DHS warns against using Chinese hardware and digital services

DHS ออกเตือนถึงการใช้อุปกรณ์ฮาร์ดแวร์และบริการทางดิจิทัลที่มีการเชื่อมโยงกับบริษัทจากจีน

กระทรวงความมั่นคงแห่งมาตุภูมิของสหรัฐฯ หรือ The US Department of Homeland Security (DHS) ได้ออกแจ้งเตือนถึงบริษัทและองค์กรในสหรัฐฯ ไม่ให้ใช้อุปกรณ์ฮาร์ดแวร์และบริการทางดิจิทัลที่สร้างขึ้นหรือเชื่อมโยงกับบริษัทจากจีน

DHS กล่าวว่าผลิตภัณฑ์จากจีนอาจมีแบ็คดอร์ จุดบกพร่องหรือกลไกในการรวบรวมข้อมูลที่ซ่อนอยู่ซึ่งทางการจีนสามารถใช้เพื่อรวบรวมข้อมูลจากบริษัทและส่งต่อข้อมูลไปยังคู่แข่งทางการค้าที่อยู่ภายในประเทศจีนเพื่อขยายเป้าหมายทางเศรษฐกิจของจีน โดยหน่วยงาน DHS กล่าวต่อว่าอุปกรณ์และบริการทั้งหมดที่เชื่อมโยงกับบริษัทจากจีนควรได้รับการพิจารณาว่าเป็นความปลอดภัยทางไซเบอร์และความเสี่ยงทางธุรกิจ

ทั้งนี้ DHS ได้ระบุถึงกฎหมายความมั่นคงแห่งชาติของจีนจะอนุญาตให้รัฐบาลสามารถบีบบังคับบริษัทเอกชนท้องถิ่นและพลเมืองใดๆ ให้ปรับเปลี่ยนผลิตภัณฑ์และมีส่วนร่วมในการจารกรรมหรือขโมยทรัพย์สินทางปัญญา โดยแนวทางปฏิบัติที่ให้รัฐบาลจีนสามารถเข้าถึงข้อมูลที่ละเอียดอ่อนโดยไม่ได้รับอนุญาตทั้งส่วนบุคคลและที่เป็นกรรมสิทธิ์ทำให้เศรษฐกิจและธุรกิจของสหรัฐฯตกอยู่ในความเสี่ยงโดยตรงจากการแสวงหาผลประโยชน์ ซึ่ง DHS ขอให้ธุรกิจต่างๆ ใช้ความระมัดระวังก่อนที่จะทำข้อตกลงใด ๆ กับบริษัทที่เชื่อมโยงกับรัฐบาลจีน

ที่มา: zdnet

CrowdStrike releases free Azure security tool after failed hack

CrowdStrike ออกเครื่องมือช่วยตรวจสอบ Microsoft Azure ฟรีหลังจากที่ถูกพยายามทำการบุกรุกระบบอีเมล

วันที่ 15 ธันวาคมที่ผ่านมา CrowdStrike ได้รับแจ้งจาก Microsoft ถึงการพยายามอ่านอีเมลของบริษัทผ่าน Credential ของ Microsoft Azure ที่ถูกบุกรุก

สืบเนื่องมาจากเมื่อต้นเดือนที่ผ่านมามีการค้นพบว่าซอฟต์แวร์ SolarWinds Orion ประสบปัญหาการถูกโจมตีทางอินเทอร์เน็ต ซึ่งผู้ประสงค์ร้ายได้ปรับเปลี่ยนซอฟต์แวร์เพื่อติดตั้งแบ็คดอร์บนเครือข่ายของลูกค้าจึงเป็นผลทำให้บริษัทและองค์กรต่างๆ ได้รับผลกระทบจากการโจมตี Supply-chain attack ผ่านซอฟต์แวร์ SolarWinds Orion

ตามรายงานการแจ้งเตือนระบุว่า Microsoft ได้สังเกตเห็นว่ามีการเรียกใช้ Microsoft cloud APIs ผิดปกติในช่วงเวลา 17 ชั่วโมงเมื่อหลายเดือนก่อนและมีความพยายามในการอ่านอีเมล Office 365 เพื่อเข้าถึงอีเมลของ CrowdStrike เนื่องจาก CrowdStrike ไม่ใช้ Office 365 การโจมตีดังกล่าวจึงล้มเหลว โดย Microsoft ได้เปิดเผยว่าข้อมูล Credential และโทเค็นการเข้าถึง Microsoft Azure สำหรับบัญชีผู้ค้าถูกขโมยไป Microsoft จึงได้ตั้งข้อสันนิษฐานผู้ประสงค์ร้ายได้ใช้ข้อมูลดังกล่าวเพื่อใช้ในการกำหนดเป้าหมายลูกค้า Microsoft Azure ของ Microsoft

หลังจากได้รับการแจ้งเตือน CrowdStrike ได้ทำการวิเคราะห์ Environment ต่างๆ ของ Microsoft Azure และพบว่าไม่มีการบุกรุก อย่างไรก็ตามในระหว่างการวิเคราะห์นี้ CrowdStrike จัดทำเครื่องมือที่ชื่อว่า CrowdStrike Reporting Tool สำหรับ Azure (CRT) เพื่อที่จะช่วยให้ผู้ดูแลระบบ Microsoft Azure สามารถทำการตรวจสอบและทำการวิเคราะห์ Environment ต่างๆ ของ Microsoft Azure ของท่านได้ โดยผู้ดูแลระบบที่สนใจเครื่องมือดังกล่าวสามารถเข้าไปอ่านรายละเอียดได้ที่: https://github.

Windows zero-day with bad patch gets new public exploit code

 

นักวิจัยค้นพบช่องโหว่ในแพตช์ความปลอดภัยของ Microsoft ที่ออกแก้ไขช่องโหว่ CVE-2020-0986

Maddie Stone นักวิจัยด้านความปลอดภัยจาก Google Project Zero ได้ออกมาเปิดเผยถึงการค้นพบว่าแพตช์ความปลอดภัยของ Microsoft ที่ออกแก้ไขช่องโหว่ CVE-2020-0986 ในเดือนมิถุนายนที่ผ่านมายังไม่ได้แก้ไขช่องโหว่อย่างสมบูรณ์และยังสามารถใช้ประโยชน์จากช่องโหว่ผ่านการโจมตีได้ โดยการปรับเปลี่ยนออฟเซ็ตของ pointer บางอย่างที่จะทำให้ผู้โจมตีสามารถเพิ่มสิทธิ์ในระดับเคอร์เนลบนเครื่องที่ถูกบุกรุกได้

ช่องโหว่ได้ถูกระบุรหัสใหม่คือ CVE-2020-17008 โดยช่องโหว่เกิดจากข้อผิดพลาดใน arbitrary pointer dereference ซึ่งจะช่วยให้ผู้โจมตีสามารถเข้าควบคุม “src” และ “dest” pointer ที่ถูกส่งไปยังฟังก์ชั่น memcpy และส่งผลให้เกิดเงื่อนไขที่ผู้โจมตีสามารถยกระดับสิทธิ์ในระบบได้

ทั้งนี้ Microsoft ได้รับรายงานเกี่ยวกับช่องโหว่แล้วเมื่อวันที่ 24 กันยายนที่ผ่านมา โดย Microsoft มีเวลา 90 วันในการแก้ไขช่องโหว่ก่อนที่ทาง Google Project Zero จะเปิดเผยช่องโหว่สู่สาธารณะ

ที่มา: bleepingcomputer

Fake Amazon Order Confirmations Push Banking Trojans on Holiday Shoppers

EdgeWave บริษัทรักษาความปลอดภัยเกี่ยวกับอีเมล ค้นพบแคมเปญ Phishing และ Malspam โดยผู้โจมตีจะส่งอีเมลที่ปลอมเป็นหน้ายืนยันการสั่งซื้อของ Amazon ที่ดูน่าเชื่อถือ และมีหัวข้อ (Subject) ของอีเมลว่า "Your Amazon.

Huawei Router Flaw Leaks Default Credential Status

พบช่องโหว่ในเราเตอร์ Huawei (CVE-2018-7900) ส่งผลให้ผู้ไม่หวังดีสามารถรู้ได้ว่าเราเตอร์ใช้ default password อยู่หรือไม่

ช่องโหว่ดังกล่าวส่งผลให้เว็บไซต์อย่าง ZoomEye หรือ Shodan ที่ใช้สำหรับค้นหารายการอุปกรณ์ที่มีช่องโหว่ทั่วโลก สามารถทราบได้ว่ามีเราเตอร์ตัวไหนบ้างที่มีการใช้ default password อยู่ โดยเป็นปัญหาที่มาจากตัวแปรบางตัวของ html source code ในหน้า Login ที่มีการเก็บค่าเฉพาะบางอย่างที่สามารถบ่งบอกได้ว่าอุปกรณ์มีการใช้ default password อยู่หรือไม่

Huawei ได้แก้ไขปัญหาดังกล่าวแล้ว โดยไม่มีการเปิดเผยรายละเอียดของช่องโหว่หรือจำนวนอุปกรณ์ที่ได้รับผลกระทบ

ที่มา: threatpost

File Inclusion Bug in Kibana Console for Elasticsearch Gets Exploit Code

พบช่องโหว่ Local File Inclusion (LFI) ในปลั๊กอิน Kibana data visualization tool ใช้สำหรับแสดงผลข้อมูลจาก Elasticsearch

Kibana เป็นเครื่องมือที่ถูกใช้อย่างแพร่หลายเพื่อแสดงผลข้อมูลจาก Elasticsearch ให้อยู่ในรูปแบบต่างๆ มีประโยชน์สำหรับการวิเคราะห์ข้อมูลและการสร้างภาพข้อมูลในรูปแบบต่างๆ จาก PoC code ที่ได้มีการเผยแพร่ออกมาเป็นเพียง code 1 บรรทัดที่มีตัวอักษรประมาณ 110 ตัว ซึ่งใน code จะมีการระบุถึงพาธของ Directory ที่ใช้เก็บ Password (/etc/passwd) รวมอยู่ด้วย เมื่อมีการรัน credential ที่อยู่ในพาธดังกล่าวจะถูกบันทึกไปยัง Kibana Log ด้วย

ช่องโหว่ดังกล่าวส่งผลให้ผู้โจมตีสามารถอัปโหลดสคริปต์ที่เป็นอันตรายและสามารถเข้าถึงระบบจากระยะ มีผลกระทบต่อ Kibana เวอร์ชั่นก่อน 6.4.3 และ 5.6.13 ซึ่งทีม Slow Mist Technology เป็นผู้เปิดเผยรายละเอียดของช่องโหว่ CVE-2018-17246

แนะนำให้ผู้ใช้งานอัพเกรด Elastic Stack เป็นเวอร์ชันใหม่กว่า 6.4.3 หรือ 5.6.13 หรือปิดการใช้ปลั๊กอิน Kibana ซึ่งสามารถทำได้จากการกำหนดค่า ('kibana.

Latin America suffers 1 billion malware attacks in 2018

ในละตินอเมริกาพบการโจมตีของมัลแวร์เฉลี่ย 3.7 ล้านรายต่อวัน รวมแล้วประมาณ 1 พันล้านครั้งต่อปีตามรายงานของ Kaspersky Lab ตัวเลขดังกล่าวบ่งชี้ว่ามีการโจมตีของมัลแวร์เพิ่มขึ้นร้อยละ 14.5 ในภูมิภาคตั้งแต่เดือนพฤศจิกายน 2017จนถึงเดือนพฤศจิกายน 2018

ประเทศแถบละตินที่เป็นเป้าหมายของการโจมตีมากที่สุดคืออาร์เจนตินาซึ่งมีการโจมตีของมัลแวร์เพิ่มขึ้นราว 62% ตามด้วยเปรู 39% และเม็กซิโก 35% ซึ่งเพิ่มจำนวนการโจมตีมากขึ้น บริษัทรักษาความปลอดภัยทางไซเบอร์ตรวจสอบพบการโจมตี 192,000 ครั้งต่อวันมีจำนวนเพิ่มขึ้นประมาณ 115% เมื่อเทียบกับช่วงเดือนพฤศจิกายนในปี 2016 กับพฤศจิกายนในปี 2017

ประเทศในแถบละตินอเมริกาที่พบการโจมตีแบบฟิชชิ่ง (Phishing) มากที่สุดคือประเทศเม็กซิโกครองอันดับหนึ่ง ซึ่งพบการโจมตีฟิชชิ่งเพิ่มขึ้นประมาณ 120% ตามมาด้วยโคลัมเบียประมาณ 118% และบราซิล 110 %

สัปดาห์ที่ผ่านมาปรากฏว่ามีผู้ใช้บริการธนาคารผ่านระบบมือถือกว่า 2,000 รายในบราซิลที่ดาวน์โหลดมัลแวร์ผ่านทางระบบแอนดรอยด์โดยไม่รู้ตัว ซึ่งทำให้อุปกรณ์ถูกควบคุมรวมถึงขโมยข้อมูลส่วนบุคคลอีกด้วย เช่นเดียวกับธนาคาร Bradesco สถาบันทางการเงินที่ใหญ่เป็นอันดับสองของประเทศบราซิลพบว่าถูกโจมตีด้วยการทำฟิชชิ่งผ่านการใช้มัลแวร์บนระบบปฏิบัติการแอนดรอยด์ นอกจากนี้มัลแวร์ยังมีการหลอกขโมยข้อมูลจากแอพพลิเคชั่นอื่นๆ เพิ่มเติมด้วย เช่น Uber, Netflix และ Twitter

ที่มา : zdnet

US ballistic missile defense systems (BMDS) open to cyber attacks

ผู้ตรวจการทั่วไปของกระทรวงกลาโหมประเทศสหรัฐอเมริกาออกรายงานเรื่องความไม่ปลอดภัยของระบบการป้องกันขีปนาวุธ (BMDS) ว่ายังไม่เพียงพอต่อการป้องกันการเข้าถึงทางไซเบอร์ในขณะนี้ เนื่องจากระบบต่างๆได้รับการควบคุมโดยคอมพิวเตอร์และซอฟต์แวร์จึงเสี่ยงต่อการถูกโจมตีทางไซเบอร์โดยผู้ก่อการร้ายระดับชาติที่อาจพยายามเข้าควบคุมระบบ สร้างความเสียหาย ขโมยข้อมูลและรหัสแหล่งข้อมูล หรืแม้แต่สั่งยิงขีปนาวุธ

ทั้งนี้เมื่อวันที่ 14 มีนาคม 2014 หัวหน้าข้อมูลสารสนเทศของกระทรวงกลาโหมประกา่ศแผนที่จะใช้มาตราฐานการควบคุมด้านความปลอดภัยทางไซเบอร์ของสถาบันมาตรฐานและเทคโนโลยี (NIST) เพื่อปกป้องระบบซึ่งรวมถึง BMDS แต่เมื่อผ่านไปสี่ปี ผู้ตรวจสอบกลับพบว่า BMDS ล้มเหลวในการใช้การควบคุมด้านความปลอดภัยที่จำเป็น เช่น ไม่มีการใช้ระบบยืนยันตัวตนหลายปัจจัย (Multifactor Authentication), ไม่มีการประเมินความเสี่ยงระบบสารสนเทศโดยการตรวจสอบหาช่องโหว่ (Vulnerability Assessment), ไม่มีการควบคุมความปลอดภัยของเซิร์ฟเวอร์, ไม่มีการป้องกันข้อมูลที่จัดเก็บไว้บนอุปกรณ์จัดเก็บข้อมูลที่สามารถถอดเคืร่องย้ายได้, ไม่มีการเข้ารหัสข้อมูลทางเทคนิค รวมไปถึงไม่มีกล้องและเซนเซอร์สำหรับป้องกันการบุกเข้ามายังสถานที่โดยตรง นอกจากนี้ในรายงานยังกล่าวว่าไม่มีการอัปเดตแพตช์ความปลอดภัยให้กับระบบ BMDS โดยพบว่าในบางฐานไม่มีการอัปเดตแพตช์เพื่อแก้ไขช่องโหว่ที่พบตั้งแต่ปี 1990 ซึ่งในรายงานระบุให้แก้ไขปัญหาเหล่านี้และทำตามข้อกำหนดของหน่วยงานรัฐ

ทั้งนี้ยังไม่มีความเห็นจากเจ้าหน้าที่ที่เกี่ยวข้องกับระบบ BMDS ซึ่งสำนักงานผู้ตรวจการได้ขอให้ผู้อำนวยการ นายพล และเจ้าหน้าที่ระดับสูงอื่นๆ ในกระทรวงกลาโหมประเทศสหรัฐอเมริกาชี้แจงเกี่ยวกับรายงานนี้ภายใน 8 มกรา 2019

ที่มา: bleepingcomputer

Twitter discloses suspected state-sponsored attack

เมื่อวันที่ 18 ธันวาคม 2561 ที่ผ่านมาทาง Twitter ได้ออกมาประกาศว่าพบการรั่วไหลของข้อมูลที่เกิดขึ้นบนแพลตฟอร์ม ระบุว่าก่อนหน้านี้ทางทวิตเตอร์ได้ตรวจพบการโจมตีในวันที่ 15 พฤศจิกายนที่ผ่านมา โดยพบการเรียกดูข้อมูลจำนวนมากมาจาก IP ประเทศจีนและซาอุดิอาระเบียผ่านทาง support form ของบริษัทที่ถูกใช้ในการรายงานปัญหาไปยังเจ้าหน้าที่ของ Twitter โดยสงสัยว่าน่าจะเป็นกลุ่มแฮกเกอร์ที่ได้รับการสนับสนุนจากรัฐบาล (State-sponsored Attack)

ข้อบกพร่องของ API ในส่วนของ support form ทำให้ข้อมูลส่วนบุคคลบางอย่าง เช่น รหัสประเทศ หมายเลขโทรศัพท์ที่เชื่อมโยงกับบัญชี Twitter ของผู้ใช้ ถูกเปิดเผย ซึ่งได้มีบางส่วนที่รั่วไหลออกไปแต่ไม่ทั้งหมด โดยครั้งนี้นับเป็นปัญหาเกี่ยวกับการรั่วไหลของข้อมูลครั้งที่สองแล้วในปีนี้ โดยครั้งแรกพบในเดือนกันยายนเป็นปัญหาช่องโหว่ของ API ทำให้ผู้พัฒนาแอพพลิเคชั่นบางรายสามารถเข้าถึงข้อมูลการพูดคุยส่วนตัวของผู้ใช้งาน

Twitter ได้ให้ความมั่นใจกับผู้ใช้ว่าการโจมตีครั้งนี้ ข้อมูลเบอร์โทรศัพท์ที่รั่วไหลออกไปไม่ใช่เบอร์เต็มและข้อมูลส่วนบุคคลที่สำคัญอื่นๆ ของผู้ใช้ไม่ได้ถูกเปิดเผย และได้ประกาศว่าทำการแก้ไขช่องโหว่เป็นที่เรียบร้อยแล้ว อย่างไรก็ตาม Twitter ไม่ได้ให้ข้อมูลอื่นๆ เพิ่มเติมเกี่ยวกับเกี่ยวกับการโจมตีดังกล่าว หรือข้อมูลจำนวนบัญชีของผู้ใช้ (Account) ที่ได้รับผลกระทบจากการโจมตีในครั้งนี้แต่อย่างใด

ที่มา:zdnet.

Microsoft releases security update for new IE zero-day

Microsoft ออกแพตช์นอกรอบสำหรับแก้ไขช่องโหว่ zero day ใน IE ที่กำลังถูกใช้โจมตี ควรอัปเดตโดยด่วน

Microsoft ออกแพตช์นอกรอบสำหรับแก้ไขช่องโหว่ zero day ใน Internet Explorer โดยช่องโหว่ดังกล่าวได้รับ CVE-2018-8653 ช่องโหว่นี้ถูกแจ้งมายัง Microsoft โดยนักวิจัยภัยคุกคามของ Google หลังจากพบการโจมตีผ่านช่องโหว่ดังกล่าว

ผู้โจมตีจะทำการสร้างหน้าเว็บที่มีคำสั่งพิเศษเพื่อโจมตีช่องโหว่ จากนั้นหลอกให้ผู้ใช้งานเข้าสู่เว็บดังกล่าว เมื่อโจมตีสำเร็จ ผู้โจมตีสามารถรันคำสั่งอันตรายด้วยสิทธิ์ของผู้ใช้งานที่กำลังใช้งาน Internet Explorer อยู่ในขณะนั้นได้

ช่องโหว่นี้ส่งผลกระทบกับ Internet Explorer 9 ถึง Internet Explorer 11 บน Windows 7 ถึง Windows 10 และ Windows Server 2008 ถึง 2019

นอกจากการอัปเดตแพตช์แล้ว ยังสามารถลดความเสี่ยงจากช่องโหว่นี้ได้โดยปิดการเข้าถึง JScript.