Bug ใน Managed DNS Services Cloud ส่งผลให้ผู้โจมตีสามารถสอดแนมการรับส่งข้อมูลบน DNS ได้

นักวิจัยด้านความปลอดภัยทางไซเบอร์เปิดเผยช่องโหว่ใหม่ที่ทำให้ผู้โจมตีสามารถขโมยข้อมูลสำคัญออกจากระบบภายในได้ ซึ่งส่งผลกระทบกับผู้ให้บริการ DNS-as-a-Service (DNSaaS)

Shir Tamari และ Ami Luttwak นักวิจัยด้านความปลอดภัยทางไซเบอร์จาก Wiz ประกาศค้นพบช่องโหว่ง่ายๆ ที่อนุญาตให้ผู้โจมตีสามารถดักจับส่วนหนึ่งของการรับส่งข้อมูลบน DNS แบบไดนามิกจากการรับส่งข้อมูลทางอินเทอร์เน็ตทั้งหมด ที่ถูกกำหนดเส้นทางผ่านผู้ให้บริการ DNS เช่น Amazon และ Google หากโจมตีสำเร็จผู้โจมตีจะสามารถเข้าถึงข้อมูล และสามารถขโมยข้อมูลสำคัญออกจากระบบได้

ช่องโหว่ดังกล่าวเกิดจากการจัดการลงทะเบียนโดเมนบน Google Cloud DNS หรือ Amazon Route53 ที่ทำการกำหนดชื่อตรงกับชื่อของเซิร์ฟเวอร์ DNS ดังนั้นหากองค์กรมีการกำหนดโดเมนใหม่บนแพลตฟอร์ม Route53 ภายในเซิร์ฟเวอร์ AWS และชี้โฮสต์ไปยังเครือข่ายภายใน จะทำให้การรับส่งข้อมูล DNS แบบไดนามิกจากปลายทางของลูกค้า Route53 ถูกทำการ hijacked และส่งไปยังเซิร์ฟเวอร์ DNS อื่นหรือผู้โจมตีโดยตรงหากมีการลงทะเบียนชื่อ DNS ตรงกัน

นักวิจัยด้านความปลอดภัยทางไซเบอร์จาก Wiz กล่าวว่าพวกเขาสามารถดักการรับส่งข้อมูล DNS แบบไดนามิกจากองค์กรได้กว่า 15,000 แห่ง รวมถึง Fortune 500, หน่วยงานรัฐบาลของสหรัฐอเมริกา 45 แห่ง และหน่วยงานรัฐบาลระหว่างประเทศ 85 แห่ง โดยข้อมูลส่วนใหญ่เป็นข้อมูลที่สำคัญ อาทิ IP Address ภายใน, ชื่อเครื่องคอมพิวเตอร์, รายชื่อพนักงาน และที่อยู่ของบริษัท

เบื้องต้นทาง Amazon และ Google ได้ทำการแก้ไขปัญหาดังกล่าวแล้ว และทีมวิจัยของ Wiz ได้ทำการพัฒนาเครื่องมือเพื่อให้บริษัทต่างๆ ทดสอบว่าการอัปเดต DDNS ภายในรั่วไหลไปยังผู้ให้บริการ DNS หรือผู้โจมตีหรือไม่อีกด้วย

ที่มา : thehackernews.

Gigantic 100,000-strong botnet used to hijack traffic meant for Brazilian banks

นักวิจัยด้านความปลอดภัยของ Qihoo 360 จากประเทศจีนเปิดเผยการโจมตี Hijacked บนเราเตอร์ที่ใช้ในบ้านกว่า 100,000 เครื่องพร้อมทำการแก้ไขการตั้งค่า DNS เพื่อ redirects การร้องขอ DNS ของผู้ใช้งานไปยังเว็บไซต์ที่เป็นอันตราย (phishing site) เพื่อขโมยข้อมูลสำคัญในการเข้าสู่ระบบของผู้ใช้ โดยตั้งชื่อแคมเปญดังกล่าวว่า GhostDNS

Netlab นักวิจัยด้านความปลอดภัยของ Qihoo 360 เปิดเผยการทำงานของ GhostDNS ว่าจะทำการสแกนหา IP ของเราเตอร์ที่มีช่องโหว่ ใช้รหัสผ่านที่คาดเดาง่ายหรือไม่มีรหัสผ่านในการเข้าสู่ระบบการตั้งค่าเราเตอร์ และทำการแก้ไขการตั้งค่า DNS ใหม่ เพื่อ redirects การร้องขอ DNS ของผู้ใช้งานทั้งหมดที่ส่งผ่านเราเตอร์ที่ถูกบุกรุกไปยัง DNS Server ที่เป็นอันตรายเพื่อขโมยข้อมูลส่วนตัวของผู้ใช้ ทำให้เมื่อผู้ใช้พยายามเข้าสู่เว็บไซต์ที่ถูกต้องจะถูกส่งไปยังเว็บไซต์ที่อันตรายแทน ซึ่งเว็บไซต์ที่ถูก redirect ส่วนใหญ่เป็นเว็บไซต์ของธนาคารในประเทศบราซิลและบริการเว็บโฮสติ้งต่างๆ เช่น Netflix, Citibank.

Hackers can intercept and manipulate DNS queries, researchers warn

นักวิจัยได้แจ้งเตือนถึงการใช้งาน DNS query ที่ไม่ปลอดภัย ทำให้สามารถถูกดักขโมยข้อมูลโดยการปลอม DNS ให้ชี้ไปยังผู้ไม่หวังดี

อ้างอิงจากงานวิจัยที่ได้รับการเปิดเผยโดยนักวิจัยของมหาวิทยาลัย Texas สหรัฐอเมริกา และมหาวิทยาลัย China Tsinghua จากจีน ระบุว่า DNS query ประมาณ 0.66% ของการเข้าถึงเว็บไซต์ที่ส่งผ่าน TCP สามารถถูกดักฟังข้อมูลได้ ทีมงานวิจัยจากจีนและสหรัฐอเมริกาอธิบายผลการวิจัยไว้ในบทความ "Who Is Answering My Queries : Understanding and Characterizing Interception of the DNS Resolution Path.

‘MaMi’ Mac Malware Hijacks DNS Settings

Patrick Wardle ได้วิเคราะห์มัลแวร์ตัวใหม่ที่ออกแบบมาเพื่อโจมตีไปที่การตั้งค่า DNS บนอุปกรณ์ macOS ชื่อ OSX / MaMi หรือ "SBMaMiSettings" ปัจจุบันสามารถตรวจจับได้โดย ESET และ Ikarus มีชื่อ Signature ว่า OSX / DNSChanger.

systemd Vulnerability Leads to Denial of Service on Linux

แจ้งเตือนช่องโหว่ใน DNS resolver ของ systemd ยิงระบบค้างได้

นักวิจัยและพัฒนาช่องโหว่ William Gamazo Sanchez จาก TrendMicro ได้มีการเปิดเผยการค้นพบช่องโหว่พร้อมทั้งรายละเอียดล่าสุดวันนี้โดยช่องโหว่ที่มีการค้นพบนั้นเป็นช่องโหว่รหัส CVE-2017-15908 ซึ่งอยู่ในฟังก์ชันการทำ DNS resolve ของ systemd ซึ่งปัจจุบันมีการใช้งานอยู่ในระบบปฏิบัติการลินุกซ์หลายดิสโทร

การโจมตีช่องโหว่นี้จะเกิดขึ้นเมื่อเซิร์ฟเวอร์ที่ให้บริการ DNS ที่มีช่องโหว่ทำการรีเควสต์เพื่อร้องขอข้อมูลไปยังเซิร์ฟเวอร์ที่ให้บริการ DNS ที่ถูกควบคุมโดยผู้โจมตี โดยเซิร์ฟเวอร์ที่ให้บริการ DNS ที่ถูกควบคุมโดยผู้โจมตีจะมีการส่งข้อมูลตอบรับแบบพิเศษมาส่งผลให้เซิร์ฟเวอร์ที่ให้บริการ DNS ทีมีช่องโหว่เมื่อได้รับแพ็คเกตดังกล่าวแล้วจะทำการวนการทำงานแบบไม่มีสิ้นสุด ใช้ทรัพยากรของระบบจนหมดและทำให้ระบบไม่สามารถให้บริการได้
Recommendation ในตอนนี้ช่องโหว่นี้ได้มีแพตช์ออกมาเป็นที่เรียบร้อยแล้ว ทาง TrendMicro แนะนำให้ผู้ดูแลระบบทำการตรวจสอบแพตช์เฉพาะดิสโทรของตัวเองโดยทันที อย่างไรก็ตามหากระบบไม่สามารถทำการแพตช์ได้ TrendMicro แนะนำให้ผู้ดูแลระบบทำการบล็อคแพ็คเกต DNS แบบพิเศษที่สามารถโจมตีช่องโหว่ได้ (ดูเพิ่มเติมใน RFC 4034 ส่วนที่ 4 หรือ NSEC record) เพื่อป้องกันระบบในเบื้องต้น

ที่มา : Trendmicro

Behind the Masq: Yet more DNS, and DHCP, vulnerabilities

Google ประกาศการค้นพบช่องโหว่ร้ายแรงบน Dnsmaq รีบแพตช์โดยด่วน

Dnsmasq ซอฟต์แวร์แบบเซอร์วิสสำหรับการให้บริการ DNS, DHCP, Route Advertisements และ Network boot เป็นซอฟต์แวร์ที่ติดตั้งบนอุปกรณ์ที่รันระบบปฏิบัติการ Linux, IoT, Home Router ที่ใช้กันอย่างแพร่หลายทั้งบนอินเทอร์เน็ตแบบเปิดและภายในองค์กรรวมไปถึงเครือข่ายส่วนตัว

ช่องโหว่ที่ถูกพบมีจำนวน 7 รายการ ซึ่งประกอบด้วย ช่องโหว่ Remote Code Execution จำนวน 3 รายการ
1 รายการทำให้เกิด Information leak และอีก 3 รายการเป็นช่องโหว่ denial of service (DoS) ตัวอย่างช่องโหว่ที่มีความร้ายแรงสูง อาทิ
CVE-2017-14491 ช่องโหว่ DNS-based ซึ่งมีผลกระทบต่อการตั้งค่าเครือข่ายภายในที่เปิดโดยตรง ทำให้เกิด Overflow ได้ 2 byte
CVE-2017-14493 เป็นช่องโหว่ DHCP-based ที่ทำให้เกิด Buffer Overflow เมื่อใช้ร่วมกับ CVE-2017-14494 จะทำให้ข้อมูลรั่วไหล ผู้บุกรุกสามารถ Bypass ASLR และรันโค้ดจากระยะไกลได้
CVE-2017-14496 ส่งผลกระทบกับ Android ทำให้ระบบไม่สามารถทำงานได้

ช่องโหว่ทั้งหมดถูกแก้ไขใน Dnsmasq เวอร์ชันล่าสุด (2.78) เรียบร้อยแล้ว สำหรับ CVE-2017-14496 ได้ถูกแก้ไขในเวอร์ชั่น 2.76

ที่มา : Google Security Blog

คำชี้แจงจาก TeamViewer จากกรณีข่าวผู้ใช้งานถูก Hack

หลังจากมีผู้ใช้ TeamViewer หลายรายแจ้งว่าไม่สามารถล็อกอินเข้าใช้บริการได้ ประกอบกับทางทวิตเตอร์ของ TeamViewer (@TeamViewer_help) ได้แจ้งว่ามีปัญหาด้านเครือข่าย อยู่ระหว่างการแก้ไข ต่อมา ผู้ใช้หลายรายได้แจ้งว่าเครื่องคอมพิวเตอร์ที่ติดตั้ง TeamViewer ไว้ ถูกล็อกอินเข้ามาใช้งานโดยบุคคลอื่น ผู้ใช้บางรายพบว่ามีผู้เชื่อมต่อเข้ามาแล้วใช้โปรแกรมดูรหัสผ่านที่ถูกบันทึกไว้ในเบราว์เซอร์เพื่อนำไปใช้ขโมยเงินจากธนาคารออนไลน์ ผู้ใช้บางรายถูกติดตั้งมัลแวร์เรียกค่าไถ่ลงในเครื่อง

โดยทาง TeamViewer แจ้งว่าปัญหาที่ทำให้ระบบล่มเกิดจากเซิร์ฟเวอร์ DNS ถูกโจมตี แต่ปฏิเสธว่าระบบไม่ได้ถูกเจาะจนเป็นเหตุให้ผู้ใช้ถูกล็อกอินโดยบุคคลอื่น ซึ่งทางทีมงานอ้างว่าผู้ใช้ที่ถูกขโมยบัญชีเกิดจากการที่ตั้งรหัสผ่านสำหรับล็อกอินเป็นรหัสผ่านเดียวกับบริการอื่นที่เคยถูกแฮกไปก่อนหน้านี้แล้วมีการเผยแพร่รหัสผ่านดังกล่าวบนอินเทอร์เน็ต อย่างไรก็ตาม เรื่องนี้มีประเด็นข้อสงสัยหลายจุด เช่น ผู้ใช้บางรายอ้างว่าถูกแฮกได้ถึงแม้ไม่ได้ตั้งรหัสผ่านซ้ำกับบริการอื่นเลย รวมถึงสำนักข่าว The Register ยังพบข้อสังเกตว่ามีผู้ใช้บางรายถูกล็อกอินได้ถึงแม้จะมีการเปิดใช้งานการยืนยันตัวตนสองขั้นตอน (two factor Authentication)

โดยทาง Teamviewer ออกมาแนะนำให้ผู้ใช้งานดำเนินการเพื่อความปลอดภัยดังต่อไปนี้

สร้าง password สำหรับแต่ละ account
ไม่แจกหรือบอก password แก่ผู้อื่น
มีการเปลี่ยน password อยู่เสมอ
ไม่ใช้ข้อมูลในเชิง identifiable information เป็นส่วนหนึ่งใน password (วันเดือนปีเกิด,เบอร์มือถือ)
ใช้การยืนยันตัวตนชนิด two factor Authentication
ไม่จดหรือจัดเก็บ password ในรูปแบบ Plain text หรือง่ายต่อการลักลอบใช้จากผู้อื่น

ที่มา : ThaiCERT

Latest DoS Attacks Used Old Protocol for Amplification

Akamai หนึ่งในผู้ให้บริการ Cloud Services และ Content Delivery Network ขนาดใหญ่ที่สุดของโลก ได้ออกมาเตือนภัยของการโจมตี DDoS รูปแบบใหม่ที่ใช้เราท์เตอร์ตามบ้านหรือธุรกิจขนาดเล็ก (SOHO Router) เป็นตัวเร่งปริมาณทราฟฟิค เพื่อโจมตีเป้าหมาย หรือที่เรียกว่า Amplification Attack โดยใช้โปรโตคอลแลกเปลี่ยนข้อมูลเส้นทางเก่าแก่อย่าง RIPv1 ในการเร่งปริมาณทราฟฟิคถึง 130 เท่า

แทนที่จะใช้โปรโตคอล DNS หรือ NTP ทาง Akamai ตรวจพบ DDoS ทราฟฟิคที่ใช้โปรโตคอล RIPv1 ซึ่งคาดว่าแฮกเกอร์ได้ทำการส่ง Request ไปยังกลุ่มเราท์เตอร์ที่ใช้ RIPv1 เพื่อให้เราท์เตอร์เหล่านั้นส่ง Response ซึ่งมีขนาดใหญ่กว่าหลายเท่าไปยังเป้าหมายที่ต้องการโจมตี จากการตรวจสอบ พบว่า Request ทั่วไปจะมีขนาด 24 Bytes แต่ Response จะมีขนาดใหญ่เป็นจำนวนเท่าของ 504 Bytes ซึ่งบางครั้งอาจใหญ่ถึง 10 เท่า (5,040 Bytes) ซึ่งทราฟฟิค DDoS ที่ตรวจจับได้มีค่าเฉลี่ยในการเร่งขนาดถึง 13,000 เปอร์เซ็น จากต้นทุน Request ขนาด 24 Bytes

Akamai ระบุว่า จากการตรวจสอบการโจมตี DDoS ที่ใช้โปรโตคอล RIPv1 นี้ พบว่ามีขนาดใหญ่สุดที่ 12.8 Gbps โดยใช้เราท์เตอร์ประมาณ 500 เครื่องในการรุมโจมตีเป้าหมาย นอกจากนี้ Akamai ยังได้ทำการตรวจสอบอุปกรณ์ที่คาดว่ามีความเสี่ยงที่จะถูกใช้ในการโจมตีรูปแบบดังกล่าว มีปริมาณมากถึง 53,693 เครื่อง ซึ่งส่วนใหญ่เป็นเราท์เตอร์ที่ใช้งานตามบ้านหรือธุรกิจขนาดเล็ก
เพื่อหลีกเลี่ยงการตกเป็นเหยื่อของการโจมตีแบบ RIPv1-based DDoS Attack แนะนำว่าผู้ใช้งานควรจำกัดการเข้าถึงพอร์ท UDP 520 ซึ่งเป็นพอร์ทของโปรโตคอล RIP และสำหรับผู้ที่ใช้เราท์เตอร์ที่ใช้งาน RIPv1 อยู่ แนะนำว่าให้เปลี่ยนไปใช้ RIPv2 แทน

ที่มา : eWEEK

Misconfigured DNS servers may leak domain info, warns US-CERT

US-CERT ศูนย์ประสานการรักษาความมั่นคงระบบคอมพิวเตอร์สหรัฐอเมริกา ได้ประกาศแนะนำให้ผู้ดูแลระบบเซิฟเวอร์ DNS ตรวจสอบการตั้งค่าบนเครื่องเซิฟเวอร์ของตนอย่างละเอียดถี่ถ้วน เนื่องจากการตั้งค่าอย่างไม่ถูกต้องในการตอบคำร้องขอ AXFR (Asynchronous Transfer Full Range) อาจทำให้ข้อมูลสำคัญของโดเมนรั่วไหลออกไปได้

EC Council official website hacked

กลุ่มแฮกเกอร์ที่ชื่อว่า "Eugene Belford" ได้ทำการแฮกเว็บไซต์ EC-Council ซึ่งเป็นเว็บไซต์การเรียนรู้เกี่ยวกับการแฮก โดยแฮกเกอร์นั้นได้โจมตีโดยใช้วิธีการ hijacking เข้าไปที่ DNS และ deface เว็บไซต์ และเป็นไปได้ว่าแฮกเกอร์สามารถเข้าถึงข้อมูลส่วนตัว เช่น บัญชีอีเมล์ต่างๆ เป็นต้น ในการ deface เว็บไซต์นั้น แฮกเกอร์ได้ใส่เอกสารข้อมูลของ "Edward Snowden" ที่ระบุว่า "Edward Snowden" ได้มีการเข้าร่วมการเรียน CEH ในประเทศอินเดียอีกด้วย

ที่มา : ehackingnews