Singtel บริษัทเทเลคอมสัญชาติสิงคโปร์ประกาศการค้นพบการบุกรุกเครือข่ายซึ่งมีที่มาจากช่องโหว่ของผลิตภัณฑ์ Accellion File-transfer Appliance (FTA) หลังจากที่มีการตรวจพบและมีการแก้ไขแพตช์ไปบางส่วนแล้วเมื่อช่วงต้นปีที่ผ่านมา เหยื่อจากการโจมตี จากช่องโหว่ยังรวมไปถึงหน่วยงานวิจัยด้านสุขภาพในออสเตรเลียด้วย

อ้างอิงจากประกาศของ Accellion ผลิตภัณฑ์ FTA ถูกตรวจพบว่ามีช่องโหว่ตั้งแต่ในช่วงกลางเดือนธันวาคมโดยทางบริษัทได้ดำเนินการแก้ไขแพตช์โดยทันที อย่างไรก็ตามการแก้ไขแพตช์ที่เกิดขึ้นนั้นครอบคลุมช่องโหว่เพียงแค่บางส่วน Accellion ระบุว่าทางบริษัทมีการตรวจพบในภายหลังว่ามีช่องโหว่อยู่อีกหลายรายการ จนดำเนินการมาถึงช่วงเดือนมกราคมที่ช่องโหว่ถูกนำมาใช้ในการโจมตี ในปัจจุบัน แพตช์ล่าสุดของอุปกรณ์ได้รับการปล่อยไปแล้วในวันที่ 27 ธันวาคม อย่างไรก็ตามความสามารถในการรับแพตช์ไปอัปเดตก็อาจเป็นปัญหาหนึ่งที่ผู้โจมตีนำมาใช้เพื่อฉวยโอกาสในการโจมตีได้

จากประกาศของ Singtel ทางบริษัทยังไม่สามารถระบุความเสียหาย ผลกระทบ รวมไปถึงเป้าหมายในการโจมตีได้อย่างชัดเจน เนื่องจาก Singtel มีบริการอยู่ในหลายประเทศรวมไปถึงกับทาง AIS ในประเทศไทย การประเมินผลกระทบจึงจำเป็นต้องทำอย่างถี่ถ้วนเพื่อให้แน่ใจถึงขอบเขตของความเสียหายอย่างชัดเจน ไอ-ซีเคียวจะรายงานหากมีข้อมูลเพิ่มเติมต่อไป

ที่มา: threatpost

Adobe ได้เปิดตัวแพตช์อัปเดตด้านความปลอดภัยประจำเดือนกุมภาพันธ์ 2021 โดยในเดือนกุมภาพันธ์นี้ Adobe ได้ทำการแก้ไขช่องโหว่ 50 รายการที่ส่งผลกระทบต่อผลิตภัณฑ์ 7 รายการ ได้แก่ Adobe Reader, Acrobat, Magento, Photoshop, Animate, Illustrator และ Dreamweaver

ช่องโหว่ที่สำคัญระดับความรุนแรง “Critical” ถูกติดตามด้วยรหัส CVE-2021-21017 ซึ่งเป็นช่องโหว่ Heap-based Buffer Overflow ที่อาจทำให้ผู้โจมตีที่เเฝงโค้ดที่เป็นอันตรายบนเว็บไซต์สามารถเรียกใช้โค้ดจากระยะไกลบนคอมพิวเตอร์ที่มีช่องโหว่ได้ รวมถึงการรันคำสั่งและติดตั้งมัลแวร์บนคอมพิวเตอร์ของเหยื่อได้ โดยช่องโหว่ดังกล่าวจะมีผลกระทบกับ Adobe Acrobat และ Reader สำหรับ Windows และ macOS

นอกเหนือจากช่องโหว่ของผลิตภัณฑ์ Reader แล้ว Adobe ยังได้แก้ไขช่องโหว่ที่สำคัญอื่น ๆ ในผลิตภัณฑ์ Magento จำนวน 18 รายการ, Acrobat และ Reader จำนวน 23 รายการ, Photoshop จำนวน 5 รายการ, Adobe Animate จำนวน 1 รายการ, Adobe Illustrator จำนวน 2 รายการและ Adobe Dreamweaver จำนวน 1 รายการ

Adobe แนะนำให้ผู้ใช้ทำการรีบอัปเดตแพตช์ด้านความปลอดภัยให้เป็นเวอร์ชันล่าสุดอย่างเร่งด่วนเพื่อป้องกันผู้ประสงค์ร้ายใช้ประโยชน์จากช่องโหว่เพื่อทำการโจมตีระบบที่ไม่ได้รับการอัปเดตแพตช์ด้านความปลอดภัย

ที่มา: bleepingcomputer

ไมโครซอฟต์ประกาศแพตช์ช่องโหว่ด้านความปลอดภัยใน Patch Tuesday รอบเดือนกุมภาพันธ์ 2021 เมื่อวานนี้ ซอฟต์แวร์ที่ได้รับแพตช์ในรอบนี้สูงสุดยังคงเป็น Windows ซึ่งได้รับแพตช์ไปทั้งหมด 28 รายการจากทั้งหมด 64 CVE ในมุมของผลกระทบนั้น มีช่องโหว่ทั้งหมด 11 รายการที่ถูกระบุอยู่ในเกณฑ์ Critical

จากรายการที่ประกาศ ทีมนักวิจัยจาก DB App Security ได้ตรวจพบว่าช่องโหว่ CVE-2021-1732 ซึ่งเป็นช่องโหว่ Privilege escalation ใน Windows Kernel ได้ถูกนำมาใช้โจมตีจริงโดยกลุ่ม APT ทีมนักวิจัยได้มีการเขียนรายงานการตรวจพบและการวิเคราะห์ช่องโหว่เอาไว้ ซึ่งสามารถอ่านเพิ่มได้ที่ dbappsecurity

ในขณะเดียวกัน มีการค้นพบช่องโหว่ RCE ระดับ Critical (CVSS 9.8/10) ใน TCP/IP stack ของ Windows ทั้งหมด 2 รายการ จากลักษณะของช่องโหว่ มีความเป็นไปได้สูงว่าช่องโหว่สามารถถูกโจมตีได้จากระยะไกลเพื่อรันโค้ดที่เป็นอันตราย

แพตช์ล่าสุดในรอบนี้ยังมีการแก้แพตช์ช่องโหว่รหัส CVE-2021-1733 ซึ่งเป็นช่องโหว่ Privilege escalation ในเครื่องมือ PsExec ด้วย ช่องโหว่นี้ได้เคยมีการพยายามแก้ไขแพตช์ในเครื่องมือ PsExec แล้วเมื่อเดือนมกราคม อย่างไรก็ตามนักวิจัยด้านความปลอดภัย David Wells ระบุว่าแพตช์ที่เกิดขึ้นในเดือนมกราคมนั้นไม่สมบูรณ์ ซึ่งส่งผลให้แพตช์ถูกบายพาสและยังคงโจมตีช่องโหว่ได้

ขอให้ผู้ใช้งานและผู้ดูแลระบบดำเนินการอัปเดตแพตช์โดยด่วนเพื่อจัดการความเสี่ยงที่จะมีการโจมตีโดยใช้ช่องโหว่เหล่านี้

ที่มา: zdnet,dbappsecurity,twitter,bleepingcomputer

บริษัทเกมชื่อดัง CD Projekt Red ผู้ผลิตเกมชื่อดังอย่าง Cyberpunk 2077 ออกมาประกาศว่าบริษัทตกเป็นเหยื่อล่าสุดของการโจมตีแบบพุ่งเป้าโดยมัลแวร์เรียกค่าไถ่ โดยผู้โจมตีได้เข้าถึงระบบภายใน เก็บและโอนถ่ายข้อมูลบางส่วนออก จากนั้นทำการเข้ารหัสข้อมูลส่วนที่เหลือพร้อมกับเรียกค่าไถ่

เคสการโจมตี CD Projekt Red นับว่าเป็นกรณีศึกษาที่ดีมากกรณีหนึ่ง เนื่องจากทางบริษัทได้มีการทำแบ็คอัพระบบเอาไว้เสมอ และแบ็คอัพดังกล่าวนั้นไม่ได้รับผลกระทบจากการโจมตี ทางบริษัทจึงมีแผนที่จะไม่จ่ายค่าไถ่และกู้คืนระบบขึ้นมาจากแบ็คอัพโดยทันที นอกจากนั้น CD Projekt Red ยังได้มีการออกแถลงการณ์อย่างเป็นทางการ และให้ข้อมูลเกี่ยวกับการโจมตีซึ่งรวมไปถึงโน้ตเรียกค่าไถ่ที่ผู้โจมตีทิ้งเอาไวด้วย

จากข้อมูลที่เผยแพร่โดย CD Projekt Red นักวิจัยด้านความปลอดภัย Fabian Wosar จาก Emsisoft ได้เชื่อมโยงข้อมูลดังกล่าวและพบความสอดคล้องกับกลุ่มมัลแวร์เรียกค่าไถ่ที่ใช้ชื่อว่า HelloKitty ซึ่งเริ่มมีปฏิบัติการตั้งแต่เดือนพฤศจิกายนปีที่แล้ว เป็นต้นมา กลุ่ม HelloKitty ยังเคยทำการโจมตีบริษัทด้านพลังงานสัญชาติบราซิลอย่าง CEMIG ด้วย

ในขณะนี้ข้อมูลเกี่ยวกับผู้โจมตีและภัยคุกคามยังมีเพียงแค่ส่วนที่เป็นมัลแวร์เรียกค่าไถ่ ยังไม่ปรากฎข้อมูลเพิ่มเติมว่าผู้โจมตีมีพฤติกรรมการโจมตีอย่างไรบ้างจนสามารถรันมัลแวร์เรียกค่าไถ่ได้ในท้ายที่สุด ขอให้ติดตามการอัปเดตข้อมูลในอนาคตต่อไป

ผลจากการโจมตี CD Projekt Red เริ่มทำให้มีผู้แอบอ้างว่าได้ครอบครองข้อมูลจากการโจมตีบริษัทฯ และพร้อมจะนำมาเปิดประมูลขายให้กับผู้ให้ราคาสูงสุด ทั้งนี้ยังไม่มีการประกาศขายหรือการประมูลใดที่มีข้อมูลยืนยันและน่าเชื่อมากพอว่าผู้ที่ประกาศขายนั้นมีการครอบครองข้อมูลจริง

ที่มา: twitter, facebook, bleepingcomputer, securityweek, theregister, threatpost, zdnet, bleepingcomputer, twitter

นักวิจัยด้านความปลอดภัย Alex Birsan และ Justin Gardner ได้มีการเผยแพร่เทคนิคการโจมตีใหม่ภายใต้ชื่อ Dependency Confusion ซึ่งอาศัยช่องโหว่ของการดาวน์โหลดและติดตั้งแพ็คเกจของนักพัฒนาในการลักลอบนำแพ็คเกจซึ่งเป็นอันตรายไปรันใน Environment ภายในของนักพัฒนา วิธีการนี้ถูกใช้ทดสอบกับกว่า 35 บริษัท Tech ซึ่งรวมไปถึง Microsoft, Apple, PayPal, Shopify, Netflix, Yelp, Tesla, และ Uber และสามารถใช้โจมตีได้จริง

คีย์หลักของการโจมตีนั้นอยู่ในจุดที่ว่า หากผู้โจมตีทราบถึงชื่อของไลบรารีหรือแพ็คเกจที่นักพัฒนาจะใช้งานภายในกระบวนการพัฒนาแอป ผู้โจมตีจะใช้ข้อมูลดังกล่าวในการนำไปสร้างเป็นไลบรารีหรือแพ็คเกจที่มีชื่อเหมือนกันใน Public repository แทนและสอดแทรกโค้ดที่เป็นอันตรายเข้าไปในลักษณะที่คล้ายกับ Supply-chain attack การโจมตีในลักษณะนี้ส่วนหนึ่งเกิดขึ้นได้เนื่องจากพฤติกรรมของ Package manager ที่จะใช้ความสำคัญกับแพ็คเกจที่อยู่บน Public repository มากกว่าที่อยู่ในระบบภายใน

สองนักพัฒนาได้ทำการทดสอบช่องโหว่นี้กับ Package manager อย่าง npm, RubyGems, PyPI, JFrog และ NuGet พบว่าสามารถใช้การโจมตีนี้ได้ทั้งหมด

การค้นพบช่องโหว่ดังกล่าวนำไปสู่การแจ้งเตือนยังบริษัทที่ได้รับผลกระทบ และส่งผลให้นักวิจัยทั้งสองได้รับรางวัลจากโครงการ Bug Bounty ไปกว่า 130,000 ดอลลาร์สหรัฐฯ หรือประมาณเกือบ 4 ล้านบาท

หลังจากมีการแจ้งช่องโหว่ ไมโครซอฟต์ได้มีการจัดทำ Whitepaper ขึ้นมาเพื่อให้คำแนะนำและระบุความเสี่ยงของเทคนิคการโจมตีนี้ เราขอแนะนำให้นักพัฒนาศึกษารายละเอียดเพิ่มเติมจาก azure เพื่อลดความเสี่ยงในการถูกโจมตี

บล็อกงานวิจัยต้นฉบับ: medium

ที่มา: zdnet, bleepingcomputer

Emsisoft ประกาศเมื่อสัปดาห์ที่ผ่านมาว่าทางบริษัทได้มีการตรวจสอบการตั้งค่าที่ผิดพลาดในฐานข้อมูล ซึ่งในส่วนระบบที่ใช้สำหรับประเมินประสิทธิภาพผลิตภัณฑ์และทดสอบ บันทึกการใช้งานตรวจพบการเข้าถึงบางส่วนของฐานข้อมูลแต่ไม่สามารถยืนยันได้ว่ามีข้อมูลมากน้อยแค่ไหนที่ถูกเข้าถึงไปบ้าง

ในการตรวจสอบเบื้องต้น ฐานข้อมูลดังกล่าวถูกติดตั้งผิดพลาดไว้ตั้งแต่วันที่ 18 มกราคม จนถึงวันที่ 3 กุมภาพันธ์ ซึ่งเป็นช่วงเวลาที่การตั้งค่าผิดพลาดนั้นถูกตรวจพบ การตรวจสอบพบว่าในฐานข้อมูลดังกล่าวนั้นมีข้อมูลส่วนบุคคลเฉพาะในลักษณะที่เป็นอีเมลทั้งหมด 14 รายการ จาก 7 องค์กร/บริษัท ที่แตกต่างกันออกไป

ข้อมูลในส่วนอื่นซึ่งคาดว่าได้รับผลกระทบนั้น ได้ว่า Technical log ซึ่งเกิดจากการทำงานของโซลูชัน Endpoint protection ของ Emsisoft เองซึ่งไม่มีข้อมูลส่วนบุคคลประกอบอยู่ รวมไปถึงไม่มีข้อมูลใด ๆ เกี่ยวกับลูกค้าหรือผู้ใช้งาน การตรวจสอบเหตุการณ์ไม่พบหลักฐานที่ยืนยันการโจมตีดังกล่าวตั้งใจพุ่งเป้ามาที่บริษัท และไม่พบผลกระทบต่อระบบ Production

Emsisoft ได้มีการประสานงานกับผู้ได้รับผลกระทบและดำเนินการเสริมความปลอดภัยตามความเหมาะสมแล้ว

ที่มา: securityweek

VMware ประกาศแพตช์ด้านความปลอดภัยให้กับช่องโหว่รหัส CVE-2020-3999 ซึ่งเป็นช่องโหว่ DoS ส่งผลกระทบต่อผลิตภัณฑ์ในกลุ่ม ESXi, Workstation, Fusion และ Cloud Foundation

ช่องโหว่ CVE-2020-3999 ถูกค้นพบโดย Lucas Leong และ Murray McAllister โดยผลลัพธ์ของช่องโหว่นั้นทำให้ผู้ใช้งานซึ่งมีสิทธิ์เป็นแค่ผู้ใช้งานทั่วไปในระบบที่สามารถเข้าถึง virtual machine ต่าง ๆ ได้สามารถสร้างเงื่อนไขเพื่อทำให้โปรเซส vmx ของ virtual machine นั้น crash และทำให้เกิดเงื่อนไขของการปฏิเสธการให้บริการ

ผู้ดูแลระบบสามารถตรวจสอบเวอร์ชันของผลิตภัณฑ์ที่ได้รับผลกระทบเพิ่มเติมได้จากหัวข้อ Response Matrix จากลิงค์ในแหล่งที่มาข่าว

ที่มา: vmware

นักวิจัยด้านความปลอดภัย M. Shahpasandi ได้เปิดเผยถึงความเคลื่อนไหวล่าสุดจากผู้ดูแลระบบ Ziggy Ransomware ซึ่งได้ทำการประกาศผ่านทาง Telegram ว่ากำลังปิดระบบการทำงานของ Ziggy Ransomware และจะปล่อยคีย์ถอดรหัสทั้งหมดให้เเก่ผู้ที่ตกเป็นเหยื่อ

ผู้ดูแลระบบ Ziggy Ransomware กล่าวว่าพวกเขารู้สึกผิดเกี่ยวกับการกระทำและมีความกังวลเกี่ยวกับการดำเนินการบังคับใช้กฏหมายซึ่งเกิดขึ้นแล้วกับ Emotet และ Netwalker Ransomware เป็นเหตุให้ผู้ดูแลระบบจึงตัดสินใจปิดระบบและปล่อยคีย์ทั้งหมดให้เเก่ผู้ที่ตกเป็นเหยื่อ

ผู้ดูแลระบบ Ziggy Ransomware ได้ทำการโพสต์ไฟล์ SQL ที่มีคีย์ถอดรหัสจำนวน 922 คีย์สำหรับเหยื่อที่ถูกเข้ารหัส ซึ่งไฟล์ SQL จะแสดงคีย์สามคีย์ที่จำเป็นในการถอดรหัสไฟล์ นอกจากนี้ผู้ดูแลระบบแรนซัมแวร์ยังโพสต์ตัวถอดรหัสและซอร์สโค้ดสำหรับตัวถอดรหัสอื่นที่ทำให้สามารถสร้างซอฟต์แวร์ถอดรหัสแบบออฟไลน์ เพื่อถอดรหัสให้กับเหยื่อที่ติดไวรัสและไม่สามารถเชื่อมต่อกับอินเทอร์เน็ตหรือไม่สามารถเข้าถึงเซิร์ฟเวอร์ที่ดูแลควบคุมได้

ทั้งนี้ BleepingComputer ได้แนะนำให้ผู้ที่ตกเป็นเหยื่อใช้ตัวถอดรหัสของบริษัทรักษาความปลอดภัยอย่าง Emsisoft แทนที่จะเป็นตัวถอดรหัสที่มาจากกลุ่ม Ziggy Ransomware เพื่อ ป้องกันมัลแวร์อื่น ๆ เช่นแบ็คดอร์ที่อาจเเฝงไว้กับตัวถอดรหัส

ที่มา: bleepingcomputer

 

Google ได้ลบและบังคับให้ถอนการติดตั้ง Extension ที่มีชื่อว่า “The Great Suspender” ออกจาก Chrome web store โดย The Great Suspender เป็น Extension ที่นิยมอย่างมากและมีผู้ใช้มากกว่า 2,000,000 ราย หลังจากมีการตรวจพบว่า The Great Suspender มีโค้ดของมัลแวร์ฝังอยู่

Great Suspender เป็น Extension ใน Google Chrome ที่จะระงับแท็บที่ไม่ได้ใช้งานและยกเลิกการโหลดทรัพยากรเพื่อลดการใช้หน่วยความจำของเบราว์เซอร์ ซึ่งเมื่อผู้ใช้พร้อมที่จะใช้แท็บอีกครั้งผู้ใช้คลิกที่แท็บเพื่อใช้งานต่อได้

Google ได้ตรวจสอบ Extension และพบว่าผู้พัฒนา Extension ที่ได้ทำการซึ้อ โปรเจกต์ในเดือนมิถุนายน 2020 เพื่อนำไปพัฒนาต่อได้ทำการเพิ่มฟีเจอร์ที่ทำให้สามารถเรียกใช้โค้ดได้โดยผู้ใช้ไม่ได้อนุญาตจากเซิร์ฟเวอร์ระยะไกลรวมถึง Extension มีโค้ดในการติดตามผู้ใช้ทางออนไลน์และกระทำการแฝงโฆษณาไว้ ซึ่งฟีเจอร์ดังกล่าวอยู่ใน The Great Suspender เวอร์ชัน 7.1.8

ทั้งนี้สำหรับผู้ที่ต้องการใช้ Extension ที่ชื่อว่า The Great Suspender อย่างถูกต้องและเวอร์ชันดังเดิมสามารถเข้าไปดาวน์โหลดได้ที่ GitHub ซึ่งเป็นเวอร์ชันสุดท้ายของ Extension คือเวอร์ชัน 7.1.6 ได้ที่: github

ที่มา: bleepingcomputer, thehackernews

เว็บไซต์ SitePoint เว็บสอนด้านการพัฒนาและออกแบบเว็บไซต์ชื่อดังออกมายอมรับว่าระบบของตนตกเป็นเหยื่อในการโจมตีหลังจากมีการพบฐานข้อมูลของเว็บไชต์ SitePoint ถูกขายในฟอรั่มแฮกเกอร์กว่าหนึ่งล้านราย โดยการโจมตีนั้นเกิดขึ้นในเดือนธันวาคม 2020

ฐานข้อมูลที่ถูกพบประกอบด้วยข้อมูลของสมาชิกผู้ใช้งานเว็บไชต์ SitePoint จำนวน 1,020,959 คน ซึ่งมีรายละเอียดคือ ชื่อบัญชีผู้ใช้งาน, อีเมลรหัสผ่านที่แฮชฟังก์ชั่น bcrypt และ slate, วันเดือนปีเกิด, ประเทศ, IP address และข้อมูลอื่น ๆ

SitePoint ได้ทำการสอบสวนเหตุการณ์การบุกรุก พบว่าผู้ประสงค์ร้ายได้เข้าถึงเครือข่ายผ่านการละเมิดเครื่องมือสำหรับ third party และคีย์ API ที่ถูกขโมยเพื่อเข้าถึง codebase และระบบของ SitePoint

ทั้งนี้ SitePoint ได้ทำการรีเซ็ตรหัสผ่านของผู้ใช้งานแล้วผู้ใช้ที่เข้าสู่ระบบต้องทำการตั้งรหัสผ่านใหม่เป็นจำนวน 10 ตัวอักษรขึ้นไปก่อนเข้าสู่ระบบ อย่างไรก็ดีหากมีการใช้รหัสผ่าน SitePoint ของผู้ใช้ในเว็บไซต์อื่น ๆ ผู้ใช้ควรเปลี่ยนรหัสผ่านใหม่ซึ่งใช้แยกจากระบบอื่น ๆ และควรระมัดระวังการโจมตีแบบฟิชชิงจากอีเมลด้วย

ที่มา: zdnet, bleepingcomputer