IP ที่โฮสต์บน Amazon จำนวน 251 รายการ ถูกใช้ใน Exploit Scan ที่มุ่งเป้าไปที่ ColdFusion, Struts และ Elasticsearch

นักวิจัยด้านความปลอดภัยไซเบอร์ เปิดเผยรายละเอียดของพฤติกรรมการสแกนบน Cloud ซึ่งมุ่งเป้าไปที่ "จุดเสี่ยง" ที่แตกต่างกัน 75 จุดเมื่อต้นเดือนนี้

การดำเนินการดังกล่าว ซึ่งถูก GreyNoise สังเกตพบเมื่อวันที่ 8 พฤษภาคม 2025 เกี่ยวข้องกับ IP Address ที่เป็นอันตรายมากถึง 251 รายการ ซึ่งทั้งหมดอยู่ในญี่ปุ่น และโฮสต์โดย Amazon

(more…)

Cisco แจ้งเตือนช่องโหว่ใน IOS และ IOS XE ที่อาจทำให้แฮ็กเกอร์สามารถโจมตีระบบได้

Cisco แจ้งเตือนถึงการพยายามใช้ประโยชน์จากช่องโหว่ด้านความปลอดภัยในซอฟต์แวร์ IOS และซอฟต์แวร์ IOS XE ที่ทำให้แฮ็กเกอร์ที่ผ่านการยืนยันตัวตน สามารถสั่งรันโค้ดที่เป็นอันตรายจากระยะไกลได้

ช่องโหว่ CVE-2023-20109 (ความรุนแรงระดับปานกลาง) มีคะแนน CVSS อยู่ที่ 6.6 โดยจะส่งผลต่อซอฟต์แวร์ทุกเวอร์ชันที่เปิดใช้งานโปรโตคอล GDOI หรือ G-IKEv2

Cisco ระบุว่าปัญหานี้เป็นผลมาจากการตรวจสอบคุณสมบัติของโปรโตคอล GDOI และ G-IKEv2 ของฟีเจอร์ GET VPN ที่ไม่เพียงพอ ทำให้เซิร์ฟเวอร์คีย์ที่ติดตั้งไว้ถูกโจมตี หรือแก้ไข configuration ของ group member เพื่อนำไปยังเซิร์ฟเวอร์ที่ถูกควบคุมโดยแฮ็กเกอร์

ช่องโหว่นี้ถูกค้นพบหลังจากการนำซอร์สโค้ดไปตรวจสอบ ภายหลังจากการพบการพยายามโจมตี GET VPN

การเปิดเผยดังกล่าวเกิดขึ้นเมื่อ Cisco ให้รายละเอียดช่องโหว่ 5 รายการใน Catalyst SD-WAN Manager (เวอร์ชั่น 20.3 ถึง 20.12) ที่อาจทำให้ผู้โจมตีสามารถเข้าถึงอินสแตนซ์ที่ได้รับผลกระทบ หรือทำให้เกิด DoS บนระบบได้ดังนี้

• CVE-2023-20252 (CVSS score: 9.8) - Unauthorized Access Vulnerability
• CVE-2023-20253 (CVSS score: 8.4) - Unauthorized Configuration Rollback Vulnerability
• CVE-2023-20034 (CVSS score: 7.5) - Information Disclosure Vulnerability
• CVE-2023-20254 (CVSS score: 7.2) - Authorization Bypass Vulnerability
• CVE-2023-20262 (CVSS score: 5.3) - Denial-of-Service Vulnerability

การใช้ประโยชน์จากช่องโหว่นี้ อาจทำให้แฮ็กเกอร์สามารถเข้าถึงแอปพลิเคชันโดยไม่ได้รับอนุญาต โดยการ bypass authorization และการ roll back controller configurations รวมถึงสามารถเข้าถึงฐานข้อมูล Elasticsearch ของระบบ รวมไปถึง tenant ของผู้ใช้งานรายอื่นที่จัดการโดยบัญชีผู้ใช้รายเดียวกันได้

Cisco แนะนำให้ผู้ใช้งานอัปเกรดแพตซ์เป็นเวอร์ชันล่าสุดเพื่อแก้ไขปัญหาช่องโหว่ดังกล่าว

ที่มา : thehackernews

นักวิจัยพบฐานข้อมูลโบรกเกอร์ฟอเร็กซ์ FBS ถูกเปิดเผยที่มีข้อมูลผู้ใช้มากกว่า 16,000 ล้านรายการ

นักวิจัยด้านความปลอดภัยได้ค้นพบฐานข้อมูลเว็บไซต์ Forex trading ของโบรกเกอร์ FBS ที่มีขนาดข้อมูลเกือบ 20 TB ที่อยู่บนเซิร์ฟเวอร์ ElasticSearch ซึ่งมีข้อมูลมากกว่า 16,000 ล้านรายการ

FBS เป็นโบรกเกอร์ออนไลน์ Forex trading ที่มีผู้ใช้มากกว่า 16 ล้านคนบนแพลตฟอร์มซึ่งครอบคลุม 190 ประเทศ โดยนักวิจัยด้านความปลอดภัยได้พบเซิร์ฟเวอร์ ElasticSearch ที่เปิดทิ้งไว้โดยไม่มีการป้องกันด้วยรหัสผ่านหรือการเข้ารหัสใด ๆ ซึ่งทำให้ทุกคนสามารถเข้าถึงข้อมูล FBS ได้

โดยข้อมูลที่ถูกค้นพบประกอบไปด้วย ชื่อ, รหัสผ่าน, อีเมล, หมายเลขหนังสือเดินทาง, บัตรประจำตัวประชาชน, บัตรเครดิต, ธุรกรรมทางการเงินและอื่น ๆ นอกจากนี้ยังมีไฟล์ที่ถูกอัปโหลดโดยผู้ใช้เพื่อยืนยันการตรวจสอบบัญชี ซึ่งมีเอกสารเช่น รูปถ่ายส่วนตัว, บัตรประจำตัวประชาชน, ใบขับขี่, สูติบัตร, ใบแจ้งยอดบัญชีธนาคาร, ค่าสาธารณูปโภคและรูปภาพบัตรเครดิตของธนาคารในฝรั่งเศสและสวีเดน และรายละเอียด Transaction รวม 500,000 ดอลลาร์

ผู้ใช้ที่เป็นสมาชิกโบรกเกอร์ FBS ควรทำการตรวจสอบบัญชีและควรทำการเปลื่ยนรหัสผ่านและเปิดการใช้งาน Two-factor authentication (2FA) บนแพลตฟอร์มและเฝ้าระวังกิจกรรมที่ผิดปกติที่อาจส่งผลกระทบกับการเงิน ทั้งนี้ผู้ใช้ควรระมัดระวังการถูกใช้ข้อมูลที่ถูกรั่วไหลเพื่อทำการหลอกลวงด้วยเทคนิคฟิชชิง รวมทั้งไม่ควรเปิดเผยข้อมูลที่เป็นความลับส่วนบุคคลใด ๆ ที่ร้องขอทางอีเมลหรือทางโทรศัพท์

ที่มา: itpro

ElasticSearch ของแฮกเกอร์หลุด เผยปฏิบัติการขโมยข้อมูลจาก Facebook กับเหยื่อกว่า 100,000 ราย

ทีมนักวิจัยจาก vpnMentor เปิดเผยปฏิบัติการ Phishing และการหลอกลวงเอาข้อมูลบัตรเครดิคจากผู้ใช้งาน Facebook และหลังจากมีการตรวจระบบ ElasticSearch ของกลุ่มแฮกเกอร์ที่ถูกตั้งค่าไว้อย่างไม่ปลอดภัย ทำให้ทีมนักวิจัยสามารถเข้าถึงข้อมูลของเหยื่อได้

กลุ่มแฮกเกอร์ใช้วิธีการหลอกเป้าหมายใน Facebook เพื่อเข้ายึดครองบัญชีผู้ใช้งานโดยการหลอกให้ผู้ใช้งานกรอกข้อมูลสำหรับยืนยันตัวตนใส่โปรแกรมที่อ้างว่าจะช่วยให้ผู้ใช้งานทราบว่าใครเข้ามาดูหน้าโปรไฟล์ของพวกเขาได้ จากนั้น กลุ่มแฮกเกอร์จะนำข้อมูลบัญชีผู้ใช้ Facebook ที่ได้มาไปสแปมในโพสต์ต่าง ๆ ของ Facebook เพื่อหลอกลวงด้วยสถานการณ์อื่น ๆ

ในส่วนของระบบ ElasticSearch ของผู้โจมตีนั้น ทีมนักวิจัยจาก vpnMentor ระบุว่าข้อมูลซึ่งอยู่ในระบบ ElasticSearch มีขนาดประมาณ 5.5 กิกะไบต์, เก็บข้อมูลทั้งหมด 13,521,774 รายการ และมีข้อมูลของบัญชีผู้ใช้งานที่ไม่ซ้ำกันทั้งหมด 100,000 บัญชี ประวัติการใช้งานระบุว่าระบบดังกล่าวถูกเปิดใช้งานมาตั้งแต่เดือนมิถุนายนก่อนที่จะถูกตรวจพบในช่วงปลายเดือนกันยายนที่ผ่านมา

ข้อมูลในระบบ ElasticSearch ประกอบไปด้วยข้อมูลสำหรับยืนยันตัวตนของบัญชี Facebook เหยื่อ, หมายเลขไอพีแอดเดรส, เทมเพลตข้อความเพื่อใช้ในการคอมเมนต์โดยผู้โจมตี, และข้อมูลส่วนตัวอื่นๆ ในขณะนี้ทางทีมวิจัยได้มีการติดต่อไปยัง Facebook เพื่อประสานงานและแจ้งให้ผู้ใช้ได้รับทราบแล้ว

ที่มา: threatpost

บัญชี Facebook 267 ล้านรายการถูกแฮกเกอร์นำมาวางขายในแฮกเกอร์ฟอรัม

บริษัท Cyble ผู้เชี่ยวชาญด้านไซเบอร์ซีเคียวริตี้ได้กล่าวว่าในเดือนธันวาคม 2019 เว็บไซต์ Hackread.com รายงานว่าเซิร์ฟเวอร์ Elasticsearch ได้ทำการกำหนดการค่าผิดทำให้เปิดเผยข้อมูลส่วนบุคคลของผู้ใช้ 267 ล้านคน ข้อมูลส่วนใหญ่เป็นของผู้ใช้ในสหรัฐอเมริกาและมีโปรไฟล์ Facebook, ชื่อเต็ม, ไอดีของผู้ใช้บัญชีและ timestamp ของบัญชี

บริษัท Cyble ผู้เชี่ยวชาญด้านไซเบอร์ซีเคียวริตี้ได้พบบัญชีผู้ใช้ Facebook ถูกนำมาวางขายถึง 267 ล้านบัญชี มีราคาขายประมาณ $600 บนแฮกเกอร์ฟอรัม ข้อมูลที่ถูกขายนั้นประกอบไปด้วย ลิงก์ที่เข้าถึงโปรไฟล์ Facebook, ชื่อ, ที่อยู่, อีเมล, หมายเลขโทรศัพท์, อายุ, วันเดือนปีเกิด, สถานะ, เพศ, และเมืองที่อาศัย

ผู้เชี่ยวชาญคาดว่าเป็นข้อมูลที่ถูกขายนั้นเป็นข้อมูลชุดเดียวกันกับการรั่วไหลข้อมูลของ Elasticsearch ผู้เชี่ยวชาญได้ทำการซื้อและวิเคราะห์ข้อมูลที่ถูกขาย ข่าวดีคือไม่มีรหัสผ่านของผู้ใช้ แต่ข้อมูลที่ถูกขายนั้นเพียงพอที่จะสามารถดำเนินการทำฟิชชิงบัญชีของผู้ที่ตกเป็นเหยื่อ

ผู้เชี่ยวชาญยังกล่าวอีกว่าในเดือนมีนาคม 2019 บริษัท Facebook ได้เปิดเผยต่อสื่อว่าบริษัทได้ทำการเก็บรหัสผ่านผู้ใช้ 600 ล้านข้อความเป็น Plain Text และมีรหัสผ่านของพนักงานมากกว่า 20,000 คน และเมื่อวันที่ 4 เมษายน 2019 ข้อมูลส่วนตัวของผู้ใช้ Facebook กว่า 540 ล้านคนถูกเปิดเผยต่อสาธารณเนื่องจากไม่มีการป้องกันข้อมูลที่ฝากข้อมูลจาก Amazon Web Services (AWS) S3

ข้อเเนะนำจากผู้เชี่ยวชาญ
ผู้ใช้ Facebook ควรทำการตั้งค่าความเป็นส่วนตัวในโปรไฟล์ Facebook และระมัดระวังอีเมลหรือข้อความที่ส่งลิงค์มาเชิญชวนให้เปลี่ยนรหัสผ่านรวมถึงการให้ตั้งค่า

ที่มา: www.

File Inclusion Bug in Kibana Console for Elasticsearch Gets Exploit Code

พบช่องโหว่ Local File Inclusion (LFI) ในปลั๊กอิน Kibana data visualization tool ใช้สำหรับแสดงผลข้อมูลจาก Elasticsearch

Kibana เป็นเครื่องมือที่ถูกใช้อย่างแพร่หลายเพื่อแสดงผลข้อมูลจาก Elasticsearch ให้อยู่ในรูปแบบต่างๆ มีประโยชน์สำหรับการวิเคราะห์ข้อมูลและการสร้างภาพข้อมูลในรูปแบบต่างๆ จาก PoC code ที่ได้มีการเผยแพร่ออกมาเป็นเพียง code 1 บรรทัดที่มีตัวอักษรประมาณ 110 ตัว ซึ่งใน code จะมีการระบุถึงพาธของ Directory ที่ใช้เก็บ Password (/etc/passwd) รวมอยู่ด้วย เมื่อมีการรัน credential ที่อยู่ในพาธดังกล่าวจะถูกบันทึกไปยัง Kibana Log ด้วย

ช่องโหว่ดังกล่าวส่งผลให้ผู้โจมตีสามารถอัปโหลดสคริปต์ที่เป็นอันตรายและสามารถเข้าถึงระบบจากระยะ มีผลกระทบต่อ Kibana เวอร์ชั่นก่อน 6.4.3 และ 5.6.13 ซึ่งทีม Slow Mist Technology เป็นผู้เปิดเผยรายละเอียดของช่องโหว่ CVE-2018-17246

แนะนำให้ผู้ใช้งานอัพเกรด Elastic Stack เป็นเวอร์ชันใหม่กว่า 6.4.3 หรือ 5.6.13 หรือปิดการใช้ปลั๊กอิน Kibana ซึ่งสามารถทำได้จากการกำหนดค่า ('kibana.