ทีมงาน I-SECURE ขอประมวลเหตุการณ์ช่องโหว่ ที่จัดอยู่ในระดับความรุนแรงสูงมาก พร้อมผลทดสอบการป้องกันการโจมตี ของ Log4j หรืออีกชื่อหนึ่ง Log4Shell โดยมีหมายเลขช่องโหว่เป็น CVE-2021-44228 ที่ผ่านมาตลอด 1 สัปดาห์

เมื่อวันที่ 10 ธันวาคม 2564 ได้มีการเผยแพร่รายละเอียดข้อมูลช่องโหว่ระดับความรุนแรงสูงมาก Log4j โดยทาง govinfosecurity ซึ่งเป็นบริษัทที่เชี่ยวชาญด้านการรักษาความปลอดภัยข้อมูล การจัดการความเสี่ยง ความเป็นส่วนตัว และการฉ้อโกง ISMG ของสหรัฐอเมริกา ให้ข้อมูลถึงระดับความรุนแรง ผลกระทบที่เกิดขึ้นกับแอพพลิเคชั่นจำนวนมากที่ใช้ภายในองค์กร พร้อมคำแนะนำจากสำนักงานความปลอดภัยทางไซเบอร์ของสหรัฐอเมริกา
ซึ่งสามารถดูรายละเอียดได้ที่ : https://www.

ผู้ไม่หวังดีเริ่มใช้ประโยชน์จากข่าวไวรัสโควิดสายพันธุ์ใหม่ Omicron หลอกเหยื่อด้วยฟิชชิ่ง

ผู้ไม่หวังดีใช้ประโยชน์จากข่าวการเกิดขึ้นของไวรัสโควิด Omicron ที่กำลังได้รับความสนใจเป็นอย่างมาก ทำให้ตอนนี้ถูกนำมาใช้เป็นเหยื่อล่อในแคมเปญอีเมลที่เป็นอันตราย

โดยผู้ไม่หวังดีสามารถปรับตัวให้เข้ากับเทรนด์ล่าสุด และประเด็นร้อนแรงอย่างรวดเร็ว เนื่องจากการเพิ่มความกลัวให้กับผู้คนเป็นวิธีที่ดีที่สุดในการทำให้เหยื่อรีบเปิดอีเมลอ่านโดยไม่คิดให้รอบคอบก่อน

จากกรณีที่เป็นข่าวว่า "มีนักวิทยาศาสตร์กังวลเกี่ยวกับการแพร่เชื้อในระดับสูง และความไร้ประสิทธิผลของวัคซีนที่มีอยู่ต่อการกลายพันธุ์"

ทำให้มันเป็นหัวข้อที่เหมาะสำหรับฟิชชิ่งเป็นอย่างมาก เพราะแม้แต่ผู้ที่ได้รับวัคซีนไปแล้วก็ยังกังวลว่าพวกเขาก็อาจจะได้รับผลกระทบ

แคมเปญฟิชชิ่งนี้ ได้มุ่งเป้าไปที่สหราชอาณาจักร (UK)

องค์กรคุ้มครองผู้บริโภคของสหราชอาณาจักรได้มีการเผยแพร่ตัวอย่างอีเมลฟิชชิ่ง 2 ฉบับ ซึ่งอ้างว่าเป็นอีเมลจากองค์กรบริการสุขภาพแห่งชาติของสหราชอาณาจักร (NHS) เตือนเกี่ยวกับไวรัสโควิดสายพันธุ์ใหม่ Omicron

อีเมลเหล่านี้เสนอการตรวจ PCR test เพื่อตรวจหาเชื้อไวรัสโควิด Omicron ฟรี และใช้ชื่ออีเมล ‘contact-nhs@nhscontact.

Vietnam targeted in complex supply chain attack

นักวิจัยพบการโจมตี Supply Chain Attack ใน Vietnam Government Certification Authority (VGCA) ซึ่งมีผลต่อบริษัทเอกชนและหน่วยงานของรัฐเวียดนาม

ตามรายงานที่มีชื่อว่า "Operation SignSight" จากบริษัทรักษาความปลอดภัย ESET ซึ่งได้เปิดเผยรายละเอียดเกี่ยวกับกลุ่มแฮกเกอร์ลึกลับที่ได้ทำการโจมตี ในลักษณะ Supply-chain Attack ต่อบริษัทเอกชนเวียดนามและหน่วยงานของรัฐโดยการแทรกมัลแวร์เข้าไปในชุดเครื่องมือซอฟต์แวร์ของรัฐบาล

กลุ่มแฮกเกอร์ได้กำหนดเป้าหมายการโจมตีไปยัง Vietnam Government Certification Authority (VGCA) ซึ่งเป็นองค์กรของรัฐบาลที่ออกใบรับรองดิจิทัลที่สามารถใช้ในการลงนามในเอกสารทางอิเล็กทรอนิกส์ได้ ซึ่งจะทำให้พลเมืองเวียดนาม, บริษัทเอกชนและแม้แต่หน่วยงานของรัฐอื่นๆ ที่ต้องการส่งไฟล์ไปยังรัฐบาลเวียดนามและจะต้องลงนามในเอกสารของตนด้วยใบรับรองดิจิทัลที่รองรับ VGCA มีความเสี่ยงจากการดาวน์โหลดและติดตั้งแอปพลิเคชันไคลเอ็นต์ที่ถูกใช้ในกระบวนการลงนามเแบบอัตโนมัติ

ESET กล่าวว่าแฮกเกอร์ได้ทำการบุกรุกเข้าไปในเว็บไซต์ของหน่วยงานคือ ca.

Multi-platform card skimmer found on Shopify, BigCommerce stores

นักวิจัยพบสคริปต์ Skimmer ชนิดใหม่ที่สามารถรวบรวมข้อมูลการชำระเงินของร้านค้าที่ถูกบุกรุกอย่างเช่น Shopify และ BigCommerce

นักวิจัยจากบริษัทรักษาความปลอดภัยทางไซเบอร์ Sansec ได้เปิดเผยถึงสคริปต์ Skimmer (Magecart) ชนิดใหม่ที่มีความสามารถในการรวบรวมข้อมูลการชำระเงินของร้านค้าที่ถูกบุกรุกอย่างเช่น Shopify, BigCommerce, Zencart และ Woocommerce

นักวิจัยจาก Sansec กล่าวว่า Skimmer ชนิดใหม่นี้จะใช้ระบบโฮสต์อีคอมเมิร์ซ เช่น Shopify และ BigCommerce ในทางที่ผิด โดยจะทำการแสดงหน้าการชำระเงินปลอมก่อนที่ลูกค้าจะเข้าสู่แบบฟอร์มการชำระเงินจริงและใช้ keylogger เพื่อบัญทึกข้อมูลการชำระเงินและข้อมูลส่วนบุคคล จากนั้นจะแสดงข้อผิดพลาดในการชำระเงินและเมื่อผู้ใช้ทำการกดปุ่ม "ดำเนินการต่อ" ข้อมูลที่ถูกบันทึกจะถูกส่งกลับไปยังผู้ประสงค์ร้ายและจะทำการรีไดเร็คกลับไปยังขั้นตอนการชำระเงินและแบบฟอร์มการชำระเงินที่ถูกต้องตามกฎหมายใหม่อีกครั้งเพื่อเป็นการเพื่อหลบเลี่ยงการตรวจจับ

นักวิจัยยังกล่าวอีกว่าจากการวิเคราะห์การ exfiltrate ของ Skimmer ชนิดใหม่นี้ โดยข้อมูลจะถูกส่งไปยังโดเมนที่สร้างขึ้นโดยอัตโนมัติและเข้ารหัสโดยใช้การเข้ารหัสแบบ base64 ซึ่งตัวอย่างของโดเมนดังกล่าว ได้แก่ zg9tywlubmftzw5ldza[.]com, zg9tywlubmftzw5ldze[.]com และอื่นๆ

ทั้งนี้ผู้ใช้งานต้องมีความระมัดระวังในการใช้งานเว็บไซต์ Online Store และควรทำการตรวจยอดเงินการใช้จ่ายบัตรเคดิตอยู่เสมอ หากพบยอดชำระผิดปกติให้ทำการติดต่อธนาคารเพื่อเเจ้งยกเลิกบัตร

ที่มา: bleepingcomputer

DHS warns against using Chinese hardware and digital services

DHS ออกเตือนถึงการใช้อุปกรณ์ฮาร์ดแวร์และบริการทางดิจิทัลที่มีการเชื่อมโยงกับบริษัทจากจีน

กระทรวงความมั่นคงแห่งมาตุภูมิของสหรัฐฯ หรือ The US Department of Homeland Security (DHS) ได้ออกแจ้งเตือนถึงบริษัทและองค์กรในสหรัฐฯ ไม่ให้ใช้อุปกรณ์ฮาร์ดแวร์และบริการทางดิจิทัลที่สร้างขึ้นหรือเชื่อมโยงกับบริษัทจากจีน

DHS กล่าวว่าผลิตภัณฑ์จากจีนอาจมีแบ็คดอร์ จุดบกพร่องหรือกลไกในการรวบรวมข้อมูลที่ซ่อนอยู่ซึ่งทางการจีนสามารถใช้เพื่อรวบรวมข้อมูลจากบริษัทและส่งต่อข้อมูลไปยังคู่แข่งทางการค้าที่อยู่ภายในประเทศจีนเพื่อขยายเป้าหมายทางเศรษฐกิจของจีน โดยหน่วยงาน DHS กล่าวต่อว่าอุปกรณ์และบริการทั้งหมดที่เชื่อมโยงกับบริษัทจากจีนควรได้รับการพิจารณาว่าเป็นความปลอดภัยทางไซเบอร์และความเสี่ยงทางธุรกิจ

ทั้งนี้ DHS ได้ระบุถึงกฎหมายความมั่นคงแห่งชาติของจีนจะอนุญาตให้รัฐบาลสามารถบีบบังคับบริษัทเอกชนท้องถิ่นและพลเมืองใดๆ ให้ปรับเปลี่ยนผลิตภัณฑ์และมีส่วนร่วมในการจารกรรมหรือขโมยทรัพย์สินทางปัญญา โดยแนวทางปฏิบัติที่ให้รัฐบาลจีนสามารถเข้าถึงข้อมูลที่ละเอียดอ่อนโดยไม่ได้รับอนุญาตทั้งส่วนบุคคลและที่เป็นกรรมสิทธิ์ทำให้เศรษฐกิจและธุรกิจของสหรัฐฯตกอยู่ในความเสี่ยงโดยตรงจากการแสวงหาผลประโยชน์ ซึ่ง DHS ขอให้ธุรกิจต่างๆ ใช้ความระมัดระวังก่อนที่จะทำข้อตกลงใด ๆ กับบริษัทที่เชื่อมโยงกับรัฐบาลจีน

ที่มา: zdnet

CrowdStrike releases free Azure security tool after failed hack

CrowdStrike ออกเครื่องมือช่วยตรวจสอบ Microsoft Azure ฟรีหลังจากที่ถูกพยายามทำการบุกรุกระบบอีเมล

วันที่ 15 ธันวาคมที่ผ่านมา CrowdStrike ได้รับแจ้งจาก Microsoft ถึงการพยายามอ่านอีเมลของบริษัทผ่าน Credential ของ Microsoft Azure ที่ถูกบุกรุก

สืบเนื่องมาจากเมื่อต้นเดือนที่ผ่านมามีการค้นพบว่าซอฟต์แวร์ SolarWinds Orion ประสบปัญหาการถูกโจมตีทางอินเทอร์เน็ต ซึ่งผู้ประสงค์ร้ายได้ปรับเปลี่ยนซอฟต์แวร์เพื่อติดตั้งแบ็คดอร์บนเครือข่ายของลูกค้าจึงเป็นผลทำให้บริษัทและองค์กรต่างๆ ได้รับผลกระทบจากการโจมตี Supply-chain attack ผ่านซอฟต์แวร์ SolarWinds Orion

ตามรายงานการแจ้งเตือนระบุว่า Microsoft ได้สังเกตเห็นว่ามีการเรียกใช้ Microsoft cloud APIs ผิดปกติในช่วงเวลา 17 ชั่วโมงเมื่อหลายเดือนก่อนและมีความพยายามในการอ่านอีเมล Office 365 เพื่อเข้าถึงอีเมลของ CrowdStrike เนื่องจาก CrowdStrike ไม่ใช้ Office 365 การโจมตีดังกล่าวจึงล้มเหลว โดย Microsoft ได้เปิดเผยว่าข้อมูล Credential และโทเค็นการเข้าถึง Microsoft Azure สำหรับบัญชีผู้ค้าถูกขโมยไป Microsoft จึงได้ตั้งข้อสันนิษฐานผู้ประสงค์ร้ายได้ใช้ข้อมูลดังกล่าวเพื่อใช้ในการกำหนดเป้าหมายลูกค้า Microsoft Azure ของ Microsoft

หลังจากได้รับการแจ้งเตือน CrowdStrike ได้ทำการวิเคราะห์ Environment ต่างๆ ของ Microsoft Azure และพบว่าไม่มีการบุกรุก อย่างไรก็ตามในระหว่างการวิเคราะห์นี้ CrowdStrike จัดทำเครื่องมือที่ชื่อว่า CrowdStrike Reporting Tool สำหรับ Azure (CRT) เพื่อที่จะช่วยให้ผู้ดูแลระบบ Microsoft Azure สามารถทำการตรวจสอบและทำการวิเคราะห์ Environment ต่างๆ ของ Microsoft Azure ของท่านได้ โดยผู้ดูแลระบบที่สนใจเครื่องมือดังกล่าวสามารถเข้าไปอ่านรายละเอียดได้ที่: https://github.

Windows zero-day with bad patch gets new public exploit code

 

นักวิจัยค้นพบช่องโหว่ในแพตช์ความปลอดภัยของ Microsoft ที่ออกแก้ไขช่องโหว่ CVE-2020-0986

Maddie Stone นักวิจัยด้านความปลอดภัยจาก Google Project Zero ได้ออกมาเปิดเผยถึงการค้นพบว่าแพตช์ความปลอดภัยของ Microsoft ที่ออกแก้ไขช่องโหว่ CVE-2020-0986 ในเดือนมิถุนายนที่ผ่านมายังไม่ได้แก้ไขช่องโหว่อย่างสมบูรณ์และยังสามารถใช้ประโยชน์จากช่องโหว่ผ่านการโจมตีได้ โดยการปรับเปลี่ยนออฟเซ็ตของ pointer บางอย่างที่จะทำให้ผู้โจมตีสามารถเพิ่มสิทธิ์ในระดับเคอร์เนลบนเครื่องที่ถูกบุกรุกได้

ช่องโหว่ได้ถูกระบุรหัสใหม่คือ CVE-2020-17008 โดยช่องโหว่เกิดจากข้อผิดพลาดใน arbitrary pointer dereference ซึ่งจะช่วยให้ผู้โจมตีสามารถเข้าควบคุม “src” และ “dest” pointer ที่ถูกส่งไปยังฟังก์ชั่น memcpy และส่งผลให้เกิดเงื่อนไขที่ผู้โจมตีสามารถยกระดับสิทธิ์ในระบบได้

ทั้งนี้ Microsoft ได้รับรายงานเกี่ยวกับช่องโหว่แล้วเมื่อวันที่ 24 กันยายนที่ผ่านมา โดย Microsoft มีเวลา 90 วันในการแก้ไขช่องโหว่ก่อนที่ทาง Google Project Zero จะเปิดเผยช่องโหว่สู่สาธารณะ

ที่มา: bleepingcomputer

Fake Amazon Order Confirmations Push Banking Trojans on Holiday Shoppers

EdgeWave บริษัทรักษาความปลอดภัยเกี่ยวกับอีเมล ค้นพบแคมเปญ Phishing และ Malspam โดยผู้โจมตีจะส่งอีเมลที่ปลอมเป็นหน้ายืนยันการสั่งซื้อของ Amazon ที่ดูน่าเชื่อถือ และมีหัวข้อ (Subject) ของอีเมลว่า "Your Amazon.

Huawei Router Flaw Leaks Default Credential Status

พบช่องโหว่ในเราเตอร์ Huawei (CVE-2018-7900) ส่งผลให้ผู้ไม่หวังดีสามารถรู้ได้ว่าเราเตอร์ใช้ default password อยู่หรือไม่

ช่องโหว่ดังกล่าวส่งผลให้เว็บไซต์อย่าง ZoomEye หรือ Shodan ที่ใช้สำหรับค้นหารายการอุปกรณ์ที่มีช่องโหว่ทั่วโลก สามารถทราบได้ว่ามีเราเตอร์ตัวไหนบ้างที่มีการใช้ default password อยู่ โดยเป็นปัญหาที่มาจากตัวแปรบางตัวของ html source code ในหน้า Login ที่มีการเก็บค่าเฉพาะบางอย่างที่สามารถบ่งบอกได้ว่าอุปกรณ์มีการใช้ default password อยู่หรือไม่

Huawei ได้แก้ไขปัญหาดังกล่าวแล้ว โดยไม่มีการเปิดเผยรายละเอียดของช่องโหว่หรือจำนวนอุปกรณ์ที่ได้รับผลกระทบ

ที่มา: threatpost

File Inclusion Bug in Kibana Console for Elasticsearch Gets Exploit Code

พบช่องโหว่ Local File Inclusion (LFI) ในปลั๊กอิน Kibana data visualization tool ใช้สำหรับแสดงผลข้อมูลจาก Elasticsearch

Kibana เป็นเครื่องมือที่ถูกใช้อย่างแพร่หลายเพื่อแสดงผลข้อมูลจาก Elasticsearch ให้อยู่ในรูปแบบต่างๆ มีประโยชน์สำหรับการวิเคราะห์ข้อมูลและการสร้างภาพข้อมูลในรูปแบบต่างๆ จาก PoC code ที่ได้มีการเผยแพร่ออกมาเป็นเพียง code 1 บรรทัดที่มีตัวอักษรประมาณ 110 ตัว ซึ่งใน code จะมีการระบุถึงพาธของ Directory ที่ใช้เก็บ Password (/etc/passwd) รวมอยู่ด้วย เมื่อมีการรัน credential ที่อยู่ในพาธดังกล่าวจะถูกบันทึกไปยัง Kibana Log ด้วย

ช่องโหว่ดังกล่าวส่งผลให้ผู้โจมตีสามารถอัปโหลดสคริปต์ที่เป็นอันตรายและสามารถเข้าถึงระบบจากระยะ มีผลกระทบต่อ Kibana เวอร์ชั่นก่อน 6.4.3 และ 5.6.13 ซึ่งทีม Slow Mist Technology เป็นผู้เปิดเผยรายละเอียดของช่องโหว่ CVE-2018-17246

แนะนำให้ผู้ใช้งานอัพเกรด Elastic Stack เป็นเวอร์ชันใหม่กว่า 6.4.3 หรือ 5.6.13 หรือปิดการใช้ปลั๊กอิน Kibana ซึ่งสามารถทำได้จากการกำหนดค่า ('kibana.