Ring แจ้งเตือนเกี่ยวกับข้อผิดพลาดในการอัปเดตระบบภายใน ส่งผลให้ลูกค้าหลายรายพบอุปกรณ์ที่ไม่ได้รับอนุญาตเชื่อมต่อกับบัญชีของตนเมื่อวันที่ 28 พฤษภาคม

ผู้ใช้ Ring หลายรายพบอุปกรณ์ไม่รู้จักล็อกอินจากต่างประเทศ จนคิดว่าบัญชีถูกแฮ็ก ต่อมา Ring ชี้แจงผ่าน Facebook ว่าเป็นข้อผิดพลาดที่ทำให้ระบบแสดงวันที่ล็อกอินผิดเป็น 28 พฤษภาคม 2025

Ring ยังได้อัปเดตหน้าสถานะของระบบ โดยระบุว่าการล็อกอินที่ไม่ได้รับอนุญาตเหล่านี้มีสาเหตุมาจากบั๊กที่เกิดขึ้นในการอัปเดตระบบหลังบ้าน

ในหน้าสถานะของ Ring ระบุว่า พวกเขาทราบถึงปัญหาที่ทำให้ข้อมูลใน Control Center แสดงผลอย่างไม่ถูกต้อง

“เหตุการณ์นี้เป็นผลจากการอัปเดตระบบหลังบ้าน และบริษัทกำลังเร่งแก้ไข ไม่ได้เกิดจากการเข้าถึงบัญชีลูกค้าโดยไม่ได้รับอนุญาต”

การเข้าสู่ระบบที่ผิดปกติทั้งหมดนี้ถูกบันทึกไว้เมื่อวันที่ 28 พฤษภาคม 2025 ซึ่งสอดคล้องกับคำชี้แจงของ Ring ที่ระบุว่าเป็นปัญหาทางเทคนิค ไม่ใช่การแฮ็กครั้งใหญ่

ถึงแม้ Ring จะยืนยันว่าไม่มีการละเมิดข้อมูล แต่ลูกค้าหลายรายยังคงไม่ปักใจเชื่อ เนื่องจากพบอุปกรณ์ และ IP address ที่ไม่คุ้นเคย รวมถึงรายชื่อประเทศที่ไม่เคยเดินทางไป ปรากฏอยู่ในรายการอุปกรณ์ที่ได้รับอนุญาต ทำให้เกิดข้อสงสัยว่าไม่ใช่เพียงแค่การแสดงผลข้อมูลเดิม

ลูกค้ารายหนึ่งโพสต์ใน X พร้อมแชร์ภาพหน้าจอการล็อกอินจากอุปกรณ์ชื่อ “derbhile’s iPhone” โดยระบุว่า “เรื่องบั๊กนี่มันไร้สาระมาก ฉันไม่รู้จัก Derbhille ด้วยซ้ำ แล้วเธอเกี่ยวข้องกับกล้อง Ring หรือครอบครัวเรายังไง? ยอมรับเถอะว่าคุณถูกแฮ็ก และรีบแก้ไขปัญหานี้ซะ”

อีกคนหนึ่งโพสต์ใน Facebook ว่า “น่าสนใจที่บอกว่าเป็นแค่บั๊ก แต่หนึ่งในการล็อกอินแปลก ๆ ของฉันในวันนั้นมาจากสเปน ในขณะที่ฉันอยู่ที่เท็กซัส มันไม่เหมือนแค่บั๊กหรือการล็อกอินจากอุปกรณ์เก่าเลย เพราะฉันมั่นใจว่าฉันไม่เคยไปสเปนมาก่อน”

ความรู้สึกที่ว่า Amazon กำลังปกปิดเหตุการณ์ด้านความปลอดภัยยิ่งชัดเจนขึ้น เมื่อผู้ใช้งานยังคงพบการล็อกอินจากอุปกรณ์ที่ไม่รู้จัก แม้จะผ่านไปสามวันแล้วหลังจากการอัปเดตระบบหลังบ้านที่ควรแก้ไขปัญหานี้ได้ง่าย

นอกจากนี้ บางคนยังรายงานว่ามีการดู live view ในช่วงเวลาที่ไม่มีใครอยู่ในบ้านเปิดแอปใช้งาน และบางรายก็ไม่ได้รับการแจ้งเตือนความปลอดภัย หรือการยืนยันตัวตนแบบหลายขั้นตอนเมื่อมีการเพิ่มอุปกรณ์ใหม่เข้าบัญชี

แม้สาเหตุอาจเกิดจากข้อผิดพลาดในการแสดงชื่ออุปกรณ์ และข้อมูลการล็อกอิน Ring ควรชี้แจงเรื่องนี้ให้ชัดเจน แทนที่จะอ้างว่าเป็นการล็อกอินครั้งก่อนของผู้ใช้

BleepingComputer ได้ติดต่อสอบถาม Ring เกี่ยวกับสถานการณ์นี้ รวมถึงเหตุผลที่ผู้ใช้เห็นอุปกรณ์ที่ไม่เคยเป็นเจ้าของ และประเทศที่ไปเยือน ซึ่งไม่น่าจะเป็นการล็อกอินครั้งก่อน

ผู้ใช้ Ring ควรตรวจสอบ และลบอุปกรณ์ หรือการล็อกอินที่ไม่รู้จักในแอปผ่านเมนู Control Center > Authorized Client Devices ทันที จากนั้นเปลี่ยนรหัสผ่าน และเปิดใช้งานการยืนยันตัวตนสองขั้นตอนเพื่อความปลอดภัย

[อัปเดต 22 กรกฎาคม เวลา 02:15 น. EST] โฆษกของ Amazon ได้ส่งข้อความชี้แจงถึง BleepingComputer ว่า ทางบริษัททราบถึงปัญหาที่ข้อมูลแสดงผลไม่ถูกต้องใน Control Center ซึ่งเกิดจากการอัปเดตระบบหลังบ้าน และกำลังดำเนินการแก้ไข โดยไม่ได้เป็นผลมาจากการเข้าถึงบัญชีลูกค้าโดยไม่ได้รับอนุญาต

โฆษกอธิบายเพิ่มเติมว่า IP และอุปกรณ์ที่ผู้ใช้เห็นในหน้ารายการ Authorized Client Devices เป็นอุปกรณ์ที่เคยใช้ล็อกอินเข้าบัญชี Ring ของลูกค้าในอดีต รายการนี้อาจรวมถึงอุปกรณ์ที่ลูกค้าไม่ได้ใช้งานแล้ว หรืออุปกรณ์ของผู้ที่ลูกค้าเคยแชร์ข้อมูลล็อกอินด้วย

ที่มา: bleepingcomputer.

Mitel Networks ออกแพตซ์อัปเดตด้านความปลอดภัยเพื่อแก้ไขช่องโหว่ Authentication bypass ที่มีความรุนแรงระดับ Critical ซึ่งส่งผลกระทบต่อแพลตฟอร์มการสื่อสารระดับองค์กรอย่าง MiVoice MX-ONE

(more…)

พบการเผยแพร่ชุดสาธิตการโจมตี Proof-of-concept (PoC) สำหรับช่องโหว่ Remote Registry client ใน Microsoft ซึ่งสามารถใช้เพื่อควบคุม Windows domain ได้โดยการลดระดับความปลอดภัยของกระบวนการ authentication (more…)

GitLab ออกแพตซ์อัปเดตด้านความปลอดภัยเพื่อแก้ไขช่องโหว่ authentication bypass ระดับ Critical ใน SAML ซึ่งส่งผลกระทบต่อ GitLab Community Edition (CE) และ Enterprise Edition (EE)

(more…)

Have I Been Pwned ได้ทำการเพิ่มที่อยู่อีเมลกว่า 71 ล้านอีเมล ที่เกี่ยวข้องกับบัญชีผู้ใช้งานที่ถูกขโมยมาในชุดข้อมูล Naz.

Bitwarden ระบบจัดการรหัสผ่านออกมาประกาศว่า ผู้ใช้งานทุกคนสามารถเข้าถึง password vaults บนเว็บไซต์โดยใช้ passkey แทนวิธีมาตรฐานเดิมซึ่งใช้ Username และ password คู่กันได้แล้ว

Passkeys เป็นวิธีการปกป้องรหัสผ่านอีกรูปแบบหนึ่งที่มีความปลอดภัยมากกว่าวิธีการมาตรฐาน และมีการใช้งานกันอย่างแพร่หลาย โดยที่สามารถป้องกันการโจมตีแบบ Phishing ได้ ซึ่งในกรณีของ Bitwarden จะอนุญาตให้ผู้ใช้งานเข้าถึง password vaults โดยไม่ต้องใช้รหัสผ่านหลัก (master password), อีเมล, หรือแม้กระทั่งการยืนยันตัวตนหลายขั้นตอน (2FA)

(more…)

นักวิเคราะห์ด้านความปลอดภัยได้พบช่องโหว่ใน Microsoft Teams Application ที่ใช้งานกับ Desktop ทำให้ผู้โจมตีสามารถเข้าถึง Authentication Token และบัญชีที่เปิดใช้งาน Multi-Factor (MFA) ได้

Microsoft Teams เป็นแพลตฟอร์มการสื่อสารที่อยู่ในตระกูลผลิตภัณฑ์ 365 ซึ่งมีผู้ใช้งานมากกว่า 270 ล้านคนในการประชุมทางวิดีโอ และการจัดเก็บไฟล์

ปัญหานี้มีผลกระทบต่อ Application version ที่ใช้บน Windows, Linux และ Mac เนื่องจาก Authentication Token ของผู้ใช้งานใน Microsoft Teams จะถูกจัดเก็บเป็น clear text โดยไม่มีการป้องกันการเข้าถึง เพราะเหตุนี้จึงทำให้ผู้โจมตีสามารถขโมย Tokens แล้วใช้เพื่อเข้าสู่ระบบของเหยื่อได้

นักวิจัยระบุว่า "การเข้าควบคุมบัญชีที่สำคัญขององค์กร เช่น หัวหน้าฝ่ายวิศวกรรม CEO หรือ CFO" อาจส่งผลให้เกิดความเสียหายต่อองค์กรได้

นักวิจัยของ Vectra พบปัญหานี้ในเดือนสิงหาคม 2022 และรายงานไปยัง Microsoft แต่ Microsoft ไม่เห็นด้วย และยังระบุว่าไม่ตรงตามเกณฑ์ที่จำเป็นต้องทำการแก้ไข

รายละเอียดปัญหา

Microsoft Teams เป็นแอปในลักษณะ Electron ที่ทำงานในเบราว์เซอร์ พร้อมด้วยองค์ประกอบที่จำเป็นสำหรับหน้าเว็บปกติ (cookies, session strings, logs อื่นๆ)

ซึ่ง Electron ไม่รองรับการเข้ารหัส หรือการป้องกันการเข้าถึงไฟล์ ดังนั้นแม้ว่าเฟรมเวิร์กซอฟต์แวร์จะใช้งานได้หลากหลาย และใช้งานได้ง่าย แต่ก็ถือว่าความปลอดภัยไม่เพียงพอสำหรับการพัฒนาผลิตภัณฑ์ที่มีความสำคัญ เว้นแต่จะมีการปรับแต่งให้ครอบคลุมมากยิ่งขึ้น

Vectra ระบุว่า ขณะที่พยายามหาวิธีลบบัญชีที่ไม่มีการใช้งานออกจากแอปบนไคลเอ็นต์ เค้าพบไฟล์ ldb ที่มี access tokens เป็น clear text "เมื่อตรวจสอบก็พบว่า access tokens เหล่านี้ยังสามารถใช้งานได้ และไม่ใช่การ Dump error โดยไม่ได้ตั้งใจ และ Tokens เหล่านี้จะสามารถใช้เพื่อเข้าถึง Outlook และ Skype APIs" - Vectra

นอกจากนี้ นักวิเคราะห์พบว่าโฟลเดอร์ "Cookie" ยังมี Authentication Tokens ที่ใช้งานได้ พร้อมด้วยข้อมูลบัญชี ข้อมูลเซสชัน และข้อมูลการใช้งานต่าง ๆ

สุดท้าย Vectra ได้พัฒนาเครื่องมือที่ใช้สำหรับทดสอบช่องโหว่ผ่านทางการเรียกใช้ API ซึ่งอนุญาตให้ส่งข้อความถึงตัวเองได้ โดยการใช้ engine SQLite เพื่ออ่านฐานข้อมูลใน Cookies ซึ่งปรากฏว่าได้รับ Authentication Tokens เป็นข้อความใน chat window ตามภาพ

ช่องโหว่นี้สามารถถูกโจมตีด้วยมัลแวร์สำหรับขโมยข้อมูลซึ่งเป็นหนึ่งใน Paylods ที่นิยมมากที่สุดในแคมเปญฟิชชิ่ง

การใช้มัลแวร์ประเภทนี้ ผู้โจมตีจะสามารถขโมย Authentication Tokens ของ Microsoft Teams และเข้าสู่ระบบจากระยะไกลในฐานะผู้ใช้ bypass MFA และเข้าถึงบัญชีได้อย่างสมบูรณ์

ซึ่งผู้โจมตีมีการโจมตีลักษณะนี้กับแอปพลิเคชันอื่น ๆ อยู่แล้ว เช่น Google Chrome, Microsoft Edge, Mozilla Firefox, Discord และอื่น ๆ อีกมากมาย

การลดความเสี่ยง

ด้วยเหตุที่ยังไม่มีแพตช์สำหรับแก้ไข คำแนะนำของ Vectra คือให้ผู้ใช้สลับไปใช้ Microsoft Teams ที่เป็น Browser version แทน ผ่านทาง Microsoft Edge ซึ่งผู้ใช้จะได้รับการป้องกันเพิ่มเติมเพื่อป้องกันการรั่วไหลของ Tokens

นักวิจัยแนะนำผู้ใช้งาน Linux ให้ย้ายไปใช้โปรแกรมสำหรับ Online meeting อื่น ๆ โดยเฉพาะอย่างยิ่งเมื่อ Microsoft ประกาศแผนการที่จะหยุดสนับสนุนแอปสำหรับแพลตฟอร์ม Linux ภายในเดือนธันวาคม

สำหรับผู้ที่ไม่สามารถย้ายไปยังโซลูชันอื่นได้ในทันที สามารถเฝ้าระวังการที่เข้าถึงไดเร็กทอรีต่อไปนี้:

[Windows] %AppData%\Microsoft\Teams\Cookies
[Windows] %AppData%\Microsoft\Teams\Local Storage\leveldb
[macOS] ~/Library/Application Support/Microsoft/Teams/Cookies
[macOS] ~/Library/Application Support/Microsoft/Teams/Local Storage/leveldb
[Linux] ~/.config/Microsoft/Microsoft Teams/Cookies
[Linux] ~/.config/Microsoft/Microsoft Teams/Local Storage/leveldb

BleepingComputer ได้ติดต่อ Microsoft เกี่ยวกับแผนที่จะแก้ไขปัญหาดังกล่าว โดยเมื่อวันที่ 14 กันยายน 2565 โฆษกของ Microsoft ระบุว่า

"เทคนิคที่ใช้ ยังไม่ตรงกับมาตรฐานที่ต้องรีบดำเนินการแก้ไข เนื่องจากผู้โจมตีต้องสามารถเข้าถึงเครือข่ายเป้าหมายให้ได้ก่อน

ขอขอบคุณ Vectra Protect ในการระบุ และเปิดเผยปัญหานี้อย่างมีความรับผิดชอบ และจะพิจารณาแก้ไขดังกล่าวต่อไปในอนาคต"

ที่มา : bleepingcomputer

นักวิจัยจาก Lightspin พบช่องโหว่ AWS IAM Authenticator for Kubernetes (CVE-2022-2385) ซึ่งสามารถทำให้ผู้โจมตีสามารถแก้ไข authentication token เพื่อยกระดับสิทธิ์ใน Kubernetes cluster ได้

AWS IAM Authenticator for Kubernetes คืออะไร?

AWS IAM Authenticator เป็น plugin ที่ช่วย map user/group ใน Kubernetes กับ AWS IAM ทำให้ผู้ใช้งานที่ใช้ AWS อยู่แล้วไม่ต้องบริหารจัดการสิทธ์ที่ Kubernetes โดยการเพิ่มหรือลดสิทธิ์ของ user ก็สามารถทำที่ AWS IAM ได้เลย โดยที่ AWS IAM Authenticator จะถูกติดตั้งอยู่ใน AWS EKS cluster ตั้งแต่เริ่มต้น

AWS IAM Authenticator ทำงานอย่างไร?

เมื่อ user จะยืนตัวตน kubectl จะส่ง token ที่เป็นการ request API GetCallerIdentity ไปที่ AWS IAM Authenticator server จากนั้น Server จะส่ง token ไปให้ AWS STS อีกครั้งเพื่อเป็นการยืนตัวตน AWS IAM กับ User/Group ใน Cluster

สาเหตุของช่องโหว่

Authenticator server จะดึงค่าจาก API GetCallerIdentity parameter มา verify และนำมาใช้ในการยื่นยันตัวตน แต่มี code บางส่วนที่จะทำหน้าที่ lower case ตัว key ของ parameter แต่กลับไม่มีการตรวจสอบว่าชื่อ key นั้นซ้ำกันหรือไม่ เช่น key ‘Action’ กับ ‘action’ เมื่อถูกแปลงเป็น lowercase แล้วจะมีชื่อเดียวกันเป็น ‘action’ ซึ่งทำให้อาจมีโอกาสที่จะถูก Overwrite ค่าของ parameter ได้

วิธีการโจมตี

aws-iam-authenticator สามารถ map user โดยใช้ AWS AccessKeyID

ผู้โจมตีสามารถแก้ไข Access Key ที่ใช้โดย aws-iam-authenticator โดยการส่ง request overwrite parameter ‘X-Amz-Credentials’

https[:]//sts[.]us-east-1[.]amazonaws[.]com/?X-Amz-Credentials=AKIAXXXXXXXXXXXXXXXX&x-amz-credentials=AKIABBBBBBBBBBBBBBBB

authenticator server จะเอา AccessKeyID มาจาก query parameter ที่โดน overwrite แล้วนำมาเขียนลง AccessKeyID template value  ซึ่งอาจนำไปสู่การยกระดับสิทธิ์ในคลัสเตอร์ EKS เกิดขึ้นได้

วิธีการแก้ไข :

AWS อัปเดตแพตซ์เพื่อแก้ไขช่องโหว่ดังกล่าวเรียบร้อยแล้ว ซึ่งผู้ใช้งานไม่ต้องดำเนินการใดๆ
Self host Kubernetes clusters อัปเดต aws-iam-authenticator เป็น v0.5.9
ไม่ควรใช้ AccessKeyID template value ในการ map user/group

ที่มา : blog.

 

Microsoft ได้ออกอัปเดตแพตซ์แบบ out-of-band ในช่วงเย็นวันพฤหัสบดีที่ผ่านมา เพื่อแก้ไขปัญหาใหม่ที่พบซึ่งส่งผลต่อแอปบน Microsoft Store

โดยในระบบที่ได้รับผลกระทบ ผู้ใช้งานอาจประสบปัญหาในการเปิด หรือติดตั้งแอปจาก Microsoft Store โดยในบางกรณีอาจยังพบ error code : 0xC002001B

ปัญหาที่นี้ส่งผลต่ออุปกรณ์ที่ใช้ Windows 10 (เวอร์ชัน 21H2, 21H1 และ 20H2) ซึ่งผู้ใช้งานที่ได้ติดตั้ง KB5011831 ที่เผยแพร่ตั้งแต่วันที่ 25 เมษายนที่ผ่านมา

"หลังจากติดตั้ง KB5011831 หรือแพตซ์หลังจากนั้น ผู้ใช้งานอาจพบข้อความ error code:0xC002001B เมื่อพยายามติดตั้งแอปจาก Microsoft Store" Microsoft อธิบาย

"แอปบน Microsoft Store บางแอปอาจเปิดไม่ได้เช่นกัน โดย Windows ที่ได้รับผลกระทบ จะพบว่ามีการใช้งาน CPU ซึ่งรองรับ Control-flow Enforcement Technology (CET) เช่น CPU Intel Gen.

บริษัทด้านความปลอดภัยทางไซเบอร์ Sophos ประกาศแจ้งเตือนเมื่อวันจันทร์ที่ 28 มีนาคมที่ผ่านมาว่าตรวจพบช่องโหว่ด้านความปลอดภัยที่เพิ่งได้รับการแก้ไขในผลิตภัณฑ์ firewall ของตน กำลังถูกใช้ในการโจมตีอยู่ในปัจจุบัน

ช่องโหว่ CVE-2022-1040 ที่ได้รับ CVSS 9.8 ส่งผลกระทบต่อ Sophos Firewall เวอร์ชัน 18.5 MR3 (18.5.3) และเวอร์ชันที่เก่ากว่า ผลกระทบจากช่องโหว่ดังกล่าวทำให้ผู้โจมตีสามารถ bypass การตรวจสอบการ authentication บน User Portal และ Webadmin interfaces ได้ ซึ่งหากโจมตีสำเร็จจะทำให้ผู้โจมตีสามารถสั่งรันโค้ดที่เป็นอันตรายได้

"Sophos พบว่าช่องโหว่เริ่มมีการถูกใช้ในการโจมตีไปยังองค์กรจำนวนหนึ่งในภูมิภาคเอเชียใต้ ซึ่งทาง Sophos ได้มีการแจ้งเตือนไปยังองค์กรเหล่านั้นโดยตรงแล้ว"

Sophos ระบุว่าช่องโหว่นี้ได้รับการแก้ไขด้วย hotfix ซึ่งจะติดตั้งอัตโนมัติสำหรับลูกค้าที่เปิดใช้งาน "Allow automatic installation of hotfixes" และเพื่อเป็นการแก้ปัญหาชั่วคราวสำหรับผู้ที่ยังไม่สามารถอัพเดทได้ Sophos แนะนำให้ผู้ใช้งานปิดการเข้าหน้า User Portal และ Webadmin interfaces จากภายนอกไปก่อน

นอกจากนี้ Sophos ได้แจ้งเวอร์ชันที่ end-of-life แล้ว ซึ่งจะไม่มีการ support การอัพเดทแพตซ์ เช่น 17.5 MR12 , MR15, 18.0 MR3 และ MR4 และ 18.5 GA จึงแนะนำให้ผู้ใช้งานรีบอัพเกรดเป็นเวอร์ชันใหม่เพื่อป้องกันผลกระทบที่อาจจะเกิดขึ้น

ที่มา : thehackernews