นักวิจัยจาก Google ค้นพบช่องโหว่บนซอฟต์แวร์ของอุปกรณ์ FireEye ที่ใช้ป้องกันภัยคุกคามแบบ APT หลายรุ่น โดยแฮกเกอร์สามารถเจาะผ่านช่องโหว่เข้ามา เพื่อเข้าถึงระบบเครือข่ายขององค์กรได้แบบ Full Access ส่งผลให้สามารถดักข้อมูลรวมไปถึงส่งโค้ดมัลแวร์แฝงเข้ามายังระบบเครือข่ายได้ทันที

Google ระบุว่า เคสนี้นับว่าเป็นฝันร้ายโดยแท้จริง เนื่องจากสามารถโจมตีได้ง่ายมาก เพียงแค่ส่งอีเมลไปยังบุคคลภายในเพื่อหลอกล่อให้คลิ๊กลิงค์เท่านั้น แฮกเกอร์ก็จะสามารถเข้าถึงระบบเครือข่ายขององค์กรทั้งหมดได้ทันที หลังจากนั้นยังสามารถแอบมอนิเตอร์ทราฟฟิคของระบบ หรือส่ง Worm เข้าไปกระจายตัวในเครือข่ายได้อย่างง่ายดาย

FireEye ได้ทราบถึงช่องโหว่ดังกล่าว และระบุว่าสาเหตุหลักมาจาก Module ที่ใช้วิเคราะห์ไฟล์บีบอัดของ Java (JAR) ซึ่งก็ได้ให้คำอธิบายและออกแพทช์เพื่ออุดช่องโหว่เป็นที่เรียบร้อย แนะนำให้ผู้ใช้อุปกรณ์ซีรี่ย์ NX, EX, FX และ AC อัพเดทแพทช์เพื่ออุดช่องโหว่โดยเร็ว

ที่มา : blogspot

MacKeeper เป็นโปรแกรมที่มาพร้อมกับสโลแกน “Clean your Mac”, “100% performance boost” หรือไม่ก็ “Increase security level” ที่มักเป็น Pop-up โฆษณาเด้งขึ้นมาเมื่อเข้าเว็บไซต์ต่างๆ โดยให้บริการการป้องกันไวรัส, เข้ารหัสข้อมูล, กำจัดไฟล์ขยะทั้งหลาย และปรับแต่ประสิทธิภาพของ Mac
นักวิจัยด้านความปลอดภัย FoundThe Stuff ค้นพบช่องโหว่บน MacKeeper ซึ่งช่วยให้สามารถเข้าถึงฐานข้อมูลลูกค้ามากกว่า 13 ล้านคนได้ ไม่ว่าจะเป็นชื่อลูกค้า, อีเมล, ชื่อผู้ใช้, รหัสผ่าน (MD5 Hash), เบอร์โทรศัพท์ และข้อมูลอื่นๆ โดยได้โพสต์รายละเอียดลงบน Reddit ในหัวข้อ Massive Databreach ซึ่งนักวิจัยจาก Forbes ได้ลองพิสูจน์แล้วว่าสามารถเข้าถึงรายชื่อลูกค้ากว่า 13 ล้านคนนั้นได้จริง สำหรับผู้ที่ใช้บริการของ MacKeeper แนะนำให้รีบเปลี่ยนรหัสผ่านใหม่ทันที

ที่มา : nakedsecurity

Daniel Cid นักวิจัยด้านความปลอดภัยจาก Sucuri รายงานช่องโหว่ remote code execution ของ Joomla! ที่เกิดจากการตรวจสอบข้อมูล session ก่อนเซฟลงฐานข้อมูลไม่ดีพอ ทำให้แฮกเกอร์สามารถส่งโค้ดเข้ามารันได้ และปัญหาใหญ่คือช่องโหว่นี้ถูกโจมตีเป็นวงกว้างแล้วตั้งแต่วันเสาร์ที่ผ่านมา

Securi รายงานพบการโจมตีครั้งแรกเมื่อวันที่ 12 ธันวาคมที่ผ่านมา และจนตอนนี้เกือบทุกเว็บไซต์และเว็บที่บริษัทวางไว้กำลังถูกโจมตีช่องโหว่นี้ทั้งหมด ทำให้คาดเดาได้ว่าตอนนี้แฮกเกอร์กำลังโจมตีเป็นวงกว้าง อย่างไรก็ตาม Daniel Cid ได้รายงานอีกว่ามีการโจมตีเข้ามาทาง User-Agent จากไอพี 74.3.170.33, 146.0.72.83 และ 194.28.174.106

ถ้าใครยังใช้รุ่นที่มีช่องโหว่อยู่ก็อาจจะตกเป็นเหยื่อในไม่ช้า ทางแก้ตอนนี้คือทุกคนควรอัพเดตไปใช้ Joomla! 3.4.6 ทันที

ที่มา : theregister, blognone, Joomla

FireEye ผลิตภัณฑ์ด้านการป้องกัน APT ได้ออกแพทช์แก้ไขช่องโหว่ระดับร้ายแรงที่ค้นพบโดย Tavis Ormandy และ Natalie Silvanovich จากทีมงาน Google’s Project Zero

ช่องโหว่ดังกล่าวเป็นช่องโหว่ประเภท Remote Code Execution ส่งผลกระทบกับอุปกรณ์ Network Security (NX), Email Security (EX), Malware Analysis (AX) และ File Content Security (FX)

อย่างไรก็ตาม FireEye ได้ออกอัพเดทแพทช์เพื่อแก้ไขช่องโหว่ Remote Code Execution ให้กับลูกค้าที่ใช้ผลิตภัณฑ์แล้ว ภายในเวลา 6 ชั่วโมง หลังจากได้รับการรายงานจาก Google’s Project Zero

ที่มา : securityweek

Adobe ออก Patch สำหรับ Flash Player ใน OS X, Windows, Linux และ Android โดยมี 75 ช่องโหว่ที่เปิดให้ทำ Remote Code Execution ได้ ในขณะที่อีก 3 ช่องโหว่นั้นเปิดให้ทำ Security Bypass ได้

นักวิจัยยังออกมาเผยว่า ถึงแม้จะทำการ Disable Flash บน Browser ไปแล้ว แต่ถ้าถูก Inject Flash Object ผ่านเอกสารอื่นๆ เข้ามาได้ ก็ถูกโจมตีได้อยู่ดี ยกเว้นเสียแต่ว่าจะถอดการติดตั้งทิ้ง หรือ Patch ให้เรียบร้อย ซึ่งผู้ใช้งาน Adobe AIR และ AIR SDK สามารถอัพเดต Patch ได้แล้ว

ที่มา : theregister

FireEye พบมัลแวร์ตัวใหม่ที่เน้นโจมตีระบบของธนาคาร ผู้ให้บริการบัตรเครดิต และสถาบันการเงินต่างๆ ที่น่าสนใจ คือ มัลแวร์นี้จะถูกโหลดตั้งแต่ก่อนที่ระบบปฏิบัติการจะเริ่มทำงาน ส่งให้ผลยากต่อการตรวจจับและกำจัดมัลแวร์ออกไป มัลแวร์นี้ชื่อว่า “Nemesis”

Nemesis เป็นชุดรวมมัลแวร์ที่ประกอบด้วยซอฟต์แวร์สำหรับโจมตีระบบมากมาย เช่น แอบถ่ายรูปหน้าจอ, รับส่งไฟล์ข้อมูล, จัดการ Process, ทำ Key Logging และอื่นๆ
มัลแวร์ดังกล่าวได้เริ่มแพร่กระจายตัวโจมตีระบบต่างๆ ตั้งแต่ต้นปีที่ผ่านมา โดยมีคุณสมบัติเด่นคือ สามารถแก้ไข VBR (Volume Boot Record) ของอุปกรณ์คอมพิวเตอร์ได้ ส่งผลให้ขั้นตอนการบูทแทนที่จะโหลดเฉพาะระบบปฏิบัติการ Windows ขึ้นมาเพียงอย่างเดียว มัลแวร์ที่แฝงตัวอยู่ใน VBR จะถูกโหลดเข้า Windows Kernel ก่อนที่จะโหลดระบบปฏิบัติการด้วย นอกจากนี้ มัลแวร์ดังกล่าวยังฝังตัวอยู่ในระดับล่างของฮาร์ดดิสก์ ต่อให้ฟอร์แมทเครื่องหรือลงระบบปฏิบัติการใหม่ มัลแวร์ก็ยังคงกลับมาได้เหมือนเดิม

วิธีป้องกันมัลแวร์ Nemesis ได้โดยผู้ดูแลระบบควรใช้เครื่องมือที่สามารถตรวจสอบข้อมูลดิบของดิสก์ทั้งหมดได้ รวมทั้งสามารถลบข้อมูลในดิสก์ทั้งหมดได้จริง ไม่ใช่ลบในส่วนของระบบปฏิบัติการ

ที่มา : thehackernews

ข่าวร้ายสำหรับผู้ใช้งาน PC ของ Lenovo, Dell และ Toshiba เมื่อซอฟต์แวร์สนับสนุนที่ติดมากับเครื่อง ได้แก่ Lenovo Solution Center, Dell System Detect และ Toshiba Service Station ถูกค้นพบว่ามีช่องโหว่ที่ช่วยให้แฮกเกอร์สามารถรันโค้ดบนคอมพิวเตอร์ Lenovo ผ่านทางเว็บไซต์ปลอมของแฮกเกอร์ โดยได้สิทธิ์เป็น System ทันที ซึ่งช่องโหว่นี้ถูกค้นพบโดยแฮกเกอร์ที่ใช้ชื่อว่า Slipstream และ RoL เมื่อสัปดาห์ที่ผ่านมา

นอกจากนี้ ยังมีช่องโหว่ Directory Traversal ซึ่งช่วยให้แฮกเกอร์สามารถใช้หลอก Lenovo Solution Center เพื่อรันคำสั่งจากโฟลเดอร์ใดก็ได้ ไม่จำเป็นต้องเป็นโฟลเดอร์ %APPDATA%\LSC\Local Store อีกต่อไป และที่น่าตกใจยิ่งกว่าคือ LSCTaskService ยังมีช่องโหว่ Cross-site Request Forgery (CSRF) แถมมาอีกด้วย ส่งผลให้แฮกเกอร์ไม่จำเป็นต้องเข้าถึงเครื่องคอมพิวเตอร์ก็สามารถหลอกล่อให้เหยื่อเข้าถึงเว็บไซต์ของตนเพื่อแอบส่งคำสั่งไปรันบนเครื่องของเหยื่อได้ทันที

Lenovo ได้ทราบถึงช่องโหว่ดังกล่าว และกำลังทำการตรวจสอบเพื่ออุดช่องโหว่ให้เร็วที่สุด ระหว่างนี้แนะนำให้ผู้ใช้ยกเลิกการติดตั้ง Lenovo Solution Center ออกไปก่อน
Slipstream ยังได้เปิดเผยช่องโหว่ของ Toshiba Service Station และ Dell System Detect โดย Toshiba Service Station จะทำการสร้าง Service ที่เรียกว่า TMachInfo ซึ่งถูกรันด้วยสิทธิ์ระดับ System และรับคำสั่งผ่านทาง UDP Port 1233 หนึ่งในคำสั่งเหล่านั้น คือ Reg.

SEC Consult ที่ปรึกษาด้านความปลอดภัยรายงานผลการวิจัยพบว่าผู้ผลิตอุปกรณ์เครือข่ายจำนวนมากไม่ได้สร้างกุญแจลับสำหรับการเข้ารหัสเว็บและ SSH ขึ้นใหม่ แต่ใช้กุญแจตัวอย่างจากชุดพัฒนาโดยตรงทำให้อุปกรณ์เหล่านี้เสี่ยงต่อการถูกคั่นกลางการเชื่อมต่อ (man-in-the-middle attack)

กุญแจที่ตรวจสอบมีทั้งหมด 580 ชุด มีการใช้ซ้ำกันจำนวนมาก เช่นกุญแจสำหรับเข้ารหัสเว็บประมาณ 150 ชุดมีการใช้ซ้ำในอุปกรณ์ถึง 3.2 ล้านเครื่อง ขณะที่กุญแจ SSH ประมาณ 80 ชุดมีการใช้งาน 0.9 ล้านเครื่อง ตัวอย่างกุญแจจาก Broadcom SDK ถูกใช้งานโดยไม่ได้สร้างกุญแจใหม่ และฝังอยู่ในเฟิร์มแวร์ของ Actiontec, Aztech, Comtrend, Innatech, Linksys, Smart RG, Zhone, และ ZyXEL

อุปกรณ์เหล่านี้มักถูกแถมไปกับบริการอินเทอร์เน็ต เช่น CenturyLink ผู้ให้บริการอินเทอร์เน็ตในสหรัฐฯ แจกเราท์เตอร์ที่เปิดพอร์ต HTTPS ทิ้งไว้เพื่อการเข้าไปดูแลระบบ โดยพบอุปกรณ์ที่ใช้กุญแจซ้ำเช่นนี้กว่า 500,000 เครื่อง หรือ Telstra จากออสเตรเลียแจกเราท์เตอร์ซิสโก้ที่เปิดพอร์ต SSH ไว้ประมาณ 26,000 เครื่อง

แม้ว่าผลกระทบจากช่องโหว่นี้จะเป็นวงกว้าง แต่ความเสี่ยงก็ไม่สูงนัก คะแนนระดับความเสี่ยงตาม CVSS อยู่ที่ 5.0 โดยแฮกเกอร์อาจจะหลอกผู้ที่พยายามล็อกอินเข้าเราท์เตอร์เพื่อดักฟังเอารหัสผ่าน ทางแก้สำหรับเครื่องบางรุ่นที่คอนฟิกกุญแจใหม่เข้าไปได้ผู้ใช้อาจจะสร้างกุญแจใหม่เข้าไปเอง หรือหากทำไม่ได้ควรปิดการเข้าถึงเราท์เตอร์จากอินเทอร์เน็ต

ที่มา : SEC Consult

LinkedIn เป็น social network ทางด้านอาชีพการงานที่ใหญ่ที่สุด มีสมาชิกมากกว่า 175 ล้านคนทั่วโลก, Rohit Dua นักวิจัยด้านความปลอดภัยจากอินเดียได้พบช่องโหว่ Cross-site Scripting บน LinkedIn’s Help Center

จากรายงานระบุว่าการที่จะโจมตีช่องโหว่ดังกล่าวนี้ได้จำเป็นต้อง Login เข้าสู่ระบบของ Linkedin Help Center ซึ่งเป็นเหมือนเว็บบอร์ด จากนั้นก็ตั้งกระทู้คำถาม โดยสามารถใส่โค้ดหรือสคริปที่เป็นอันตรายลงไปในช่องรายละเอียดได้

อย่างไรก็ตามนักพัฒนาของ Linkedin ได้แก้ไขช่องโหว่ XSS นี้แล้วภายในเวลาไม่กี่ชั่วโมง หลังจากที่นาย Rohit Dua ได้รายงานช่องโหว่ดังกล่าว

ที่มา : threat post

Ibrahim Raafat นักวิจัยด้านความปลอดภัยจากอียีปต์ได้พบช่องโหว่ XSS บนเว็บ Yahoo! Mail สำหรับ Mobile version (mg.mail.yahoo.com) จากรายงานระบุว่า เพียงผู้ไม่ประสงค์ดีใส่โค้ดหรือสคริปที่เป็นอันตรายแล้วส่งไปที่เป้าหมาย สคริปดังกล่าวจะทำงานทันทีเมื่อเป้าหมายเปิดอ่านอีเมล์จากเว็บไซต์ที่เป็น Mobile version

นักวิจัยระบุอีกว่า เมื่อสคริปอันตรายทำงานบน Browser ของเหยื่ออาจจะส่งผลกระทบทำให้ผู้ไม่หวังดีสามารถขโมย Cookie, ดาวน์โหลดไฟล์ที่อันตราย รวมไปถึง redirect ไปยังหน้าที่เป็น Phishing page ได้อีกด้วย อย่างไรก็ตามช่องโหว่ XSS ได้ถูกแจ้งไปยังทีมงานของ Yahoo และถูกแก้ไขไปแล้วเมื่อวันที่ 21 พฤศจิกายนที่ผ่านมา นอกจากนั้นทีมงาน Yahoo ได้ให้รางวัลกับนาย Ibrahim Raafat เป็นจำนวนเงิน 600USD จากการค้นพบช่องโหว่ดังกล่าวอีกด้วย

ที่มา : securityweek