กลุ่มผู้โจมตีในแคมเปญที่ชื่อว่า Roaming Mantis ถูกพบว่ามีการใช้มัลแวร์บนโทรศัพท์มือถือที่รู้จักกันในชื่อ Wroba เพื่อมุ่งเป้าโจมตีไปยัง Wi-Fi router และทำการ Domain Name System (DNS) hijacking (more…)

นักวิจัยด้านความปลอดภัยทางไซเบอร์เปิดเผยช่องโหว่ใหม่ที่ทำให้ผู้โจมตีสามารถขโมยข้อมูลสำคัญออกจากระบบภายในได้ ซึ่งส่งผลกระทบกับผู้ให้บริการ DNS-as-a-Service (DNSaaS)

Shir Tamari และ Ami Luttwak นักวิจัยด้านความปลอดภัยทางไซเบอร์จาก Wiz ประกาศค้นพบช่องโหว่ง่ายๆ ที่อนุญาตให้ผู้โจมตีสามารถดักจับส่วนหนึ่งของการรับส่งข้อมูลบน DNS แบบไดนามิกจากการรับส่งข้อมูลทางอินเทอร์เน็ตทั้งหมด ที่ถูกกำหนดเส้นทางผ่านผู้ให้บริการ DNS เช่น Amazon และ Google หากโจมตีสำเร็จผู้โจมตีจะสามารถเข้าถึงข้อมูล และสามารถขโมยข้อมูลสำคัญออกจากระบบได้

ช่องโหว่ดังกล่าวเกิดจากการจัดการลงทะเบียนโดเมนบน Google Cloud DNS หรือ Amazon Route53 ที่ทำการกำหนดชื่อตรงกับชื่อของเซิร์ฟเวอร์ DNS ดังนั้นหากองค์กรมีการกำหนดโดเมนใหม่บนแพลตฟอร์ม Route53 ภายในเซิร์ฟเวอร์ AWS และชี้โฮสต์ไปยังเครือข่ายภายใน จะทำให้การรับส่งข้อมูล DNS แบบไดนามิกจากปลายทางของลูกค้า Route53 ถูกทำการ hijacked และส่งไปยังเซิร์ฟเวอร์ DNS อื่นหรือผู้โจมตีโดยตรงหากมีการลงทะเบียนชื่อ DNS ตรงกัน

นักวิจัยด้านความปลอดภัยทางไซเบอร์จาก Wiz กล่าวว่าพวกเขาสามารถดักการรับส่งข้อมูล DNS แบบไดนามิกจากองค์กรได้กว่า 15,000 แห่ง รวมถึง Fortune 500, หน่วยงานรัฐบาลของสหรัฐอเมริกา 45 แห่ง และหน่วยงานรัฐบาลระหว่างประเทศ 85 แห่ง โดยข้อมูลส่วนใหญ่เป็นข้อมูลที่สำคัญ อาทิ IP Address ภายใน, ชื่อเครื่องคอมพิวเตอร์, รายชื่อพนักงาน และที่อยู่ของบริษัท

เบื้องต้นทาง Amazon และ Google ได้ทำการแก้ไขปัญหาดังกล่าวแล้ว และทีมวิจัยของ Wiz ได้ทำการพัฒนาเครื่องมือเพื่อให้บริษัทต่างๆ ทดสอบว่าการอัปเดต DDNS ภายในรั่วไหลไปยังผู้ให้บริการ DNS หรือผู้โจมตีหรือไม่อีกด้วย

ที่มา : thehackernews.

นักวิจัยด้านความปลอดภัยของ Qihoo 360 จากประเทศจีนเปิดเผยการโจมตี Hijacked บนเราเตอร์ที่ใช้ในบ้านกว่า 100,000 เครื่องพร้อมทำการแก้ไขการตั้งค่า DNS เพื่อ redirects การร้องขอ DNS ของผู้ใช้งานไปยังเว็บไซต์ที่เป็นอันตราย (phishing site) เพื่อขโมยข้อมูลสำคัญในการเข้าสู่ระบบของผู้ใช้ โดยตั้งชื่อแคมเปญดังกล่าวว่า GhostDNS

Netlab นักวิจัยด้านความปลอดภัยของ Qihoo 360 เปิดเผยการทำงานของ GhostDNS ว่าจะทำการสแกนหา IP ของเราเตอร์ที่มีช่องโหว่ ใช้รหัสผ่านที่คาดเดาง่ายหรือไม่มีรหัสผ่านในการเข้าสู่ระบบการตั้งค่าเราเตอร์ และทำการแก้ไขการตั้งค่า DNS ใหม่ เพื่อ redirects การร้องขอ DNS ของผู้ใช้งานทั้งหมดที่ส่งผ่านเราเตอร์ที่ถูกบุกรุกไปยัง DNS Server ที่เป็นอันตรายเพื่อขโมยข้อมูลส่วนตัวของผู้ใช้ ทำให้เมื่อผู้ใช้พยายามเข้าสู่เว็บไซต์ที่ถูกต้องจะถูกส่งไปยังเว็บไซต์ที่อันตรายแทน ซึ่งเว็บไซต์ที่ถูก redirect ส่วนใหญ่เป็นเว็บไซต์ของธนาคารในประเทศบราซิลและบริการเว็บโฮสติ้งต่างๆ เช่น Netflix, Citibank.

นักวิจัยได้แจ้งเตือนถึงการใช้งาน DNS query ที่ไม่ปลอดภัย ทำให้สามารถถูกดักขโมยข้อมูลโดยการปลอม DNS ให้ชี้ไปยังผู้ไม่หวังดี

อ้างอิงจากงานวิจัยที่ได้รับการเปิดเผยโดยนักวิจัยของมหาวิทยาลัย Texas สหรัฐอเมริกา และมหาวิทยาลัย China Tsinghua จากจีน ระบุว่า DNS query ประมาณ 0.66% ของการเข้าถึงเว็บไซต์ที่ส่งผ่าน TCP สามารถถูกดักฟังข้อมูลได้ ทีมงานวิจัยจากจีนและสหรัฐอเมริกาอธิบายผลการวิจัยไว้ในบทความ "Who Is Answering My Queries : Understanding and Characterizing Interception of the DNS Resolution Path.

Patrick Wardle ได้วิเคราะห์มัลแวร์ตัวใหม่ที่ออกแบบมาเพื่อโจมตีไปที่การตั้งค่า DNS บนอุปกรณ์ macOS ชื่อ OSX / MaMi หรือ "SBMaMiSettings" ปัจจุบันสามารถตรวจจับได้โดย ESET และ Ikarus มีชื่อ Signature ว่า OSX / DNSChanger.

แจ้งเตือนช่องโหว่ใน DNS resolver ของ systemd ยิงระบบค้างได้

นักวิจัยและพัฒนาช่องโหว่ William Gamazo Sanchez จาก TrendMicro ได้มีการเปิดเผยการค้นพบช่องโหว่พร้อมทั้งรายละเอียดล่าสุดวันนี้โดยช่องโหว่ที่มีการค้นพบนั้นเป็นช่องโหว่รหัส CVE-2017-15908 ซึ่งอยู่ในฟังก์ชันการทำ DNS resolve ของ systemd ซึ่งปัจจุบันมีการใช้งานอยู่ในระบบปฏิบัติการลินุกซ์หลายดิสโทร

การโจมตีช่องโหว่นี้จะเกิดขึ้นเมื่อเซิร์ฟเวอร์ที่ให้บริการ DNS ที่มีช่องโหว่ทำการรีเควสต์เพื่อร้องขอข้อมูลไปยังเซิร์ฟเวอร์ที่ให้บริการ DNS ที่ถูกควบคุมโดยผู้โจมตี โดยเซิร์ฟเวอร์ที่ให้บริการ DNS ที่ถูกควบคุมโดยผู้โจมตีจะมีการส่งข้อมูลตอบรับแบบพิเศษมาส่งผลให้เซิร์ฟเวอร์ที่ให้บริการ DNS ทีมีช่องโหว่เมื่อได้รับแพ็คเกตดังกล่าวแล้วจะทำการวนการทำงานแบบไม่มีสิ้นสุด ใช้ทรัพยากรของระบบจนหมดและทำให้ระบบไม่สามารถให้บริการได้
Recommendation ในตอนนี้ช่องโหว่นี้ได้มีแพตช์ออกมาเป็นที่เรียบร้อยแล้ว ทาง TrendMicro แนะนำให้ผู้ดูแลระบบทำการตรวจสอบแพตช์เฉพาะดิสโทรของตัวเองโดยทันที อย่างไรก็ตามหากระบบไม่สามารถทำการแพตช์ได้ TrendMicro แนะนำให้ผู้ดูแลระบบทำการบล็อคแพ็คเกต DNS แบบพิเศษที่สามารถโจมตีช่องโหว่ได้ (ดูเพิ่มเติมใน RFC 4034 ส่วนที่ 4 หรือ NSEC record) เพื่อป้องกันระบบในเบื้องต้น

ที่มา : Trendmicro

Google ประกาศการค้นพบช่องโหว่ร้ายแรงบน Dnsmaq รีบแพตช์โดยด่วน

Dnsmasq ซอฟต์แวร์แบบเซอร์วิสสำหรับการให้บริการ DNS, DHCP, Route Advertisements และ Network boot เป็นซอฟต์แวร์ที่ติดตั้งบนอุปกรณ์ที่รันระบบปฏิบัติการ Linux, IoT, Home Router ที่ใช้กันอย่างแพร่หลายทั้งบนอินเทอร์เน็ตแบบเปิดและภายในองค์กรรวมไปถึงเครือข่ายส่วนตัว

ช่องโหว่ที่ถูกพบมีจำนวน 7 รายการ ซึ่งประกอบด้วย ช่องโหว่ Remote Code Execution จำนวน 3 รายการ
1 รายการทำให้เกิด Information leak และอีก 3 รายการเป็นช่องโหว่ denial of service (DoS) ตัวอย่างช่องโหว่ที่มีความร้ายแรงสูง อาทิ
CVE-2017-14491 ช่องโหว่ DNS-based ซึ่งมีผลกระทบต่อการตั้งค่าเครือข่ายภายในที่เปิดโดยตรง ทำให้เกิด Overflow ได้ 2 byte
CVE-2017-14493 เป็นช่องโหว่ DHCP-based ที่ทำให้เกิด Buffer Overflow เมื่อใช้ร่วมกับ CVE-2017-14494 จะทำให้ข้อมูลรั่วไหล ผู้บุกรุกสามารถ Bypass ASLR และรันโค้ดจากระยะไกลได้
CVE-2017-14496 ส่งผลกระทบกับ Android ทำให้ระบบไม่สามารถทำงานได้

ช่องโหว่ทั้งหมดถูกแก้ไขใน Dnsmasq เวอร์ชันล่าสุด (2.78) เรียบร้อยแล้ว สำหรับ CVE-2017-14496 ได้ถูกแก้ไขในเวอร์ชั่น 2.76

ที่มา : Google Security Blog

หลังจากมีผู้ใช้ TeamViewer หลายรายแจ้งว่าไม่สามารถล็อกอินเข้าใช้บริการได้ ประกอบกับทางทวิตเตอร์ของ TeamViewer (@TeamViewer_help) ได้แจ้งว่ามีปัญหาด้านเครือข่าย อยู่ระหว่างการแก้ไข ต่อมา ผู้ใช้หลายรายได้แจ้งว่าเครื่องคอมพิวเตอร์ที่ติดตั้ง TeamViewer ไว้ ถูกล็อกอินเข้ามาใช้งานโดยบุคคลอื่น ผู้ใช้บางรายพบว่ามีผู้เชื่อมต่อเข้ามาแล้วใช้โปรแกรมดูรหัสผ่านที่ถูกบันทึกไว้ในเบราว์เซอร์เพื่อนำไปใช้ขโมยเงินจากธนาคารออนไลน์ ผู้ใช้บางรายถูกติดตั้งมัลแวร์เรียกค่าไถ่ลงในเครื่อง

โดยทาง TeamViewer แจ้งว่าปัญหาที่ทำให้ระบบล่มเกิดจากเซิร์ฟเวอร์ DNS ถูกโจมตี แต่ปฏิเสธว่าระบบไม่ได้ถูกเจาะจนเป็นเหตุให้ผู้ใช้ถูกล็อกอินโดยบุคคลอื่น ซึ่งทางทีมงานอ้างว่าผู้ใช้ที่ถูกขโมยบัญชีเกิดจากการที่ตั้งรหัสผ่านสำหรับล็อกอินเป็นรหัสผ่านเดียวกับบริการอื่นที่เคยถูกแฮกไปก่อนหน้านี้แล้วมีการเผยแพร่รหัสผ่านดังกล่าวบนอินเทอร์เน็ต อย่างไรก็ตาม เรื่องนี้มีประเด็นข้อสงสัยหลายจุด เช่น ผู้ใช้บางรายอ้างว่าถูกแฮกได้ถึงแม้ไม่ได้ตั้งรหัสผ่านซ้ำกับบริการอื่นเลย รวมถึงสำนักข่าว The Register ยังพบข้อสังเกตว่ามีผู้ใช้บางรายถูกล็อกอินได้ถึงแม้จะมีการเปิดใช้งานการยืนยันตัวตนสองขั้นตอน (two factor Authentication)

โดยทาง Teamviewer ออกมาแนะนำให้ผู้ใช้งานดำเนินการเพื่อความปลอดภัยดังต่อไปนี้

สร้าง password สำหรับแต่ละ account
ไม่แจกหรือบอก password แก่ผู้อื่น
มีการเปลี่ยน password อยู่เสมอ
ไม่ใช้ข้อมูลในเชิง identifiable information เป็นส่วนหนึ่งใน password (วันเดือนปีเกิด,เบอร์มือถือ)
ใช้การยืนยันตัวตนชนิด two factor Authentication
ไม่จดหรือจัดเก็บ password ในรูปแบบ Plain text หรือง่ายต่อการลักลอบใช้จากผู้อื่น

ที่มา : ThaiCERT