utorrent: various JSON-RPC issues resulting in remote code execution, information disclosure, etc.

Tavis Ormandy จาก Google Project Zero ได้ออกมาประกาศการค้นพบช่องโหว่บนโปรโตคอล JSON-RPC ซึ่งใช้ในโปรแกรม uTorrent รวมไปถึง Bittorrent ซึ่งทำให้ผู้โจมตีสามารถอัปโหลดไฟล์ที่เป็นอันตรายไปยังเครื่องที่มีช่องโหว่ได้ พร้อมช่องโหว่เล็กน้อยๆ อื่นอีกจำนวนหนึ่ง แนะนำให้อัปเดตเป็นเวอร์ชันเบต้าโดยด่วน

หนึ่งในช่องโหว่ที่มีความร้ายแรงสูงนั้นเกิดขึ้นจากการที่ uTorrent มีการรองรับการเชื่อมต่อผ่านโปรโตคอล JSON-RPC เป็นค่าเริ่มต้นและมีการเก็บข้อมูลซึ่งเกี่ยวข้องกับการพิสูจนต์ตัวตนที่ไม่ปลอดภัย ทำให้ผู้โจมตีสามารถใช้เทคนิคการโจมตีที่เรียกว่า DNS rebinding attack เพื่อลักลอบดึงข้อมูลที่เกี่ยวข้องกับการพิสูจน์ตัวตนดังกล่าวมาใช้งาน และควบคุมโปรแกรมให้ทำการอัปโหลด/ดาวโหลดไฟล์ไปยังตำแหน่งต่างๆ ในระบบได้

นอกเหนือจากช่องโหว่ที่เกี่ยวข้องกับ JSON-RPC นั้น โปรแกรม uTorrent ยังไม่มีการรองรับฟีเจอร์การป้องกันการของระบบ เช่น ASLR และมีการใช้ฟังก์ชันในการสร้าง token สำหรับพิสูจน์ตัวตนที่ไม่ปลอดภัยอีกด้วย Tavis ยังค้นพบว่า Bittorent นั้นก็ได้รับผลกระทบจากช่องโหว่ JSON-RPC เดียวกัน

Recommendation ในขณะนี้ uTorrent ได้มีการประกาศ uTorrent รุ่น 3.5.3 Beta ซึ่งมีการแก้ไขช่องโหว่ดังกล่าวแล้ว แนะนำให้ผู้ใช้งานทำการอัปเดตโปรแกรมเป็นเวอร์ชันล่าสุดโดยด่วน

ที่มา : Chromium

Mining Botnet Targeting Redis and OrientDB Servers Made Almost $1 Million

ช่องโหว่ โดยมีจุดประสงค์เพื่อแพร่กระจายมัลแวร์ขุด Monero "DDG" คาดมีจำนวนกว่า 4,000 เซิร์ฟเวอร์ สร้างรายได้กว่าเกือบ 1 ล้านดอลลาร์

อ้างอิงผลการสำรวจของ Netlab การโจมตีในครั้งนี้นั้นดูเหมือนจะมีจุดเริ่มต้นมาตั้งแต่ช่วงเดือนมีนาคม 2017 โดยผู้โจมตีนั้นพุ่งเป้าไปที่การเดารหัสผ่านสำหรับเซิร์ฟเวอร์ที่เป็น Redis และโจมตีด้วยช่องโหว่รหัส CVE-2017-11467 เพื่อให้สามารถรันโค้ดที่เป็นอันตรายได้กับเป้าหมายที่เป็น OrientDB จากสถิติการโจมตีที่รวบรวมมาได้นั้น 73% ของเซิร์ฟเวอร์ที่ถูกโจมตีนั้นอยู่ในจีนซึ่งส่วนแบ่งที่มีมากที่สุดนั้นมาจากเซิร์ฟเวอร์ที่เป็น Redis

เพื่อเป็นการป้องกันการแพร่กระจายของมัลแวร์ ผู้ดูแลระบบและผู้ใช้งานควรมีการปฏิบัติการ security best practice อย่างเคร่งครัด โดยสำหรับ Redis นั้น สามารถดำเนินการตามขั้นตอนแนะนำได้ที่ https://redis.

Browsealoud plugin hacked to mine Monero on 4,000 Govt websites

ต้นเหตุเพราะปลั๊กอิน! เว็บหน่วยงานราชการ UK ติด CoinHive กว่า 4,000 เว็บไซต์

เว็บหน่วยงานราชการของอังกฤษตกเป็นเป้าหมายการโจมตีอีกครั้งหลังจากแฮกเกอร์ทำการโจมตีช่องโหว่บนปลั๊กอิน Browsealoud เพื่อฝังสคริปต์สำหรับสร้างผลกำไรในสกุลเงินออนไลน์เสมือนกว่า 4,000 เว็บไซต์

ปลั๊กอินเจ้าปัญหา Browsealoud นั้นเป็นปลั๊กอินที่ช่วยให้ผู้พิการสามารถใช้งานเว็บไซต์ได้ง่ายมากขึ้น ในขณะเดียวกัน Texthelp ซึ่งเป็นผู้ผลิตปลั๊กอินดังกล่าวยืนยันว่าในขณะนี้ปลั๊กอิน Browsealoud กำลังถูกตรวจสอบเพื่อหาปัญหาด้านความปลอดภัยอย่างถี่ถ้วนอีกครั้ง และยืนยันว่าไม่มีการเข้าถึงหรือการขโมยข้อมูลที่เกี่ยวข้องกับผู้ใช้งานใดๆ
Recommendation หากเว็บไซต์ใดมีการใช้งาน Browsealoud อยู่ ทาง Texthelp ได้แนะนำให้ผู้ดูแลเว็บไซต์หรือระบบนำปลั๊กอินออกก่อน จนกว่าจะมีรายละเอียดและแพตช์ด้านความปลอดภัยที่สามารถช่วยลดผลกระทบได้

ที่มา : hackread

Lazarus Resurfaces, Targets Global Banks and Bitcoin Users

นักวิจัยจาก McAfee Advanced Threat Research (ATR) ได้มีการเปิดเผยแคมเปญการโจมตีล่าสุดภายใต้ชื่อ HaoBao ซึ่งพุ่งเป้าโจมตีผู้ครอบครองบิทคอยน์และสถาบันการเงินผ่านช่องทางอีเมลพร้อมไฟล์แนบอันตรายที่ดาวโหลดและติดตั้งมัลแวร์

McAfee ATR เชื่อว่าผู้ที่อยู่เบื้องหลังการโจมตีครั้งนี้นั้นเกี่ยวข้องกับกลุ่มแฮกเกอร์ Lazarus ซึ่งเคยฝากผลงานในการแฮก Sony อ้างอิงจากการใช้งานลักษณะอีเมลฟิชชื่งที่คล้ายกับที่ Lazarus เคยใช้

อีเมลที่ใช้แพร่กระจายมัลแวร์นั้นถูกปลอมแปลงเป็นอีเมลเกี่ยวกับการสมัครงานโดยมีลิงค์สำหรับดาวโหลดเอกสารเชื่อมไปยัง Dropbox โดยเอกสารดังกล่าวจะมีการฝังมาโครสคริปต์เพื่อดาวโหลดและติดตั้งมัลแวร์ ตัวมัลแวร์เองมีความสามารถในการขโมยข้อมูลออกจากเครื่องที่มีการแพร่กระจายรวมไปถึงสแกนหาการใช้งานที่เกี่ยวข้องกับบิทคอยน์ด้วย
Recommendation แนะนำให้ตรวจสอบพฤติกรรมการทำงานของระบบเทียบเคียงกับ IOC ที่ปรากฎตามแหล่งที่มา และดำเนินการตามความเหมาะสมหากพบเจอการแพร่กระจายของมัลแวร์อย่างเร็วที่สุด

ที่มา : securingtomorrow.

Destructive Malware Wreaks Havoc at PyeongChang 2018 Winter Olympics

ระบบที่เกี่ยวข้องกับมหกรรมโอลิมปิกฤดูหนาวประจำปี 2018 ซึ่งจัดขึ้นที่เมืองพย็องชัง เกาหลีใต้ ถูกรบกวนและโจมตีอย่างหนักในช่วงก่อนและระหว่างพิธีเปิดเป็นเวลากว่า 12 ชั่วโมง ส่งผลให้หลายระบบล่มและไม่สามารถให้บริการได้ เชื่อ "เกาหลีเหนือ", "จีน" และ "รัสเซีย" อยู่เบื้องหลังการโจมตี

Cisco Talos ได้ออกมาให้รายละเอียดเกี่ยวกับการโจมตีภายใต้ชื่อแคมเปญ "Olympic Destroyer" ในภายหลังว่า การโจมตีทางไซเบอร์ในครั้งนี้นั้นมุ่งหวังไปที่การทำลายและขัดขวางการทำงานของระบบเป็นสำคัญ หลังจากมีการตรวจพบมัลแวร์ที่มุ่งลบข้อมูลและแพร่กระจายโดยอาศัยการหาข้อมูลการเข้าถึงระบบจากเครื่องที่มีการติดเชื้อแล้ว

ในขณะนี้รายละเอียดที่ยังไม่ชัดเจนคือวิธีการที่ผู้โจมตีทำการปล่อยมัลแวร์เข้ามาในระบบ อย่างไรก็ตามการทำงานของมัลแวร์ประเภทนี้นั้นเผยให้เห็นเด่นชัดถึงจุดประสงค์การโจมตี มัลแวร์มีการแพร่กระจายโดยอาศัยโปรแกรท PsExec หลังจากนั้นจึงมีการลบข้อมูลสำคัญ เช่น ไฟล์สำรองของระบบและบันทึกการทำงาน รวมไปถึงปิดการใช้งานฟังก์ชันการกู้คืนระบบและทุกเซอร์วิสเพื่อทำให้ระบบไม่สามารถเปิดใช้งานได้

ที่มา : Bleepingcomputer

Joomla! 3.8.3: Privilege Escalation via SQL Injection

กลุ่มนักวิจัยด้านความปลอดภับจาก RIPS Technologies ได้มีการเปิดเผยถึงการค้นพบช่องโหว่ secord-order SQL injection ใน Joomla! เวอร์ชันก่อนหน้า 3.8.4 และมากกว่า 3.7.0 ซึ่งส่งผลให้ผู้โจมตีสามารถยกระดับสิทธิ์ตัวเองเป็นผู้ดูแลระบบเว็บไซต์ได้

ช่องโหว่นี้ได้รับการแพตช์ในแพตช์ด้านความปลอดภัยที่ถูกเผยแพร่ออกมาในวันที่ 30 มกราคม แนะนำให้ผู้ใช้งาน Joomla! ทำการตรวจสอบและอัปเดตโดยด่วน
Affected Platform - Joomla! รุ่นน้อยกว่า 3.8.4 และ มากกว่า 3.7.0

ที่มา : Ripstech

Cyber Espionage Group Targets Asian Countries With Bitcoin Mining Malware

ทีมนักวิจัยด้านความปลอดภัยจาก Bitdefender ได้ประกาศแจ้งเตือนแคมเปญการโจมตีภายใต้ชื่อ Operation PZChao ซึ่งเริ่มต้นเมื่อช่วงเดือนที่ผ่านมาหลังจากค้นพบมัลแวร์ที่ถูกพัฒนาขึ้นมาพิเศษเพื่อขโมยข้อมูลและแสวงหาผลกำไรจากสกุลเงินออนไลน์เสมือน

อ้างอิงจากพฤติกรรมของผู้โจมตี การใช้งานเครื่องมืออื่นๆ เข้ามาช่วยในการโจมตี Bitdefender กล่าวว่าพฤติกรรมในลักษณะนี้นั้นมีความคล้ายกับกลุ่มแฮกเกอร์ชาวจีนชื่อกลุ่ม Iron Tiger

กระบวนการโจมตีของแคมเปญ Operation PZChao นี้ผู้โจมตีจะมุ่งไปที่การแพร่กระจายไฟล์ที่โปรแกรมมัลแวร์ผ่านทางอีเมลฟิชชิ่งเพื่อให้ควบคุมระบบของเหยื่อได้ มัลแวร์ที่มีการค้นพบนั้นจะมีการติดต่อไปเซิร์ฟเวอร์ที่ใช้ออกคำสั่งและควบคุมที่อยู่ภายใต้โดเมนเนม pzchao.

Mozilla Fixes Severe Flaw in Firefox UI That Leads to Remote Code Execution

Mozilla เปิดตัว Firefox 58.0.1 เพื่อแก้ไขปัญหาด้านความปลอดภัยที่ซ่อนอยู่ในโค้ดส่วน UI ของเบราเซอร์ และสามารถถูกใช้ในการโจมตี ผ่านการสั่งรันโค้ดที่เป็นอันตราย เพื่อวาง malware หรือควบคุมเครื่องของเหยื่อได้ โดยได้รับรหัสเป็น CVE-2018-5124 คะแนนความรุนแรง CVSS เท่ากับ 8.8

Johann Hofmann วิศวกรด้านความปลอดภัยของ Mozilla จากประเทศเยอรมนี เป็นผู้ค้นพบช่องโหว่ในครั้งนี้
จากการตรวจสอบพบว่าเป็นช่องโหว่ในส่วนขององค์ประกอบบน Firefox ที่เรียกว่า "Chrome" ยกตัวอย่างเช่น menu bars, progress bars , window title bars, toolbars หรือ UI elements อื่นที่มาจากการลง Add-on ช่องโหว่ดังกล่าวจัดเป็นช่องโหว่ที่อันตรายอย่างยิ่ง เนื่องจากโค้ดนี้สามารถถูกซ่อนอยู่ภายใน iframe, loaded off-screen และสามารถทำงานภายใต้สิทธิ์ของผู้ใช้งานขณะนั้นโดยที่ไม่รู้ตัว ด้วยเหตุนี้ช่องโหว่ดังกล่าวจึงได้รับคะแนนความรุนแรง CVSS เท่ากับ 8.8 จาก 10 คะแนน

ทั้งนี้เวอร์ชั่นที่ได้รับผลกระทบได้แก่ Firefox 56.x, 57.x. และ 58.0.0 ในส่วนของ Firefox บน Android และ Firefox 52 ESR ไม่ได้รับผลกระทบจากช่องโหว่ดังกล่าว แนะนำให้ผู้ใช้อัพเดทแพตช์ เพื่อแก้ไขช่องโหว่ดังกล่าวโดยด่วน

ที่มา : bleepingcomputer

(Unpatched) Adobe Flash Player Zero-Day Exploit Spotted in the Wild

ศูนย์ประสานการรักษาความมั่นคงปลอดภัยระบบคอมพิวเตอร์เกาหลีใต้หรือ KR-CERT ออกประกาศแจ้งเตือนการโจมตีด้วยช่องโหว่ 0-day ของ Adobe Flash Player ที่ยังไม่มีการแพตช์ในตอนนี้เพื่อโจมตีผู้ใช้งานที่ใช้ Windows ในเกาหลีใต้ โดยการโจมตีครั้งนี้ KR-CERT กล่าวว่าเป็นการโจมตีจากเกาหลีเหนือ

อ้างอิงจากประกาศต่อมาจาก Adobe ช่องโหว่ที่ถูกโจมตีดังกล่าวในภายหลังถูกระบุด้วยรหัส CVE-2018-4878 ซึ่งมีที่มาจากปัญหา use-after-free ที่ทำให้ผู้โจมตีสามารถรันโค้ดที่เป็นอันตรายได้จากระยะไกล โดยช่องโหว่นี้ส่งผลกระทบตั้งแต่ Adobe Flash Player ตั้งแต่เวอร์ชัน 28.0.0.137 หรือเก่ากว่า

แนะนำให้ผู้ใช้งานทำการอัปเดตเวอร์ชันของ Adobe Flash Player โดยด่วน

ที่มา : thehackernews

Critical Oracle Micros POS Flaw Affects Over 300,000 Payment Systems

Oracle ได้ปล่อยแพตช์การรักษาความปลอดภัยเพื่อแก้ไขปัญหาช่องโหว่ที่อาจเกิดจากการโจมตีจากระยะไกล ซึ่งส่งผลกระทบต่อเครื่อง MICROS point-of-sale (POS) ที่ถูกใช้แพร่หลายในอุตสาหกรรมด้านการบริการกว่า 300,000 ร้านค้าทั่วโลก โดยแพตช์ที่ปล่อยออกมาเป็นหนึ่งในแพตช์ Oracle เดือนมกราคม 2018 ซึ่งมีช่องโหว่ด้านความปลอดภัย 238 ช่องโหว่ในผลิตภัณฑ์ต่างๆ ของบริษัท

ช่องโหว่ (CVE-2018-2636) อาจทำให้ผู้โจมตีสามารถอ่านข้อมูลสำคัญ ไฟล์บันทึกการบริการและไฟล์ Configuration ได้จาก MICROS workstation ที่มีช่องโหว่ โดยไม่จำเป็นที่จะต้องมีการตรวจสอบสิทธิ์ใด ๆ นักวิจัยเตือนว่า ผู้บุกรุกสามารถขโมยชื่อผู้ใช้และรหัสผ่านของฐานข้อมูลและเข้าถึงฐานข้อมูลทั้งหมดได้ นอกจากนี้ ERPScan ซึ่งเป็นผู้คนพบ ยังได้ทำการพิสูจน์การใช้ประโยชน์จาก Python ซึ่งถ้ารันบนเซิร์ฟเวอร์ MICROS ที่มีช่องโหว่ จะสามารถรันคำสั่งที่เป็นอันตรายเพื่อดึงไฟล์ข้อมูลสำคัญได้

แพทช์ Oracle ในเดือนมกราคมปีพ. ศ. 2561 ยังมีการแก้ไขปัญหาช่องโหว่ของโปรเซสเซอร์ Spectre และ Meltdown ที่มีผลต่อผลิตภัณฑ์ Oracle บางตัวอีกด้วย

ที่มา : thehackernews