Mandiant ได้ระบุเทคนิคใหม่ในการ bypass เทคโนโลยี Browser Isolation และสามารถดำเนินการคำสั่ง และควบคุม (C2) ผ่าน QR codes ได้

Browser Isolation เป็นเทคโนโลยีด้านความปลอดภัยที่ได้รับความนิยมมากขึ้นเรื่อย ๆ ซึ่งจะส่ง requests จาก local web browser ทั้งหมดไปยัง remote web browsers ที่โฮสต์บนคลาวด์ หรือ Virtual Machines (VM)

(more…)

วันนี้ (10 ธันวาคม 2024) Ivanti ออกมาแจ้งเตือนเกี่ยวกับช่องโหว่ใหม่ที่มีระดับความรุนแรงสูงสุดเกี่ยวกับการ authentication bypass ในโซลูชัน Cloud Services Appliance (CSA)

ช่องโหว่ด้านความปลอดภัย (CVE-2024-11639 และได้รับการรายงานโดยทีมวิจัยของ CrowdStrike) สามารถทำให้ผู้โจมตีจากภายนอกสามารถได้รับสิทธิ์ผู้ดูแลระบบในอุปกรณ์ที่มีช่องโหว่ที่ใช้ Ivanti CSA เวอร์ชัน 5.0.2 หรือเวอร์ชันก่อนหน้า โดยไม่ต้องผ่านการยืนยันตัวตน หรือการโต้ตอบจากผู้ใช้งาน ด้วยการหลีกเลี่ยงการยืนยันตัวตนด้วยช่องทาง หรือเส้นทางอื่น

(more…)

ช่องโหว่ใน Bootloader ของ Cisco NX-OS ส่งผลกระทบต่อสวิตช์มากกว่า 100 ตัว ทำให้ผู้โจมตีสามารถ bypass การตรวจสอบ image signature ของระบบได้

โดย Cisco ได้ปล่อยแพตช์ความปลอดภัยสำหรับช่องโหว่ CVE-2024-20397 (คะแนน CVSS 5.2) ใน Bootloader ของซอฟต์แวร์ NX-OS ซึ่งผู้โจมตีอาจใช้ประโยชน์เพื่อ bypass image signature ของระบบได้

ช่องโหว่ใน Bootloader ของ Cisco NX-OS Software อาจทำให้ผู้โจมตีที่ไม่ผ่านการยืนยันตัวตนซึ่งเข้าถึงระบบได้ในระดับ physical หรือผู้โจมตีในระบบที่มีสิทธิ์ระดับผู้ดูแลระบบ สามารถ bypass image signature ของระบบ NX-OS ได้

สาเหตุของช่องโหว่นี้มาจากการตั้งค่า Bootloader ที่ไม่ปลอดภัย ทำให้ผู้โจมตีสามารถใช้คำสั่ง Bootloader หลายคำสั่งเพื่อทริกเกอร์ให้เกิดช่องโหว่ได้

การโจมตีที่ประสบความสำเร็จอาจทำให้ผู้โจมตี bypass image signature ของระบบ NX-OS และโหลดซอฟต์แวร์ที่ไม่ผ่านการตรวจสอบได้

ช่องโหว่ดังกล่าวส่งผลกระทบต่อผลิตภัณฑ์ Cisco ต่อไปนี้ที่ใช้ NX-OS Software กับเวอร์ชัน BIOS ที่มีช่องโหว่ โดยไม่คำนึงถึงการตั้งค่าการใช้งาน

UCS 6500 Series Fabric Interconnects (CSCwj35846)
MDS 9000 Series Multilayer Switches (CSCwh76163)
Nexus 3000 Series Switches (CSCwm47438)
Nexus 7000 Series Switches (CSCwh76166)
Nexus 9000 Series Fabric Switches ในโหมด ACI (CSCwn11901)
Nexus 9000 Series Switches ในโหมด NX-OS แบบ Standalone (CSCwm47438)
UCS 6400 Series Fabric Interconnects (CSCwj35846)
Cisco ระบุว่า ไม่มีวิธีการอื่นในการลดผลกระทบจากช่องโหว่

บริษัท PSIRT ระบุว่า ยังไม่พบการโจมตีที่ใช้ประโยชน์จากช่องโหว่ CVE-2024-20397

โดย Cisco จะไม่แก้ไขช่องโหว่สำหรับ Nexus 92160YC-X ที่หมดระยะเวลาการสนับสนุนด้านความปลอดภัย และช่องโหว่แล้ว

ที่มา : securityaffairs 

ช่องโหว่ระดับ Critical หมายเลข CVE-2024-44308 กำลังถูกนำไปใช้ในการโจมตีอย่างต่อเนื่อง โดยกระทบกับ Apple Safari หลายเวอร์ชันบนแพลตฟอร์ม iOS, visionOS และ macOS

ช่องโหว่ดังกล่าวอยู่ภายในคอมไพเลอร์ DFG JIT ของ WebKit ทำให้เกิดการโจมตีในรูปแบบการเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกลได้ (RCE) (more…)

บทนำ

AWS SSM Session Manager เป็นเครื่องมือที่ทำให้สามารถ Remote เข้าไปยัง EC2 Instances ได้โดยไม่ต้องเปิดการเข้าถึงจาก Internet ซึ่งถือเป็น Best Practice ที่ทาง Amazon Web Services (AWS) แนะนำ แทนการใช้ Secure Shell (SSH) เนื่องจากความเสี่ยงในการเปิด Port SSH ให้เข้าถึงได้จาก Internet

SSM Session Manager มีหลายฟีเจอร์ โดยหนึ่งใน​ feature คือ port forwarding ที่ช่วยสร้างช่องทางการเชื่อมต่อผ่าน SSM Service ระหว่างผู้ใช้งานกับ EC2 Instances ได้อย่างปลอดภัยโดยไม่ต้องมีการเปิด Port ใด ๆ (more…)

พบแอปพลิเคชันของมัลแวร์ SpyLoan ชุดใหม่จำนวน 15 แอปพลิเคชันบน Google Play โดยมียอดดาวน์โหลดไปแล้วกว่า 8 ล้านครั้ง ซึ่งมุ่งเป้าหมายไปที่ผู้ใช้งานในภูมิภาคอเมริกาใต้, เอเชียตะวันออกเฉียงใต้ และแอฟริกาเป็นหลัก (more…)

Bologna Football Club 1909 ยืนยันว่าได้รับความเสียหายจากการถูกโจมตีด้วยแรนซัมแวร์ หลังจากข้อมูลที่ถูกขโมยถูกเผยแพร่ทางออนไลน์โดยกลุ่ม RansomHub

โดยทีมฟุตบอลจากอิตาลีดังกล่าวเตือนว่า อย่าดาวน์โหลด หรือเผยแพร่ข้อมูลที่ถูกขโมย โดยระบุว่านี่เป็น "ความผิดทางอาญาร้ายแรง" (more…)

กลุ่ม INC Ransom ออกมาอ้างว่าพวกเขาสามารถขโมยข้อมูลที่มีความสำคัญได้จากโรงพยาบาลเด็กในเมืองลิเวอร์พูล สหราชอาณาจักร

เมื่อวันที่ 28 พฤศจิกายน กลุ่ม INC Ransom ได้โพสต์บนเว็บไซต์ที่ใช้เพื่อเผยแพร่ข้อมูลรั่วไหลว่า พวกเขาได้ขโมยข้อมูลขนาดใหญ่ ซึ่งรวมถึงบันทึกข้อมูลผู้ป่วย, รายงานผู้บริจาค และข้อมูลการจัดซื้อระหว่างปี 2018-2024 จาก Alder Hey Children’s NHS Foundation Trust (more…)

เจ้าหน้าที่รัฐบาลยืนยันในสัปดาห์นี้ว่า กลุ่มผู้ไม่หวังดีที่มีแรงจูงใจด้านการเงินได้โจมตีระบบของธนาคารกลางแห่งยูกันดา

เจ้าหน้าที่ธนาคารกลางแห่งยูกันดายืนยันเมื่อวันพฤหัสบดี (28 พฤศจิกายน 2024) ว่า "ธนาคารกลางแห่งชาติได้รับความเสียหายจากการถูกโจมตีทางไซเบอร์โดยกลุ่มผู้ไม่หวังดีที่มีแรงจูงใจด้านการเงิน ซึ่งขณะนี้กรมสอบสวนคดีอาญาของตำรวจ และสำนักงานการตรวจเงินแผ่นดินกำลังสอบสวนเหตุการณ์นี้" (more…)

นักวิจัยจาก Vrije Universiteit Amsterdam ได้เปิดเผยการโจมตีแบบ side-channel attack รูปแบบใหม่ ที่เรียกว่า SLAM ซึ่งสามารถถูกใช้เพื่อขโมยข้อมูลสำคัญจาก kernel memory บน CPU รุ่นปัจจุบัน และรุ่นต่อไปของ Intel, AMD และ Arm ได้

การโจมตีนี้เป็นการโจมตีแบบ end-to-end สำหรับ Spectre based โดยอาศัยฟีเจอร์ใหม่ใน CPU Intel ที่เรียกว่า Linear Address Masking (LAM) รวมถึงคุณลักษณะที่คล้ายกันจาก AMD ที่เรียกว่า Upper Address Ignore (UAI) และ Arm ที่เรียกว่า Top Byte Ignore (TBI)

(more…)