VMware ESXi, vCenter Server Appliance, Workstation and Fusion ปรับปรุงช่องโหว่ความปลอดภัยหลายรายการ(VMSA-2017-0021)

ช่องโหว่ที่ได้รับการแก้ไขรอบนี้ครอบคลุมทั้งหมด 4 ช่องโหว่ (CVE-2017-4933, CVE-2017-4940, CVE-2017-4941 และ CVE-2017-4943) มีผลต่อ VMware ESXi, VMware Workstation, VMware Fusion และ VMware vCenter Server Appliance, Workstation and Fusion

CVE-2017-4941 และ CVE-2017-4933 เป็นช่องโหว่เกี่ยวกับ stack overflow และ heap overflow หากโจมตีได้สำเร็จ สามารถทำการ remote code execution ผ่าน VNC ที่ได้รับการ Authenticate แล้ว

CVE-2017-4940 เป็นช่องโหว่ cross-site script มีผลต่อ ESXi Host Client ผู้บุกรุกสามารถใช้ช่องโหว่นี้ได้โดยการฝัง JavaScript ซึ่งสามารถทำงานได้เมื่อผู้ใช้รายอื่นเข้าถึง Host Client

CVE-2017-4943 เป็นช่องโหว่การเพิ่มสิทธิ์ผ่านปลั๊กอิน 'showlog' ใน vCenter Server Appliance (vCSA) หากโจมตีสำเร็จจะทำให้ผู้ใช้งานที่มีสิทธิ์ต่ำ สามารถเพิ่มสิทธิ์ของตนเองให้สูงขึ้นได้ ปัญหานี้มีผลกับ vCSA 6.5 เท่านั้น

ช่องโหว่เหล่านี่ถูกค้นพบ และรายงานโดย Alain Homewood จาก Insomnia Security, Lukasz Plonka, Lilith Wyatt และสมาชิกคนอื่นๆจาก Cisco Talos

ที่มา: blogs.

พบช่องโหว่ร้ายแรง 2 ช่องโหว่ใน vBulletin เวอร์ชัน 5 ถูกเปิดเผยโดยนักวิจัยด้าน Security จาก TRUEL IT ประเทศอิตาลี และผู้เชี่ยวชาญที่ไม่เอ่ยนาม จาก SecuriTeam

ช่องโหว่แรก(vBulletin routestring Unauthenticated Remote Code Execution) เป็นช่องโหว่ของ Local File Inclusion สามารถอ่านไฟล์ใดๆ ในระบบได้ และนำไปสู่การโจมตีแบบ Remote Code Execution สามารถสั่งรันคำสั่งที่เป็นอันตรายได้ ผ่านการส่งคำสั่ง GET โดยมีผลกระทบกับเว็บเซิฟเวอร์ที่ติดตั้ง vBulletin บน Windows เท่านั้น

ช่องโหว่ที่สอง(vBulletin cacheTemplates Unauthenticated Remote Arbitrary File Deletion) ได้รับรหัส CVE-2017-17672 เป็นปัญหา Deserialization ทำให้ผู้โจมตีที่ไม่ได้ทำการยืนยันตัวตน สามารถลบไฟล์และสั่งรันโค้ดได้

มีการรายงานช่องโหว่ให้นักพัฒนาซอฟต์แวร์ vBulletin ตั้งแต่วันที่ 21 พฤศจิกายน 2017 ที่ผ่านมาแต่ก็ยังไม่ได้รับคำตอบใด ๆ และยังไม่มี Patch ใดๆออกมา โดยทางบริษัท I-SECURE ได้ทำการ Custom Signature ขึ้นมาเองสำหรับป้องกันการโจมตีนี้ และได้ Apply ให้กับเว็บไซต์ที่อยู่ภายใต้ Cloud WAF ของ I-SECURE เรียบร้อยแล้ว

ที่มา: securityweek
ที่มา: thehackernews

Noah Dinkin, CEO ของ Stensul พบว่ามีการฝังสคริปต์ coinhive สำหรับใช้ในการขุดสกุลเงินดิจิตอล หรือ "Cryptocurrency" ใน Browser ที่ใช้งานบนเครื่องของลูกค้า เมื่อมีการใช้งาน Wi-fi ของ Starbucks ในสาขา Buenos Aires

Reggie Borges, โฆษกของ Starbucks ได้ให้สัมภาษณ์เกี่ยวกับเหตุการณ์ที่เกิดขึ้นนี้ว่า "ปัญหาด้านความปลอดภัยนี้เกิดจากผู้ให้บริการอินเตอร์เน็ต ไม่ได้เกี่ยวข้องกับ Starbucks และหลังจากทราบปัญหา ทาง Starbucks ก็ได้ติดต่อผู้ให้บริการอินเทอร์เน็ตดังกล่าว เพื่อดำเนินการแก้ไขจนสามารถกลับมาใช้งานโดยปลอดภัยแล้ว"

ทั้งนี้การฝังสคริปต์สำหรับการขุดสกุลเงินดิจิตอลบนเครื่องของผู้ใช้งานที่มีการต่อกับ Wi-fi สาธารณะ อย่างเช่นในร้านกาแฟที่มีผู้ใช้งานมากมายอย่าง Starbucks นี้ ถือว่าเป็นวิธีการที่ค่อนข้างฉลาดมาก เนื่องจากจะสามารถขุดได้ปริมาณค่อนข้างมาก แต่ก็จะถูกสังเกตเจอได้ง่ายขึ้นตามไปด้วย และถือว่าเป็นวิธีการที่ค่อนข้างน่ารังเกียจ เนื่องจากจะไปสร้างความเดือดร้อนให้แก่เจ้าของร้าน หรือกิจการนั้นๆด้วย ซึ่งค่อนข้างที่จะไม่เหมาะสม

ที่มา: motherboard

Palo Alto Networks แจ้งเตือนการแพร่ระบาดของโทรจัน UBoatRAT ในแถบเอเชีย

กลุ่มนักวิจัยด้านความปลอดภัยจาก Palo Alto Networks ได้ประกาศแจ้งเตือนการค้นพบการแพร่กระจายของมัลแวร์ประเภทโทรจันหรือ RAT "UBoatRAT" ซึ่งพุ่งเป้าการโจมตีในแถบเอเชีย

มัลแวร์ UBoatRAT ใช้วิธีการแพร่กระจายผ่านทางลิงค์แชร์ไฟล์ซึ่งอยู่บนบริการของ Google Drive โดยมัลแวร์จะมีการดึงรายการของเซิร์ฟเวอร์ที่ใช้ในการสั่งการและควบคุม (C&C servers) บน GitHub และใช้ฟีเจอร์ BITS ของวินโดวส์ในการดาวโหลดและฝังตัวในระบบต่างๆ กระบวนการติดต่อกับ C&C server นั้นถูกออกแบบให้ใช้โปรโตคอลที่มีการเข้ารหัสแบบเฉพาะ

เมื่อเริ่มต้นทำงาน มัลแวร์ UBoatRAT จะมีการคัดลอกตัวเองไปยังพาธ C:\programdata\svchost.

Cisco ออก Patch อุดช่องโหว่ WebEx ซึ่งเป็นแพลตฟอร์มของการติดต่อสื่อสารหรือประชุมออนไลน์ ที่มีช่องโหว่ความรุนแรงระดับ Critical ส่งผลให้ผู้โจมตีสามารถทำ Remote Code Execution ได้
ช่องโหว่ 6 รายการ ส่งผลกระทบต่อ WebEx Network Recording Player สำหรับ Advanced Recording Format (ARF) และไฟล์ WebEx Recording Format (WRF) ทำให้ผู้บุกรุกสามารถโจมตีได้จากระยะไกลเพื่อทำให้เกิด Denial-of-Service (DoS) ในซอฟต์แวร์และอาจจะรันโค้ดที่เป็นอันตรายโดยการหลอกให้เหยื่อเปิดไฟล์ ARF หรือ WRF ที่สร้างขึ้นมาเป็นพิเศษ และผู้บุกรุกยังสามารถส่งไฟล์ที่เป็นอันตรายไปยังเหยื่อได้ทางอีเมลล์หรือสั่งให้เปิดเว็บโฮสติ้งได้อีกด้วย

ช่องโหว่ที่ได้รับการแก้ไข ได้แก่ WebEx Business Suite meeting sites, WebEx Meetings sites, WebEx Meetings Server, และ WebEx ARF และ WRF Players Cisco ให้ข้อมูลรายละเอียดเกี่ยวกับเวอร์ชันที่ได้รับผลกระทบและการแก้ไข โดยช่องโหว่ได้รับรหัส CVE ดังต่อไปนี้ : CVE-2017-12367, CVE-2017-12368, CVE-2017-12369, CVE-2017-12370, CVE-2017-12371 และ CVE-2017-12372
ช่องโหว่เหล่านี้ถูกรายงานโดย Andrea Micalizzi (rgod) และ Steven Seeley จาก Offensive Security โดยใช้ Zero Day Initiative ของ Trend Micro (ZDI)

ที่มา: securityweek

ทีมความปลอดภัยจาก Google พบ Adroid Malware ตัวใหม่ชื่อว่า Tizi ซึ่งถูกใช้กับเป้าหมายในประเทศแถบแอฟริกา ถูกจัดให้อยู่ในหมวด Spyware ซึ่งทาง Google บอกว่า malware ตัวนี้มีความสามารถหลากหลาย แต่จะมุ่งเน้นไปในส่วนของแอพพลิเคชั่น และกิจกรรมบนเครื่องที่เกี่ยวข้องกับ Social Media เป็นหลัก

กลุ่มวิเคราะห์ภัยคุกคาม และวิศวกรด้านความปลอดภัยของ Google Play Protection ได้ระบุว่า Tizi สามารถถูกใช้เพื่อจุดประสงค์ ดังต่อไปนี้

ขโมยข้อมูลจากแอพพลิเคชั่น social media ที่มีชื่อเสียงต่างๆ เช่น Facebook,Twitter,Whatsapp, Skype และ LinkedIn เป็นต้น
สามารถบันทึกการสนทนาจาก WhatsApp, Viber และ Skype
สามารถบันทึกภาพหน้าจอโดยไม่แจ้งเตือนผู้ใช้งาน
สามารถส่ง หรือดักข้อความ SMS บนเครื่องเหยื่อ
ส่งข้อมูล GPS ของเครื่องผ่าน SMS ไปยัง C&C
อื่นๆ

วิศวกรจาก Google ยังกล่าวว่า Tizi ถูกพบตั้งแต่กันยายน 2017 จากการสแกนโดยใช้ Google Play Protect ทำให้พบแอพพลิเคชั่นที่มีการติด malware ตัวนี้ถูกลงไว้บนเครื่องของผู้ใช้งาน เมื่อทำการตรวจสอบย้อนหลังพบว่ามีแอพพลิเคชั่นที่ติด malware ตัวนี้ตั้งแต่ปี 2015 ซึ่งทาง Google ได้บล็อกบัญชีผู้พัฒนาแอพพลิเคชั่นดังกล่าว และทำการลบแอพพลิเคชั่นดังกล่าวออกจากเครื่องที่มีการติดตั้งแล้ว จากข้อมูลที่นักวิจัยรวบรวมมาพบว่าผู้ได้รับผลกระทบส่วนใหญ่อยู่ในแอฟริกา และใช้ช่องโหว่เก่าในการโจมตีเครื่อง ทำให้เครื่องที่มีการ patch ตั้งแต่ เมษายน 2016 เป็นต้นมาจะไม่ได้รับผลกระทบจากช่องโหว่ข้างต้น
Google ได้แนะนำขั้นตอนสำหรับการเพิ่มความปลอดภัยบนเครื่อง Android ของตนเอง ดังนี้

1. ตรวจสอบความผิดปกติของสิทธิ์บนแอพพลิเคชั่นที่ได้อนุญาตให้เข้าถึงความสามารถต่างๆบนเครื่อง เช่น เป็นแอพพลิเคชั่น flashlight แต่มีการร้องขอการเข้าถึง SMS บนเครื่อง เป็นต้น
2. เปิดใช้งาน Lock Screen บนเครื่องเพื่อความปลอดภัย
3. Patch เครื่องของตนเองให้เป็นระบบปฏิบัติการล่าสุดอยู่เสมอ
4. ตั้งค่าให้เครื่องแสดงตำแหน่งของตนเอง สำหรับการระบุตำแหน่งของเครื่องได้เมื่อสูญหาย
5. เปิดใช้งาน Google Play Protection เพื่อป้องกันการลงแอพพลิเคชั่นที่มีความเสี่ยง และช่วย Scan เครื่องเพื่อตรวจสอบความปลอดภัย

ที่มา: bleepingcomputer