffer Overflow ในส่วน VOIP stack ของแอป ซึ่งส่งผลให้ผู้โจมตีสามารถโจมตีระบบและรันโค้ดที่เป็นอันตรายจากระยะไกลได้ด้วยการส่งแพ็คเกต SRTCP มายังเบอร์โทรศัพท์ หรือหมายถึงการโทรหาเป้าหมายทั้งในระบบปฏิบัติการ iOS และแอนดรอยด์เท่านั้นเอง ช่องโหว่จะถูกโจมตีทันทีแม้ว่าเป้าหมายจะไม่ได้รับสายที่โทรเข้ามา

ทางตัวแทนของ WhatsApp ยังยืนยันเพิ่มเติมว่า มีการตรวจพบหมายเลขจำนวนหนึ่งซึ่งตกเป็นเป้าหมายและถูกโจมตี ซึ่งหนึ่งนั้นเป็นนักเคลื่อนไหวทางสิทธิมนุษยชนชาวอังกฤษ

Recommendation
ในขณะนี้ทาง WhatsApp ได้มีการปล่อยแอปพลิเคชันที่มีการแพตช์ช่องโหว่ดังกล่าวให้แก่ผู้ใช้งานแล้ว แนะนำให้ผู้ใช้งานทำการอัปเดตโดยด่วนทันที

ที่มา : cnet

CVE-2019-11815 Remote Code Execution affects Linux Kernel prior to 5.0.8

ระบบปฏิบัติการลินุกซ์ซึ่งรันบนเคอร์เนลรุ่นต่ำกว่า 5.0.8 อาจมีความเสี่ยงหลังจากมีการตรวจพบช่องโหว่ race condition ซึ่งนำไปสู่เงื่อนไขของ use-after-free ส่งผลให้ผู้โจมตีสามารถรันโค้ดที่เป็นอันตรายได้จากระยะไกล

ช่องโหว่ CVE-2019-11815 นี้เป็นช่องโหว่ซึ่งอยู่ในส่วนโค้ดที่อิมพลีเมนต์โปรโตคอล TCP/IP โดยการโจมตีนั้นสามารถทำได้เพียงแต่ส่งแพ็คเกต TCP ไปยังระบบเป้าหมายที่มีช่องโหว่จนกว่าจะเกิดเงื่อนไขที่ทำให้การโจมตช่องโหว่นั้นสำเร็จโดยไม่ต้องมีการพิสูจน์ตัวตนและไม่ต้องอาศัยการมีปฏิสัมพันธ์จากผู้ใช้งาน

อย่างไรก็ตามแม้ว่าความรุนแรงของช่องโหว่ตามมาตรฐานของ CVSSv3 จะสูงถึง 8.1/10 แต่ความง่ายในการโจมตีช่องโหว่นั้นกลับได้คะแนนเพียงแค่ 2.2/10 หรือค่อนข้างยาก ส่งผลให้คะแนน CVSSv3 โดยรวมนั้นมีเพียงแค่ 5.9/10 คะแนน

นักพัฒนาเคอร์เนลได้มีการประกาศแพตช์สำหรับช่องโหว่นี้แล้วในช่วงปลายเดือนมีนาคม โดยคาดว่าเคอร์เนลรุ่นใหม่ในรุ่น 5.0.8 ซึ่งจะถูกปล่อยในเร็วๆ นี้จะมีการรวมแพตช์ของช่องโหว่ดังกล่าวไปด้วย

ที่มา : securityaffairs

แจ้งเตือนช่องโหว่ Thrangrycat และ RCE วาง Backdoor ใส่อุปกรณ์ Cisco จากระยะไกลด้วยช่องโหว่ฮาร์ดแวร์

ทีมนักวิจัยด้านความปลอดภัยจาก Red Balloon Security ได้มีการเปิดเผยช่องโหว่ใหม่ภายใต้ชื่อ Thrangrycat (CVE-2019-1649) วันนี้หลังจากมีการค้นพบและถูกแก้ไขโดย Cisco เมื่อปีที่ผ่านมา โดยช่องโหว่ดังกล่าวนั้นเมื่อใช้ร่วมกับช่องโหว่อื่นที่ทำให้ได้ผู้โจมตีได้สิทธิ์ root จะส่งผลให้ผู้โจมตีสามารถติดตั้งมัลแวร์ลงในอุปกรณ์ได้

ช่องโหว่ Thrangrycat เป็นช่องโหว่ในชิปความปลอดภัยพิเศษชื่อ Trust Anchor Module (TAm) ซึ่งอยู่ในอุปกรณ์ Cisco ตั้งแต่ปี 2013 การโจมตีช่องโหว่นี้นั้นจำเป็นต้องอาศัยสิทธิ์ของ root ในการแก้ไขค่า Field Programmable Gate Array (FPGA) นักวิจัยจาก Red Balloon Security ยังค้นพบช่องโหว่ RCE รหัส CVE-2019-1862 บนคอมโพเนนต์ Web UI ของ Cisco IOS XE ซึ่งทำให้ผู้โจมตีสามารถได้สิทธิ์ root กับอุปกรณ์ได้ การรวมกันของสองช่องโหว่นี้จะทำให้ผู้โจมตีสามารถติดตั้งมัลแวร์ลงในอุปกรณ์ได้

Recommendation :
ในขณะนี้ Cisco ได้มีการเผยแพร่ Security Advisory พร้อมแพตช์สำหรับช่องโหว่นี้แล้ว ผู้ใช้งานและผู้ดูแลระบบสามารถทำการตรวจสอบรายการของอุปกรณ์ที่ได้รับผลกระทบรวมไปถึงดาวโหลดแพตช์สำหรับทั้งสองช่องโหว่ได้จากลิงค์ด้านล่าง
Security Advisory ของช่องโหว่ Thrangrycat: https://tools.

Twitter ได้เปิดเผยข้อมูลเพื่อชี้แจ้งถึงความผิดพลาดที่ส่งผลกระทบต่อความเป็นส่วนตัวสำหรับผู้ที่ใช้งานบนระบบ iOS บางราย

รายงานระบุว่า Twitter ได้แจ้งว่าตรวจพบแอพพลิเคชั่นที่ติดตั้งบนระบบปฏิบัติการ iOS มีการจัดเก็บข้อมูลตำแหน่งผู้ใช้งาน (location) และมีการแบ่งปันข้อมูลดังกล่าวกับ Partner ที่มีความน่าเชื่อถือหลายรายโดยไม่ได้ตั้งใจ ข้อผิดพลาดดังกล่าวจะเกิดขึ้นเมื่อผู้ใช้งานมีการเพิ่มบัญชีผู้ใช้งาน Twitter ที่สองบนเครื่อง หากผู้ใช้งานอนุญาตให้ Twitter สามารถเข้าถึงข้อมูลตำแหน่งผู้ใช้งานในบัญชีใดบัญชีหนึ่ง จะส่งผลให้การตั้งค่านั้นมีผลกับอีกบัญชีด้วย ทำให้ผู้ใช้งานที่ไม่ตั้งใจจะแบ่งปันข้อมูลดังกล่าวถูกละเมิดความเป็นส่วนตัว

อย่างไรก็ตาม Twitter อ้างว่า Partners จะไม่ได้รับข้อมูลตำแหน่งที่ชัดเจนของผู้ใช้งาน เนื่องจากข้อมูลดังกล่าวจะถูกแปลงให้มีความแม่นยำของการระบุตำแหน่งลดลงในระยะ 5 กิโลเมตร รวมถึงยืนยันกับทาง partners ว่าข้อมูลตำแหน่งไม่ได้ถูกเก็บไว้และมีอยู่ในระบบของพวกเขาในช่วงระยะเวลาสั้นๆเท่านั้น จากนั้นจะถูกลบออกตามกระบวนการของทางบริษัท

ที่มา: zdnet