นักวิจัยด้านความปลอดภัยไซเบอร์ เปิดเผยรายละเอียดของพฤติกรรมการสแกนบน Cloud ซึ่งมุ่งเป้าไปที่ "จุดเสี่ยง" ที่แตกต่างกัน 75 จุดเมื่อต้นเดือนนี้
การดำเนินการดังกล่าว ซึ่งถูก GreyNoise สังเกตพบเมื่อวันที่ 8 พฤษภาคม 2025 เกี่ยวข้องกับ IP Address ที่เป็นอันตรายมากถึง 251 รายการ ซึ่งทั้งหมดอยู่ในญี่ปุ่น และโฮสต์โดย Amazon
(more…)
Cisco แจ้งเตือนถึงการพยายามใช้ประโยชน์จากช่องโหว่ด้านความปลอดภัยในซอฟต์แวร์ IOS และซอฟต์แวร์ IOS XE ที่ทำให้แฮ็กเกอร์ที่ผ่านการยืนยันตัวตน สามารถสั่งรันโค้ดที่เป็นอันตรายจากระยะไกลได้
ช่องโหว่ CVE-2023-20109 (ความรุนแรงระดับปานกลาง) มีคะแนน CVSS อยู่ที่ 6.6 โดยจะส่งผลต่อซอฟต์แวร์ทุกเวอร์ชันที่เปิดใช้งานโปรโตคอล GDOI หรือ G-IKEv2
Cisco ระบุว่าปัญหานี้เป็นผลมาจากการตรวจสอบคุณสมบัติของโปรโตคอล GDOI และ G-IKEv2 ของฟีเจอร์ GET VPN ที่ไม่เพียงพอ ทำให้เซิร์ฟเวอร์คีย์ที่ติดตั้งไว้ถูกโจมตี หรือแก้ไข configuration ของ group member เพื่อนำไปยังเซิร์ฟเวอร์ที่ถูกควบคุมโดยแฮ็กเกอร์
ช่องโหว่นี้ถูกค้นพบหลังจากการนำซอร์สโค้ดไปตรวจสอบ ภายหลังจากการพบการพยายามโจมตี GET VPN
การเปิดเผยดังกล่าวเกิดขึ้นเมื่อ Cisco ให้รายละเอียดช่องโหว่ 5 รายการใน Catalyst SD-WAN Manager (เวอร์ชั่น 20.3 ถึง 20.12) ที่อาจทำให้ผู้โจมตีสามารถเข้าถึงอินสแตนซ์ที่ได้รับผลกระทบ หรือทำให้เกิด DoS บนระบบได้ดังนี้
• CVE-2023-20252 (CVSS score: 9.8) - Unauthorized Access Vulnerability
• CVE-2023-20253 (CVSS score: 8.4) - Unauthorized Configuration Rollback Vulnerability
• CVE-2023-20034 (CVSS score: 7.5) - Information Disclosure Vulnerability
• CVE-2023-20254 (CVSS score: 7.2) - Authorization Bypass Vulnerability
• CVE-2023-20262 (CVSS score: 5.3) - Denial-of-Service Vulnerability
การใช้ประโยชน์จากช่องโหว่นี้ อาจทำให้แฮ็กเกอร์สามารถเข้าถึงแอปพลิเคชันโดยไม่ได้รับอนุญาต โดยการ bypass authorization และการ roll back controller configurations รวมถึงสามารถเข้าถึงฐานข้อมูล Elasticsearch ของระบบ รวมไปถึง tenant ของผู้ใช้งานรายอื่นที่จัดการโดยบัญชีผู้ใช้รายเดียวกันได้
Cisco แนะนำให้ผู้ใช้งานอัปเกรดแพตซ์เป็นเวอร์ชันล่าสุดเพื่อแก้ไขปัญหาช่องโหว่ดังกล่าว
ที่มา : thehackernews
นักวิจัยด้านความปลอดภัยได้ค้นพบฐานข้อมูลเว็บไซต์ Forex trading ของโบรกเกอร์ FBS ที่มีขนาดข้อมูลเกือบ 20 TB ที่อยู่บนเซิร์ฟเวอร์ ElasticSearch ซึ่งมีข้อมูลมากกว่า 16,000 ล้านรายการ
FBS เป็นโบรกเกอร์ออนไลน์ Forex trading ที่มีผู้ใช้มากกว่า 16 ล้านคนบนแพลตฟอร์มซึ่งครอบคลุม 190 ประเทศ โดยนักวิจัยด้านความปลอดภัยได้พบเซิร์ฟเวอร์ ElasticSearch ที่เปิดทิ้งไว้โดยไม่มีการป้องกันด้วยรหัสผ่านหรือการเข้ารหัสใด ๆ ซึ่งทำให้ทุกคนสามารถเข้าถึงข้อมูล FBS ได้
โดยข้อมูลที่ถูกค้นพบประกอบไปด้วย ชื่อ, รหัสผ่าน, อีเมล, หมายเลขหนังสือเดินทาง, บัตรประจำตัวประชาชน, บัตรเครดิต, ธุรกรรมทางการเงินและอื่น ๆ นอกจากนี้ยังมีไฟล์ที่ถูกอัปโหลดโดยผู้ใช้เพื่อยืนยันการตรวจสอบบัญชี ซึ่งมีเอกสารเช่น รูปถ่ายส่วนตัว, บัตรประจำตัวประชาชน, ใบขับขี่, สูติบัตร, ใบแจ้งยอดบัญชีธนาคาร, ค่าสาธารณูปโภคและรูปภาพบัตรเครดิตของธนาคารในฝรั่งเศสและสวีเดน และรายละเอียด Transaction รวม 500,000 ดอลลาร์
ผู้ใช้ที่เป็นสมาชิกโบรกเกอร์ FBS ควรทำการตรวจสอบบัญชีและควรทำการเปลื่ยนรหัสผ่านและเปิดการใช้งาน Two-factor authentication (2FA) บนแพลตฟอร์มและเฝ้าระวังกิจกรรมที่ผิดปกติที่อาจส่งผลกระทบกับการเงิน ทั้งนี้ผู้ใช้ควรระมัดระวังการถูกใช้ข้อมูลที่ถูกรั่วไหลเพื่อทำการหลอกลวงด้วยเทคนิคฟิชชิง รวมทั้งไม่ควรเปิดเผยข้อมูลที่เป็นความลับส่วนบุคคลใด ๆ ที่ร้องขอทางอีเมลหรือทางโทรศัพท์
ที่มา: itpro
ทีมนักวิจัยจาก vpnMentor เปิดเผยปฏิบัติการ Phishing และการหลอกลวงเอาข้อมูลบัตรเครดิคจากผู้ใช้งาน Facebook และหลังจากมีการตรวจระบบ ElasticSearch ของกลุ่มแฮกเกอร์ที่ถูกตั้งค่าไว้อย่างไม่ปลอดภัย ทำให้ทีมนักวิจัยสามารถเข้าถึงข้อมูลของเหยื่อได้
กลุ่มแฮกเกอร์ใช้วิธีการหลอกเป้าหมายใน Facebook เพื่อเข้ายึดครองบัญชีผู้ใช้งานโดยการหลอกให้ผู้ใช้งานกรอกข้อมูลสำหรับยืนยันตัวตนใส่โปรแกรมที่อ้างว่าจะช่วยให้ผู้ใช้งานทราบว่าใครเข้ามาดูหน้าโปรไฟล์ของพวกเขาได้ จากนั้น กลุ่มแฮกเกอร์จะนำข้อมูลบัญชีผู้ใช้ Facebook ที่ได้มาไปสแปมในโพสต์ต่าง ๆ ของ Facebook เพื่อหลอกลวงด้วยสถานการณ์อื่น ๆ
ในส่วนของระบบ ElasticSearch ของผู้โจมตีนั้น ทีมนักวิจัยจาก vpnMentor ระบุว่าข้อมูลซึ่งอยู่ในระบบ ElasticSearch มีขนาดประมาณ 5.5 กิกะไบต์, เก็บข้อมูลทั้งหมด 13,521,774 รายการ และมีข้อมูลของบัญชีผู้ใช้งานที่ไม่ซ้ำกันทั้งหมด 100,000 บัญชี ประวัติการใช้งานระบุว่าระบบดังกล่าวถูกเปิดใช้งานมาตั้งแต่เดือนมิถุนายนก่อนที่จะถูกตรวจพบในช่วงปลายเดือนกันยายนที่ผ่านมา
ข้อมูลในระบบ ElasticSearch ประกอบไปด้วยข้อมูลสำหรับยืนยันตัวตนของบัญชี Facebook เหยื่อ, หมายเลขไอพีแอดเดรส, เทมเพลตข้อความเพื่อใช้ในการคอมเมนต์โดยผู้โจมตี, และข้อมูลส่วนตัวอื่นๆ ในขณะนี้ทางทีมวิจัยได้มีการติดต่อไปยัง Facebook เพื่อประสานงานและแจ้งให้ผู้ใช้ได้รับทราบแล้ว
ที่มา: threatpost
บริษัท Cyble ผู้เชี่ยวชาญด้านไซเบอร์ซีเคียวริตี้ได้กล่าวว่าในเดือนธันวาคม 2019 เว็บไซต์ Hackread.com รายงานว่าเซิร์ฟเวอร์ Elasticsearch ได้ทำการกำหนดการค่าผิดทำให้เปิดเผยข้อมูลส่วนบุคคลของผู้ใช้ 267 ล้านคน ข้อมูลส่วนใหญ่เป็นของผู้ใช้ในสหรัฐอเมริกาและมีโปรไฟล์ Facebook, ชื่อเต็ม, ไอดีของผู้ใช้บัญชีและ timestamp ของบัญชี
บริษัท Cyble ผู้เชี่ยวชาญด้านไซเบอร์ซีเคียวริตี้ได้พบบัญชีผู้ใช้ Facebook ถูกนำมาวางขายถึง 267 ล้านบัญชี มีราคาขายประมาณ $600 บนแฮกเกอร์ฟอรัม ข้อมูลที่ถูกขายนั้นประกอบไปด้วย ลิงก์ที่เข้าถึงโปรไฟล์ Facebook, ชื่อ, ที่อยู่, อีเมล, หมายเลขโทรศัพท์, อายุ, วันเดือนปีเกิด, สถานะ, เพศ, และเมืองที่อาศัย
ผู้เชี่ยวชาญคาดว่าเป็นข้อมูลที่ถูกขายนั้นเป็นข้อมูลชุดเดียวกันกับการรั่วไหลข้อมูลของ Elasticsearch ผู้เชี่ยวชาญได้ทำการซื้อและวิเคราะห์ข้อมูลที่ถูกขาย ข่าวดีคือไม่มีรหัสผ่านของผู้ใช้ แต่ข้อมูลที่ถูกขายนั้นเพียงพอที่จะสามารถดำเนินการทำฟิชชิงบัญชีของผู้ที่ตกเป็นเหยื่อ
ผู้เชี่ยวชาญยังกล่าวอีกว่าในเดือนมีนาคม 2019 บริษัท Facebook ได้เปิดเผยต่อสื่อว่าบริษัทได้ทำการเก็บรหัสผ่านผู้ใช้ 600 ล้านข้อความเป็น Plain Text และมีรหัสผ่านของพนักงานมากกว่า 20,000 คน และเมื่อวันที่ 4 เมษายน 2019 ข้อมูลส่วนตัวของผู้ใช้ Facebook กว่า 540 ล้านคนถูกเปิดเผยต่อสาธารณเนื่องจากไม่มีการป้องกันข้อมูลที่ฝากข้อมูลจาก Amazon Web Services (AWS) S3
ข้อเเนะนำจากผู้เชี่ยวชาญ
ผู้ใช้ Facebook ควรทำการตั้งค่าความเป็นส่วนตัวในโปรไฟล์ Facebook และระมัดระวังอีเมลหรือข้อความที่ส่งลิงค์มาเชิญชวนให้เปลี่ยนรหัสผ่านรวมถึงการให้ตั้งค่า
ที่มา: www.
พบช่องโหว่ Local File Inclusion (LFI) ในปลั๊กอิน Kibana data visualization tool ใช้สำหรับแสดงผลข้อมูลจาก Elasticsearch
Kibana เป็นเครื่องมือที่ถูกใช้อย่างแพร่หลายเพื่อแสดงผลข้อมูลจาก Elasticsearch ให้อยู่ในรูปแบบต่างๆ มีประโยชน์สำหรับการวิเคราะห์ข้อมูลและการสร้างภาพข้อมูลในรูปแบบต่างๆ จาก PoC code ที่ได้มีการเผยแพร่ออกมาเป็นเพียง code 1 บรรทัดที่มีตัวอักษรประมาณ 110 ตัว ซึ่งใน code จะมีการระบุถึงพาธของ Directory ที่ใช้เก็บ Password (/etc/passwd) รวมอยู่ด้วย เมื่อมีการรัน credential ที่อยู่ในพาธดังกล่าวจะถูกบันทึกไปยัง Kibana Log ด้วย
ช่องโหว่ดังกล่าวส่งผลให้ผู้โจมตีสามารถอัปโหลดสคริปต์ที่เป็นอันตรายและสามารถเข้าถึงระบบจากระยะ มีผลกระทบต่อ Kibana เวอร์ชั่นก่อน 6.4.3 และ 5.6.13 ซึ่งทีม Slow Mist Technology เป็นผู้เปิดเผยรายละเอียดของช่องโหว่ CVE-2018-17246
แนะนำให้ผู้ใช้งานอัพเกรด Elastic Stack เป็นเวอร์ชันใหม่กว่า 6.4.3 หรือ 5.6.13 หรือปิดการใช้ปลั๊กอิน Kibana ซึ่งสามารถทำได้จากการกำหนดค่า ('kibana.