ทีม Intelligent Response ได้ทำการวิเคราะห์และอธิบายรายละเอียดของช่องโหว่ NAT Slipstreaming ไว้แล้ว ผู้ที่สนใจสามารถอ่านเพิ่มเติมได้ที่ i-secure

นักวิจัยด้านความปลอดภัยจาก Armis ได้มีการเปิดเผยแนวทางการโจมตีใหม่สำหรับช่องโหว่ NAT Slipstreaming ภายใต้ชื่อ NAT Slipstreaming 2.0 โดยผลลัพธ์การโจมตีจากวิธีการใหม่นั้นจะทำให้ผู้โจมตีสามารถเข้าถึงทุกอุปกรณ์ซึ่งอยู่ในเครือข่ายภายในได้ (หลังอุปกรณ์ไฟร์วอลล์) จากเดิมที่สามารถเข้าถึงได้จากอุปกรณ์เดียวเมื่อโจมตีโดยใช้เทคนิคการโจมตีแบบดั้งเดิม

ในเทคนิค NAT Slipstreaming 2.0 นั้น การโจมตีจะพุ่งเป้าไปที่ H.323 ALG แทน ALG ทั่วไปซึ่งจะทำให้ผู้โจมตีสามารถสร้างช่องทางเพื่อทะลุผ่านอุปกรณ์ NAT และไฟร์วอลล์ไปยังอุปกรณ์ใด ๆ ที่อยู่ในเครือข่ายภายในได้ เพียงแค่เป้าหมายมีการเข้าถึงเว็บไซต์ที่ผู้โจมตีส่งให้ การโจมตีใน NAT Slipstreaming 2.0 ยังมีการใช้โปรโตคอล WebRTC TURN ผ่านโปรโตคอล TCP ไปยังพอร์ตใด ๆ ที่ผู้โจมตีต้องการ โดยการใช้ WebRTC TURN ช่วยบายพาสลอจิคการตรวจสอบพอร์ตของโปรแกรมเว็บเบราว์เซอร์ซึ่งมีการตั้งค่ามาเพื่อป้องกัน NAT Slipstreaming รุ่นแรกอีกด้วย

ทาง Armis ได้เปิดเผยผลกระทบของ NAT Slipstreaming 2.0 ที่มีต่ออุปกรณ์เครือข่าย โดยจากการทดสอบนั้นระบบและอุปกรณ์ที่ได้รับผลกระทบได้แก่ OpenWRT, VyOS, บางรุ่นของ Fortigate, Cisco, HPE และ Sonicwall (ดูรุ่นของอุปกรณ์ที่ได้รับผลกระทบจากงานวิจัย)

ในขณะเดียวกัน Google ได้มีการประกาศเพิ่มพอร์ตที่ถูกบล็อคเพิ่มเติมให้ไม่สามารถใช้งาน HTTP/HTTPS/FTP ผ่านทางพอร์ตเหล่านี้เพื่อป้องกันการโจมตี โดยพอร์ตที่จะถูกบล็อคล่าสุดได้แก่ 69, 137, 161, 1719, 1723, 6566, และ 10080

รายละเอียดของเทคนิค NAT Slipstreaming 2.0 สามารถอ่านเพิ่มเติมได้ที่ armis

ที่มา: zdnet

บริษัท Mozilla Corporation ผู้ให้บริการเว็บเบราว์เซอร์ Firefox ได้ประกาศแผนการเพื่อยกเลิกการรองรับโปรโตคอล FTP จากเว็บเบราว์เซอร์ Firefox ผู้ใช้จะไม่สามารถดาวน์โหลดไฟล์ผ่านโปรโตคอล FTP และดูเนื้อหาและโฟลเดอร์ภายในเว็บเบราว์เซอร์ Firefox

Michal Novotny วิศวกรซอฟต์แวร์ของบริษัท Mozilla Corporation กล่าวว่า Mozilla วางแผนที่จะปิดการใช้งานและการสนับสนุนโปรโตคอล FTP ด้วยการเปิดตัว Firefox เวอร์ชั่น 77 ซึ่งมีกำหนดการอัพเดตในเดือนมิถุนายนปีนี้ ผู้ใช้จะยังสามารถดูเนื้อหาและดาวน์โหลดไฟล์ผ่าน FTP ได้แต่จะต้องทำการเปิดใช้งานการสนับสนุน FTP ผ่านการตั้งค่าในหน้า about:config ในปี 2021 เว็บเบราว์เซอร์จะหยุดการให้บริการจัดการเนื้อหาบนโปรโตคอล FTP ทั้งหมด

การตัดสินใจยกเลิกการรองรับโปรโตคอล FTP ของ Mozilla มาจากที่การที่บริษัท Google ได้ทำการตัดสินใจที่คล้ายกันเกี่ยวกับโปรโตคอล FTP ใน Google Chrome เมื่อปีที่แล้วในเดือนสิงหาคม 2019 Google ประกาศแผนการที่จะลบความสามารถในการเข้าถึงและดูลิงก์ FTP จาก Google Chrome การสนับสนุน FTP จะถูกปิดใช้งานตามค่าเริ่มต้นใน Google Chrome เวอร์ชั่น 81

ที่มา: zdnet

Avast! ได้เปิดเผยการวิเคราะห์หลังจากมีการตรวจพบว่า ตัวติดตั้งของโปรแกรม FileZilla ถูกปลอมแปลงและมีการฝังมัลแวร์เพื่อใช้ในการขโมยข้อมูลส่งกลับไปให้แฮกเกอร์

จากการตรวจสอบพบว่าแฮกเกอร์ได้ทำการสร้างเว็บไซต์ปลอมขึ้น และมีการอัพโหลดตัวติดตั้งของโปรแกรมนี้ไว้ ความแตกต่างภายนอกของตัวติดตั้งปลอมกับตัวติดตั้งจริงนั้นอย่างแรกคือขนาดไฟล์ที่เพิ่มจากประมาณ 6MB ไปเป็น 8MB เนื่องจากมีการเพิ่ม DLL บางไฟล์เข้ามา และรายละเอียดในหน้าต่าง About ซึ่งมีการใช้ SQLite/GnuTLS เวอร์ชันเก่าเพื่อป้องกันไม่ให้ผู้ใช้งานนั้นอัพเดทโปรแกรม

เมื่อมีการตามรอยการส่งข้อมูลของมัลแวร์นี้พบว่า มัลแวร์ได้ทำการเก็บข้อมูลที่ใช้ในการล็อกอิน FTP เช่น ชื่อผู้ใช้, รหัสผ่าน, โดเมนและพอร์ต ส่งกลับไปให้กับโฮสต์ซึ่งตั้งอยู่ในประเทศเยอรมนี อีกทั้งยังพบอีกว่าตัวติดตั้งแฝงมัลแวร์ตัวนี้ได้ถูกคอมไพล์ไว้ตั้งแต่เดือนกันยายน 2012 แล้ว และพึ่งมีการตรวจพบเร็วๆ นี้นี่เอง

สำหรับวิธีการป้องกันตัวติดตั้งปลอมนี้ ทาง Avast! ได้ทำการโพสต์ SHA256 ของตัวติดตั้งปลอมไว้ให้ตรวจสอบกัน รวมไปถึงแนะนำให้ดาวโหลดซอฟต์แวร์จากแหล่งที่เชื่อถือได้และควรสแกนไวรัสก่อน

ที่มา : blognone

มัลแวร์ที่ชื่อ Fort Disco ได้มีการพัฒนาเพิ่มฟังก์ชั่นจากตอนแรกที่แค่ทำการสุ่มรหัสเพื่อพยายามเข้าถึงบัญชี administrator ของเว็บไซด์ที่สร้างโดย WordPress, Joomla และ Datalife เท่านั้น แต่ตอนนี้ได้มีการเพิ่มฟังก์ชั่นในการสุ่มรหัสเพื่อเข้าถึงบัญชีอีเมลที่เชื่อมต่อไปยัง WordPress โดยใช้โปรโตคอล Post Office Protocol version 3 (POP3) และยังมีฟังก์ชั่นในการสุ่มรหัสเพื่อเข้าถึงบัญชีที่ใช้ในการเข้าถึง FTP เซิร์ฟเวอร์ด้วย

ที่มา : net-security

มัลแวร์ที่ชื่อ Fort Disco ได้มีการพัฒนาเพิ่มฟังก์ชั่นจากตอนแรกที่แค่ทำการสุ่มรหัสเพื่อพยายามเข้าถึงบัญชี administrator ของเว็บไซด์ที่สร้างโดย WordPress, Joomla และ Datalife เท่านั้น แต่ตอนนี้ได้มีการเพิ่มฟังก์ชั่นในการสุ่มรหัสเพื่อเข้าถึงบัญชีอีเมลที่เชื่อมต่อไปยัง WordPress โดยใช้โปรโตคอล Post Office Protocol version 3 (POP3) และยังมีฟังก์ชั่นในการสุ่มรหัสเพื่อเข้าถึงบัญชีที่ใช้ในการเข้าถึง FTP เซิร์ฟเวอร์ด้วย

ที่มา : net-security