Google เปิดโครงการ Open Source Vulnerabilities (OSV) ฐานข้อมูลช่องโหว่โอเพนซอร์สจากโครงการ OSS-Fuzz

 

Google เปิดโครงการฐานข้อมูลช่องโหว่ Open Source Vulnerabilities (OSV) ซึ่งรวมรายการของช่องโหว่ในโครงการโอเพนซอร์สเอาไว้ ในปัจจุบันข้อมูลจาก OSV นั้นมาจากผลลัพธ์ของโครงการ OSS-Fuzz ซึ่งใช้เทคนิคแบบ Fuzzing ในการค้นหาช่องโหว่

เมื่อ OSS-Fuzz ค้นพบช่องโหว่ OSV จะทำหน้าที่หลักในการ triage ข้อมูลของช่องโหว่นั้นให้สามารถเข้าถึงได้จากช่องทางหรือแพลตฟอร์มอื่น ๆ โดยโครงการที่มีอยู่ก่อนหน้าอย่าง CVE ก็สามารถอ้างอิงรูปแบบของ OSV ในการอ้างถึงรายละเอียดของช่องโหว่ได้ ในขณะเดียวกันผู้ใช้งานและผู้พัฒนาก็สามารถอ้างอิงช่องโหว่ผ่านทางระบบ API ของ OSV ได้ด้วย

ผู้ที่สนใจสามารถเข้าถึง OSV ได้ที่ osv.

Google ประกาศแพตช์ Zero-day ด่วนใน Chrome เชื่อเกี่ยวข้องกับแคมเปญหลอกของเกาหลีเหนือ

Google ประกาศ Chrome เวอร์ชัน 88.0.4324.150 ซึ่งมีการเปลี่ยนแปลงสำคัญคือการแพตช์ช่องโหว่ CVE-2021-21148 ซึ่งเป็นช่องโหว่ Heap overflow ในเอนจินจาวาสคริปต์ V8 ช่องโหว่ CVE-2021-21148 ถูกระบุว่าอาจมีความเกี่ยวข้องกับแคมเปญของกลุ่ม APT สัญชาติเกาหลีเหนือซึ่งใช้ช่องโหว่นี้ในการหลอกล่อผู้เชี่ยวชาญด้านความปลอดภัยในแคมเปญการโจมตีที่พึ่งถูกเปิดเผยเมื่อปลายเดือนมกราคมที่ผ่านมา

อ้างอิงจากไทม์ไลน์ของช่องโหว่ ช่องโหว่ CVE-2021-21148 ถูกแจ้งโดย Mattias Buelens ในวันที่ 24 มกราคม สองวันหลังจากนั้นทีมความปลอดภัย Google ประกาศการค้นพบแคมเปญโจมตีของเกาหลีเหนือซึ่งมีการใช้ช่องโหว่ที่คาดว่าเป็นช่องโหว่ตัวเดียวกัน

เนื่องจากช่องโหว่มีการถูกใช้เพื่อโจมตีจริงแล้ว ขอให้ผู้ใช้งานทำการตรวจสอบว่า Google Chrome ได้มีการอัปเดตโดยอัตโนมัติว่าเป็นเวอร์ชันล่าสุดแล้วหรือไม่ และให้ทำการอัปเดตโดยทันทีหากยังมีการใช้งานรุ่นเก่าอยู่

ที่มา:

zdnet.

Google ออกแจ้งเตือนถึงกลุ่มแฮกเกอร์ชาวเกาหลีเหนือตั้งเป้าโจมตีนักวิจัยด้านความปลอดภัยด้วยมัลแวร์ผ่านการ Social Engineering

Google ออกแจ้งเตือนถึงกลุ่มแฮกเกอร์ชาวเกาหลีเหนือซึ่งได้กำหนดเป้าหมายการโจมตีไปยังนักวิจัยความปลอดภัยทางไซเบอร์ โดยการชักชวนให้เข้าร่วมในการวิจัยช่องโหว่ ซึ่งการโจมตีดังกล่าวได้รับการตรวจพบโดยทีม Google Threat Analysis Group (TAG) ซึ่งเป็นทีมรักษาความปลอดภัยของ Google ที่เชี่ยวชาญในการตามล่ากลุ่มภัยคุกคาม

ตามรายงานของ TAG ระบุว่ากลุ่มแฮกชาวเกาหลีเหนือได้ใช้เทคนิค Social engineering attack ในการโจมตีกลุ่มเป้าหมาย โดยการสร้างโปรไฟล์บนเครือข่าย Social ต่าง ๆ เช่น Twitter, LinkedIn, Telegram, Discord และ Keybase เพื่อติดต่อกับนักวิจัยด้านความปลอดภัยโดยใช้รูปและที่อยู่ของบุคคลปลอม หลังจากการสร้างความน่าเชื่อถือเบื้องต้นกลุ่มเเฮกเกอร์จะเชิญชวนให้นักวิจัยทำการช่วยเหลือในการวิจัยเกี่ยวกับช่องโหว่ ซึ่งภายในโครงการวิจัยช่องโหว่นั้นจะมีโค้ดที่เป็นอันตราย ซึ่งถูกสั่งให้ติดตั้งมัลแวร์บนระบบปฏิบัติการของนักวิจัยที่ตกเป็นเป้าหมาย จากนั้น มัลแวร์ทำหน้าที่เป็นแบ็คดอร์ในการรับคำสั่งระยะไกลจากเซิร์ฟเวอร์ Command and Control (C&C) ของกลุ่มแฮกเกอร์

ตามรายงานเพิ่มเติมระบุว่ามัลแวร์ที่ถูกติดตั้งนี้มีความเชื่อมโยงกับ Lazarus Group ซึ่งเป็นกลุ่มแฮกเกอร์ปฏิบัติการที่ได้รับการสนับสนุนจากรัฐบาลเกาหลีเหนือ นอกจากการแจกจ่ายโค้ดที่เป็นอันตรายแล้วในบางกรณีกลุ่มเเฮกเกอร์ได้ขอให้นักวิจัยด้านความปลอดภัยเยี่ยมชมบล็อกผลงานการวิจัยของกลุ่มคือ blog[.]br0vvnn[.]io ซึ่งภายในบล็อกมีโค้ดที่เป็นอันตรายซึ่งทำให้คอมพิวเตอร์ของนักวิจัยด้านความปลอดภัยติดไวรัสหลังจากเข้าถึงเว็บไซต์

ทั้งนี้ผู้ที่สนใจรายละเอียดของข้อมูลและ IOC ของกลุ่มเเฮกเกอร์ดังกล่าวสามารถดูเพิ่มเติมได้ที่: blog.

แฮกเกอร์ปล่อยข้อมูลรั่วไหลของฐานข้อมูล Nitro PDF จำนวน 77 ล้านรายการในฟอรัมแฮกเกอร์

Nitro PDF เป็นแอปพลิเคชันที่ช่วยช่วยในการแก้ไขเอกสาร PDF และทำการลงนามในเอกสารดิจิทัล ซึ่งเป็นแอปพลิเคชันที่มีลูกค้าประเภทธุรกิจมากกว่า 10,000 รายและผู้ใช้ที่ได้รับใบอนุญาตประมาณ 1.8 ล้านคน ทั้งนี้ฐานข้อมูลที่ถูกปล่อยรั่วไหลขนาดนี้มีขนาด 14GB ซึ่งมีข้อมูล 77,159,696 รายการ ซึ่งประกอบไปด้วยอีเมลของผู้ใช้, ชื่อเต็ม, รหัสผ่านที่แฮชด้วย bcrypt, ชื่อบริษัท, IP Addresses และข้อมูลอื่นๆ ที่เกี่ยวข้องกับระบบ

การถูกละเมิดระบบ Nitro PDF ถูกรายงานครั้งแรกเมื่อปีที่แล้ว โดยการบุกรุกส่งผลกระทบต่อองค์กรที่มีชื่อเสียงหลายแห่งเช่น Google, Apple, Microsoft, Chase และ Citibank ซึ่งทาง Nitro PDF ได้แถลงเมื่อตุลาคม 2020 ว่าไม่มีข้อมูลลูกค้าได้รับผลกระทบ อย่างไรก็ตามในเวลาต่อมา BleepingComputer ได้พบฐานข้อมูลที่ถูกกล่าวหาว่ามีความเกี่ยวกับผู้ใช้ Nitro PDF จำนวน 70 ล้านรายการ ถูกประมูลพร้อมกับเอกสาร 1TB ในราคาเริ่มต้นที่ 80,000 ดอลลาร์

ปัจจุบันแฮกเกอร์ที่อ้างว่าอยู่เบื้องหลังกลุ่ม ShinyHunters ได้ปล่อยฐานข้อมูลดังกล่าวในฟอรัมแฮกเกอร์ โดยกำหนดราคาไว้ที่ 3 ดอลลาร์ (ประมาณ 90บาท) สำหรับการเข้าถึงลิงก์ดาวน์โหลดข้อมูลทั้งหมดของผู้ใช้ Nitro PDF จำนวน 70 ล้านรายการ

ทั้งนี้ผู้ใช้งาน Nitro PDF สามารถเช็คว่าข้อมูลของตนเองถูกรั่วไหลได้ที่บริการ Have I Been Pwned: haveibeenpwned และควรทำการเปลี่ยนรหัสผ่านที่ใช้ซ้ำกับบริการ Nitro PDF

ที่มา: bleepingcomputer

Google เปิดตัวแพตช์ความปลอดภัยประจำเดือนธันวาคมสำหรับอุปกรณ์ Android จำนวน 46 รายการ

Google เปิดตัวแพตช์ความปลอดภัยประจำเดือนธันวาคมสำหรับอุปกรณ์ Android หรือ Android Security Bulletin December 2020 โดยในเดือนธันวาคมนี้ Google ได้แก้ไขช่องโหว่ 46 รายการและช่องโหว่ที่มีความสำคัญที่สุดจะทำให้ผู้โจมตีสามารถควบคุมโทรศัพท์มือถือที่มีช่องโหว่ได้จากระยะไกล

ช่องโหว่ที่สำคัญแต่ Google ไม่ได้เปิดเผยข้อมูลเฉพาะทางเทคนิคถูกติดตามด้วยรหัส CVE-2020-0458 จะส่งผลกระทบต่อ Android 8.0, 8.1, 9 และ 10

ช่องโหว่ที่สำคัญอีกหนึ่งประการและมีคะแนนความรุนแแรงจาก CVSS อยู่ที่ 9.8 จาก 10 คือช่องโหว่ CVE-2020-11225 ในชิปเซ็ต Qualcomm

ผู้ใช้ Android ควรทำการอัปเดตแพตช์ความปลอดภัยเป็นเวอร์ชันล่าสุดเพื่อป้องกันผู้ประสงค์ร้ายใช้ประโนชน์จากช่องโหว่ทำการโจมตี ทั้งนี้ผู้ที่สนใจรายละเอียกเพิ่มเติมของแพตช์ความปลอดภัยสามารถดูได้จากแหล่งที่มา

ที่มา: securityweek | threatpost | source.

Google เปิดตัว Atheris เครื่องมือทำ Fuzzing สำหรับโปรแกรมในภาษา Python

Google เปิดตัวโครงการ Atheris ซึ่งเป็นโครงสำหรับช่วยหาบั๊กในโค้ด Python ด้วยวิธีการแบบ coverage-gided fuzzing หรือการทดลองใส่อินพุตให้กับโปรแกรมไปเรื่อยๆ จากนั้นคอยมอนิเตอร์พฤติกรรมของโปรแกรมเพื่อหาเงื่อนไขที่อาจเป็นบั๊กหรือช่องโหว่

Atheris รองรับการทำงานกับเป้าหมายที่เป็นทั้ง Python 2.7 และ Python 3.3+ แต่จะทำงานได้ดีที่สุดสำหรับโปรแกรมที่ถูกพัฒนาโดยใช้ Python 3.8 หรือมากกว่า ผู้ใช้งานสามารถติดตั้ง Artheris ได้ผ่าน Pip และใช้เป็นหนึ่งในโมดูลเพื่อทำ fuzzing ได้ทันที

ดูข้อมูลของโครงการเพิ่มเติมได้จาก https://github.

Google เปิดตัว XSLeaks.dev รวมรูปแบบช่องโหว่กลุ่ม Cross-site

Google ประกาศเปิดตัวเว็บไซต์ Vulnerability knowledge base "XSLeaks.dev" โดยเป็น KB ที่อธิบายที่มา ข้อผิดพลาด สาเหตุและคำแนะนำสำหรับช่องโหว่ใน Cross-site ของแอปพลิเคชัน

ผู้ที่สนใจสามารถเข้าถึง Knowledge base ได้จาก xsleaks

ที่มา: securityweek

OpenSSL แจ้งเตือนช่องโหว่ระดับร้ายแรงสูง โจมตีแบบ Denial of Service ได้

โครงการ OpenSSL ประกาศเวอร์ชันใหม่ของซอฟต์แวร์ OpenSSL พร้อมกับแพตช์ด้านความปลอดภัยสำหรับช่องโหว่ที่ถูกแจ้งโดย David Benjamin จาก Google ช่องโหว่ถูกโจมตีและทำให้ระบบที่ใช้งานตกอยู่ในเงื่อนไข Denial of Service (DoS) ได้

ช่องโหว่ดังกล่าวเกิดจากปัญหา null pointer derefence ในการตรวจสอบข้อมูลในใบรับรอง X.509 โดยแฮกเกอร์สามารถสร้างใบรับรองแบบพิเศษ จากนั้นหลอกให้เหยื่อซึ่งใช้ซอฟต์แวร์ OpenSSL ในรุ่นที่มีช่องโหว่ทำการเข้าถึงและตรวจสอบ เหยื่อจะถูกโจมตีและเจอข้อผิดพลาด DoS ได้

ช่องโหว่นี้ส่งผลกระทบกับ OpenSSL ในรุ่น 1.1.1 และ 1.0.2 ผู้ใช้งานควรทำการอัปเกรดเป็น OpenSSL 1.1.1i โดยด่วน

ที่มา: securityweek

Google ได้ทำการลบแอปพลิเคชันสองรายการของ Baidu หลังถูกรายงานว่ามีโค้ดที่รวบรวมข้อมูลเกี่ยวกับผู้ใช้

Google ได้ทำการลบแอปพลิเคชันสองแอปของ Baidu ยักษ์ใหญ่ด้านเทคโนโลยีของจีนออกจาก Google Play Store เมื่อปลายเดือนตุลาคม หลังจากได้รับรายงานว่าแอปทั้งสองมีโค้ดที่รวบรวมข้อมูลเกี่ยวกับผู้ใช้

การลบแอปพลิเคชันเกิดขึ้นหลังจาก Stefan Achleitner และ Chengcheng Xu นักวิจัย Palo Alto Networks ได้ทำการรายงานปัญหาไปยังทีมรักษาความปลอดภัยของ Google Play Store หลังจากที่พวกเขาทำการพบโค้ดที่รวบรวมข้อมูลเกี่ยวกับผู้ใช้ในแอปพลิเคชัน Baidu Maps และ Baidu Search Box ของ Baidu โดยโค้ดที่ทำการรวบรวมข้อมูลของผู้ใช้นั้นอยู่ใน Baidu Push SDK ซึ่งโมดูที่ถูกใช้เพื่อแสดงการแจ้งเตือนแบบเรียลไทม์ภายในแอปทั้งสอง ซึ่งภายโค้ดมีการรวบรวมรายละเอียดของผู้ใช้ เช่นรุ่นโทรศัพท์, MAC address, ข้อมูลผู้ให้บริการและหมายเลข IMSI (International Mobile Subscriber Identity)

นักวิจัยกล่าวว่าแม้ว่าข้อมูลที่ทำการรวบรวมไว้บางส่วนจะค่อนข้างไม่เป็นอันตราย แต่ข้อมูลบางอย่างเช่นรหัส IMSI สามารถใช้เพื่อระบุและติดตามผู้ใช้ได้โดยแม้ว่าผู้ใช้รายนั้นจะเปลี่ยนไปใช้โทรศัพท์เครื่องอื่นก็ตาม

ทั้งนี้โฆษกของ Baidu ได้ออกมากล่าวว่าบริษัทได้รับอนุญาตจากผู้ใช้ในการรวบรวมข้อมูลนี้จากผู้ใช้ ซึ่งพฤติกรรมการรวบรวมข้อมูลของแอปพลิเคชันไม่ใช่สาเหตุที่แอปทั้งสองถูกนำออกจาก Play Store และแอพทั้งสองมีการดาวน์โหลดมากกว่า 6 ล้านครั้งก่อนที่จะถูกลบออก อย่างไรก็ดีทางทีม Baidu กำลังดำเนินการแก้ไขปัญหาดังกล่าว

ที่มา: zdnet.

นักวิจัยจาก Western Digital เปิดเผยการค้นพบช่องโหว่การโจมตีในโปรโตคอล RPMB โดยช่องโหว่จะส่งผลกระทบกับผลิตภัณฑ์ของ Google, Intel และ MediaTek

นักวิจัยด้านความปลอดภัยจาก Western Digital ได้เปิดเผยถึงช่องโหว่ในโปรโตคอล Replay Protected Memory Block (RPMB) ที่จะส่งผลกระทบต่อผลิตภัณฑ์ของบริษัทยักษ์ใหญ่อื่น ๆ หลายแห่งเช่น Google, Intel และ MediaTek

นักวิจัยจาก Western Digital กล่าวว่าโดยทั่วไปแล้วการโจมตีด้วยเทคนิค Replay จะอนุญาตให้แฮกเกอร์ที่ทำการดักจับข้อมูลสามารถทำการ Replay ข้อมูลที่ทำการดักจับประเภทต่างๆ ในนามของผู้ใช้ที่ถูกต้อง ซึ่งการโจมตีดังกล่าวอาจเป็นประโยชน์สำหรับการลักลอบในการใช้บัญชีหรือทำการฉ้อโกงทางการเงิน

ฟีเจอร์ RPMB ได้รับการออกแบบมาเพื่อป้องกันอุปกรณ์จากการโจมตีด้วยเทคนิค Replay ข้อมูลที่ทำการดักจับ โดยการจัดเตรียมพื้นที่ที่ได้รับการรับรองความถูกต้องและมีการป้องกันสำหรับการจัดเก็บข้อมูลเพื่อให้แน่ใจว่าแต่ละข้อความที่ทำการส่งผ่านจะไม่ซ้ำกันและไม่สามารถทำการ Replay ได้ ซึ่งโปรโตคอล RPMB มักพบในแท็บเล็ตและโทรศัพท์ที่ใช้เทคโนโลยี flash storage เช่น NVMe, UFS และ eMMC

ช่องโหว่ที่ได้รับการเปิดเผยถูกติดตามด้วยรหัส CVE-2020-13799 ซึ่งจะส่งผลกระทบต่อผลิตภัณฑ์ของผู้จัดจำหน่ายรายอื่น ๆ เช่น Intel (CVE-2020-12355), Google (CVE-2020-0436) และ MediaTek

หน่วยงาน CERT/CC ได้ระบุไว้ในคำแนะนำว่าผู้จัดจำหน่ายรายหนึ่งซึ่งไม่ได้ระบุชื่อยืนยันว่าช่องโหว่นี้อาจนำไปสู่การปฏิเสธการให้บริการ (DoS) ทั้งนี้ผู้ใช้ควรทำการติดตามข้อมูลการอัปเดตแพตซ์และคำแนะนำในการแก้ไขช่องโหว่จากผู้จัดจำหน่ายที่จะมีการทยอยอัปเดตการแก้ไขช่องโหว่ในเร็ววันนี้

ที่มา: securityweek