ผู้ไม่หวังดีแอบใช้เซิร์ฟเวอร์ที่ตั้งค่าผิดพลาดเพื่อสตรีมถ่ายทอดสดกีฬา

เพื่อให้ทันกับโลกของความปลอดภัยทางไซเบอร์ที่พัฒนาอย่างต่อเนื่อง นักวิจัยจาก Aqua Nautilus ได้ติดตั้ง Honeypot เพื่อจำลองการพัฒนาในสภาพแวดล้อมการใช้งานจริง ในระหว่างการปฏิบัติการค้นหาภัยคุกคามเมื่อไม่นานมานี้ นักวิจัยพบช่องทางการโจมตีใหม่ที่น่าสนใจ โดยผู้ไม่หวังดีจะใช้เซิร์ฟเวอร์ที่มีการตั้งค่าผิดพลาด เพื่อเข้ายึดครองระบบ และดำเนินการสตรีมถ่ายทอดสดเกี่ยวกับการแข่งขันกีฬา โดยการใช้ช่องโหว่ของแอปพลิเคชัน JupyterLab และ Jupyter Notebook ที่ตั้งค่าผิดพลาดเพื่อฝังเครื่องมือจับภาพสตรีมมิง และทำการเผยแพร่เนื้อหาที่ผิดลิขสิทธิ์บนเซิร์ฟเวอร์ ซึ่งเป็นการละเมิดลิขสิทธิ์ของการถ่ายทอดสด

ความพยายามในการค้นหาภัยคุกคามของ Nautilus

เมื่อใช้ Honeypot เพื่อรวบรวมข้อมูลด้านภัยคุกคาม นักวิจัยจะถือว่าเหตุการณ์ทั้งหมดเป็นการโจมตีโดยเจตนา อย่างไรก็ตาม ในความเป็นจริงมีทั้งการสแกนที่เกิดจากเครื่องมือทั่วไป, การกระทำของผู้ที่อยากรู้อยากเห็นโดยไม่มีทักษะ (Script Kiddies) หรือเครื่องมือ และความพยายามโจมตีที่ล้มเหลวซึ่งไม่สามารถพัฒนาไปเป็นการโจมตีเต็มรูปแบบได้ ดังนั้นจึงมีการปรับใช้ระบบอัตโนมัติที่รัดกุม และการเรียนรู้ของเครื่อง Machine Learning เพื่อช่วยแยกระหว่างเหตุการณ์ที่น่าสนใจ และไม่น่าสนใจ อย่างไรก็ตาม บางครั้งอาจมีข้อผิดพลาดเกิดขึ้น และเมื่อเป็นเช่นนั้น นักวิจัยจะใช้วิธี threat hunting เป็นมาตรการชดเชยในการตรวจจับเพิ่มเติม

ในการปฏิบัติการค้นหาภัยคุกคามครั้งล่าสุด นักวิจัยมุ่งเน้นไปที่การวิเคราะห์ทราฟฟิกเครือข่ายขาออก รวมถึงไฟล์ปฏิบัติการ (binaries) ที่ถูก drop และรันภายในในสภาพแวดล้อมแบบคอนเทนเนอร์ เพื่อค้นหาช่องโหว่ด้านความปลอดภัยที่อาจเกิดขึ้น โดย Honeypot พบเหตุการณ์หลายพันรายการต่อวัน ซึ่งถูกบันทึกโดยอัตโนมัติในสภาพแวดล้อมข้อมูลต่าง ๆ สำหรับการจัดเก็บ (Data Lake) และการวิเคราะห์ (Document Database และ Data Warehouse) นักวิจัยใช้ประโยชน์จาก Data Warehouse เพื่อเชื่อมโยงไฟล์ปฏิบัติการที่น่าสงสัยกับเหตุการณ์บนเครือข่าย โดยเปรียบเทียบกับ Signatures เดิมบางส่วน ซึ่งเผยให้เห็นรูปแบบที่แสดงถึงพฤติกรรมที่ผิดปกติ เมื่อสร้างความเชื่อมโยงเหล่านี้ได้แล้ว นักวิจัยจะเจาะลึกลงไปยังเหตุการณ์ และเซสชันที่เกี่ยวข้องกับความผิดปกติที่พบ ทำให้สามารถแยก, วิเคราะห์ และจัดการกับภัยคุกคามด้านความปลอดภัยที่อาจเกิดขึ้นได้แบบเรียลไทม์

นักวิจัยพบเหตุการณ์หลายสิบรายการที่แสดงให้เห็นเครื่องมือที่ไม่มีอันตรายถูก Drop และรันในระบบ ซึ่งเครื่องมือดังกล่าวคือ ffmpeg ซึ่งเป็นซอฟต์แวร์โอเพ่นซอร์สที่ใช้สำหรับการบันทึก, เปลี่ยนแปลง และสตรีมเสียง และวิดีโอ รวมถึงรองรับรูปแบบมัลติมีเดียหลายประเภท และได้รับการใช้งานอย่างแพร่หลายในด้านการประมวลผลวิดีโอ, การบีบอัด และการสตรีมถ่ายทอดสด ซึ่งแพลตฟอร์มด้านข้อมูลภัยคุกคาม เช่น Virus Total ระบุว่าไม่ใช่เครื่องมือที่เป็นอันตราย และไม่ได้ถูกจัดว่าเป็นอันตราย หรือไม่พึงประสงค์ จึงไม่เคยถูกจัดเป็นการโจมตี อย่างน้อยก็จนถึงขณะนี้

รายละเอียดเกี่ยวกับ JupyterLab และ Jupyter Notebooks

JupyterLab และ Jupyter Notebook เป็น interactive environments ที่มีประสิทธิภาพสำหรับการทำงานด้าน Data Science หลายองค์กรใช้เครื่องมือเหล่านี้ในการดำเนินงานข้อมูลประจำวัน แต่ก็มีความเสี่ยงบางประการหากไม่ถูกจัดการอย่างปลอดภัย โดยส่วนใหญ่จะมีผู้ปฏิบัติงานที่อาจขาดความรู้เกี่ยวกับการตั้งค่า ทำให้มีการตั้งค่าที่ผิดพลาด เช่น การเชื่อมต่อเซิร์ฟเวอร์กับอินเทอร์เน็ต โดยเปิดการเข้าถึงโดยไม่มีการยืนยันตัวตน ซึ่งทำให้ผู้ไม่หวังดีสามารถรันโค้ดที่อันตรายได้ นอกจากนี้ การเปิด Jupyter stack ให้เข้าถึงได้จากอินเทอร์เน็ตโดยไม่มีการป้องกันจากไฟร์วอลล์ก็ทำให้เกิดความเสี่ยงต่อการโจมตี การจัดการโทเค็นที่ไม่ถูกต้องก็เป็นอีกปัญหาหนึ่ง เพราะหากโทเค็นถูกเปิดเผย อาจทำให้ผู้ไม่หวังดีสามารถเข้าถึงข้อมูลทั้งหมดได้ จากข้อมูลของ Shodan พบว่าเซิร์ฟเวอร์ Jupyter ประมาณ 15,000 เครื่องเชื่อมต่อกับอินเทอร์เน็ต และประมาณ 150 เครื่อง (1%) สามารถทำให้เกิดการรันโค้ดที่เป็นอันตรายจากระยะไกลได้ การวิเคราะห์ของ Nautilus พบว่า มี Jupyter notebooks ที่ตั้งค่าผิดพลาด รวมถึงเซิร์ฟเวอร์ขององค์กร และ Startup ที่เปิดให้เข้าถึงได้จากภายนอก กำลังถูกโจมตีอยู่

การเรียกใช้งาน Jupyter stack ด้วยการจำกัด IP ที่เข้าถึง, การตรวจสอบสิทธิ์ที่รัดกุม, การใช้ HTTPS และการจัดการโทเค็น สามารถช่วยลดความเสี่ยงเหล่านี้ได้

รายละเอียดเกี่ยวกับการสตรีมถ่ายทอดสดกีฬาที่ผิดลิขสิทธิ์

การสตรีมถ่ายทอดสดกีฬาที่ผิดลิขสิทธิ์เป็นภัยคุกคามที่กำลังเพิ่มสูงขึ้นในอุตสาหกรรมนี้ ซึ่งทำให้รายได้ของลีก, ผู้ถ่ายทอดสด และแพลตฟอร์มที่ถูกลิขสิทธิ์ลดลง ด้วยการเข้าถึงอินเทอร์เน็ตความเร็วสูง และเครื่องมือสตรีมมิงที่สามารถใช้งานได้ง่าย การถ่ายทอดสดที่ไม่ได้รับอนุญาตเหล่านี้จึงแพร่หลาย ซึ่งส่งผลกระทบไม่เพียงแค่ลีกใหญ่ ๆ แต่ยังรวมถึงทีมเล็ก ๆ ที่พึ่งพารายได้จากการรับชมแบบชำระเงิน

เพื่อแก้ไขปัญหานี้ องค์กรกีฬาต่าง ๆ ใช้เทคโนโลยีขั้นสูง เช่น การตรวจจับที่ใช้ปัญญาประดิษฐ์ (AI), การสร้างลายน้ำ (WaterMarking) และการจัดการลิขสิทธิ์ดิจิทัล (DRM) เพื่อติดตาม และหยุดการสตรีมที่ผิดกฎหมายแบบเรียลไทม์ การดำเนินการทางกฎหมาย และความร่วมมือกับรัฐบาลช่วยในการบังคับใช้ลิขสิทธิ์

ขั้นตอนการโจมตี

Honeypot ของ Jupyter Lab และ Jupyter Notebook เปิดเผยทั้งช่องโหว่ และรหัสผ่านที่คาดเดาได้ง่าย ในกรณีนี้ผู้ไม่หวังดีได้ใช้การเข้าถึง Jupyter Lab และ Jupyter Notebook โดยไม่มีการยืนยันตัวตนเพื่อสร้างการเข้าถึงเริ่มต้น และสามารถรันโค้ดที่เป็นอันตรายจากระยะไกลได้

ขั้นตอนแรก ผู้ไม่หวังดีได้ทำการอัปเดตเซิร์ฟเวอร์ จากนั้นดาวน์โหลดเครื่องมือ ffmpeg การดำเนินการนี้เพียงอย่างเดียวไม่สามารถบอกได้ว่าเป็นพฤติกรรมที่เป็นอันตรายสำหรับเครื่องมือด้านความปลอดภัย จากนั้นผู้ไม่หวังดีจะดำเนินการรัน ffmpeg เพื่อจับสัญญาณสตรีมมิงถ่ายทอดสดของการแข่งขันกีฬา และเปลี่ยนเส้นทางไปยังเซิร์ฟเวอร์ของตน

การโจมตีแบบตรงไปตรงมานี้สามารถถูกปล่อยผ่านได้ง่าย แม้ว่าผลกระทบบต่อองค์กรที่เกิดขึ้นในทันทีอาจดูเหมือนเล็กน้อย (แม้ว่าจะส่งผลกระทบอย่างมากต่ออุตสาหกรรมบันเทิง) แต่มันอาจถูกมองข้ามว่าเป็นแค่เรื่องน่ารำคาญเท่านั้น

อย่างไรก็ตาม สิ่งสำคัญที่ต้องจำไว้คือ ผู้ไม่หวังดีสามารถเข้าถึงเซิร์ฟเวอร์ที่มีจุดประสงค์เพื่อการวิเคราะห์ข้อมูล ซึ่งอาจส่งผลกระทบอย่างร้ายแรงต่อการดำเนินงานขององค์กรใด ๆ ความเสี่ยงที่อาจเกิดขึ้นได้แก่ การโจมตีแบบ Denial of Service (DoS), การเปลี่ยนแปลงข้อมูล, การขโมยข้อมูล, ความเสียหายต่อกระบวนการ AI และ ML, การขยายขอบเขตการโจมตีในระบบที่สำคัญมากขึ้น และในกรณีที่เลวร้ายที่สุด อาจส่งผลกระทบทางการเงิน และชื่อเสียงอย่างรุนแรง

วิเคราะห์การโจมตีด้วย Aqua Tracee และ TraceeShark

Tracee ช่วยให้สามารถจับเหตุการณ์ต่าง ๆ บนเซิร์ฟเวอร์ Linux ได้ รวมถึงกิจกรรมบนเครือข่าย, ไฟล์ และการดึงข้อมูลในหน่วยความจำที่น่าสงสัย นักวิจัยรวบรวมเหตุการณ์ และข้อมูลเครือข่ายที่ Tracee สร้างขึ้นให้เป็นไฟล์ .pcapng ที่รองรับ Wireshark เพื่อเริ่มต้นการตรวจสอบ

จากนั้น นักวิจัยอัปโหลดไฟล์ .pcapng ไปยัง Traceeshark ซึ่งเป็นเวอร์ชันดัดแปลงของ Wireshark ที่ออกแบบมาเพื่อการวิเคราะห์โดยเฉพาะ เฟรมเวิร์ก Wireshark ได้รับการปรับปรุงเพื่อรองรับข้อมูลของ Tracee เช่น ประเภทโปรโตคอล, Container ID และ Process ID รวมถึง Parent Process ID เป็นต้น

นักวิจัยพบเหตุการณ์เกิดขึ้นมากกว่า 8,000 รายการ การตรวจสอบทีละรายการอาจใช้เวลานาน และมีความซับซ้อน นักวิจัยจึงใช้ความสามารถด้านการวิเคราะห์ต่าง ๆ เพื่อให้ได้ข้อมูลเชิงลึกเกี่ยวกับการโจมตีนี้อย่างทันท่วงที โดยใช้ตัวเลือกทางสถิติ ทำให้สามารถประเมินปริมาณ Signatures และเหตุการณ์ได้ ซึ่งแสดงให้เห็นว่าเหตุการณ์นี้เป็นเซสชันขนาดเล็กที่มีโอกาสสร้างความเสียหายที่จำกัด อย่างไรก็ตาม นักวิจัยจะดำเนินการวิเคราะห์ต่อเพื่อประเมินสถานการณ์อย่างละเอียด

จนถึงตอนนี้ หลักฐานอาจยังดูไม่น่าสนใจ อย่างไรก็ตาม สถานการณ์เริ่มดูน่าสงสัยเมื่อพิจารณาจาก Process Tree ที่แสดงคำสั่ง ffmpeg จำนวนมาก โดยเฉพาะอย่างยิ่งเมื่อมีรูปแบบของที่อยู่ IP ที่ผิดปกติเข้ามาเกี่ยวข้อง หากคุ้นเคยกับ ffmpeg และการทำงานทั่วไปของมัน อาจจะสังเกตเห็นได้ทันทีว่าพฤติกรรมของเซิร์ฟเวอร์นี้ผิดปกติ หากไม่คุ้นเคย การดำเนินการคำสั่งที่เกี่ยวข้องกับทราฟฟิกหลายครั้งนี้ก็ยังคงเป็นสัญญาณเตือนที่สำคัญ

ด้วยฟิลเตอร์เฉพาะที่เพิ่มเข้าไปใน Traceeshark นักวิจัยสามารถเจาะลึกการวิเคราะห์การโจมตีนี้ได้มากขึ้น โดยใช้ฟิลเตอร์ Container ทำให้สามารถแยกเหตุการณ์ในระดับคอนเทนเนอร์เพื่อดูเฉพาะ Events, Network packets หรือ Signatures ที่ถูกทริกเกอร์ ในกรณีนี้ นักวิจัยจะใช้ฟิลเตอร์ Important ซึ่งถูกตั้งค่าให้เน้นเหตุการณ์ และ Signature ที่สำคัญโดยอ้างอิงจากความเชี่ยวชาญของนักวิจัย

ต่อมา นักวิจัยสังเกตเห็นการดาวน์โหลด ffmpeg (MD5: ecf054bf36972571efa68df489a9e969) จากเว็บไซต์แชร์ไฟล์ (MediaFire) แหล่งดาวน์โหลดนี้เพิ่มความน่าสงสัยขึ้น เนื่องจากไฟล์นี้อาจไม่ใช่เวอร์ชันทางการ หรือเวอร์ชันที่เชื่อถือได้ อาจมีการแก้ไขที่เป็นอันตราย หรือถูกใช้งานในลักษณะที่ไม่ได้รับอนุญาต อย่างไรก็ตาม การตรวจสอบไฟล์ใน Virus Total และ IDA แสดงให้เห็นว่าไฟล์นี้ไม่เป็นอันตราย

Wireshark อนุญาตให้ผู้ใช้ดับเบิลคลิกที่แพ็กเก็ตเพื่อตรวจสอบรายละเอียด และ Traceeshark ขยายฟังก์ชันนี้โดยการแสดงเนื้อหาของ Tracee logs นักวิจัยสามารถสังเกตเห็นคำสั่งที่ถูกรันอย่างละเอียดทันทีที่เครื่องมือ ./ffmpeg ถูกเปิดใช้งาน โดยกำหนดแหล่งสตรีม (-i) เป็น x9pro.

พบช่องโหว่ Zero-day ใน Chrome จะทำให้ผู้โจมตีสามารถ Hijack คอมพิวเตอร์ที่ตกเป็นเป้าหมายได้

นักวิจัยด้านความปลอดภัย Sergei Glazunov จากทีม Google Project Zero ได้เปิดเผยถึงการค้นพบช่องโหว่ Zero-day บนเว็บเบราว์เซอร์ Google Chrome สำหรับ Windows, Mac และ Linux โดยช่องโหว่นี้จะทำให้ผู้โจมตีสามารถ Hijack คอมพิวเตอร์ที่ตกเป็นเป้าหมายได้

ช่องโหว่ถูกติดตามด้วยรหัส CVE-2020-15999 เป็นช่องโหว่ประเภท Memory corruption โดยช่องโหว่ถูกพบใน FreeType ซึ่งเป็นไลบรารีการพัฒนาซอฟต์แวร์แบบโอเพนซอร์สยอดนิยมสำหรับการแสดงผลแบบอักษรที่มาพร้อมกับ Chrome

หลังจากค้นพบช่องโหว่ Glazunov ได้ทำการรายงานช่องโหว่ Zero-day ไปยังนักพัฒนา FreeType ทันที ซึ่ง Glazunov มีความกังวลว่าผู้ประสงค์ร้ายจะใช้ช่องโหว่จากไลบรารี FreeType นี้ทำการโจมตีระบบอื่นๆ ซึ่งปุจจุบันยังไม่พบการใช้ประโยชน์จากช่องโหว่ แต่เนื่องจากไลบรารี FreeType เป็นโปรเจ็กต์โอเพ่นซอร์สจึงคาดว่าผู้ประสงค์ร้ายจะสามารถทำ reverse-engineer ของ zero-day ได้และจะสามารถหาช่องโหว่ของตัวเองได้ภายในไม่กี่วันหรือกี่สัปดาห์ โดยเมื่อได้รับการเเจ้งเตือนทีมผู้พัฒนา FreeType ได้ออกแพตช์ฉุกเฉินเพื่อแก้ไขปัญหาดังกล่าวแล้วใน FreeType เวอร์ชัน 2.10.4 แล้ว

ทั้งนี้ Google เปิดตัว Chrome เวอร์ชัน 86.0.4240.111 เพื่อเเก้ไขปัญหาด้านความปลอดภัยดังกล่าว ผู้ใช้ควรทำการอัปเดต Google Chrome ให้เป็นเวอร์ชันล่าสุดทันทีเพื่อเป็นการป้องกันผู้ประสงค์ร้ายทำการโจมตีผู้ใช้และระบบ

ที่มา: thehackernews | zdnet

Hackers สามารถ Hijack Telegram และบัญชี Email ต่างๆ ได้โดยการใช้การโจมตีช่องโหว่บนด้วยโปรโตคอล SS7

Tsachi Ganot จากบริษัท Pandora Security ได้เผยถึงกลุ่มเเฮกเกอร์ได้ทำการใช้ช่องโหว่บนโปรโตคอล Signaling System 7 (SS7) ที่เป็นโปรโตคอลสำหรับการเชื่อมต่อเครือข่ายมือถือ ด้วยการใช้ช่องโหว่นี้จะทำให้กลุ่มเเฮกเกอร์เข้าถึงบัญชี Telegram และบัญชี Email ต่างๆ ของเป้าหมายได้ผ่านทางการรับโค้ด SMS การตรวจสอบสิทธิ์ด้วย Two-factor authentication (2FA) ของเป้าหมาย

Ganot กล่าวว่ากลุ่มเเฮกเกอร์ได้ทำการปลอมแปลงเซิฟเวอร์ Short Message Service Center (SMSC) ซึ่งเป็นเซิฟเวอร์การให้บริการ SMS ของผู้ให้บริการเครือข่ายมือถือของเป้าหมาย จากนั้นส่งคำขอ update location ของหมายเลขโทรศัพท์ที่เป็นเป้าหมายไปยังผู้ให้บริการเครือข่ายมือถือ เพื่อให้ผู้ให้บริการเครือข่ายมือถือส่งข้อมูลการตอบกลับ SMS และการโทรของเป้าหมายกลับไปยังเซิฟเวอร์ SMSC ปลอมของกลุ่มเเฮกเกอร์ ซึ่งหลังจากนั้นกลุ่มเเฮกเกอร์จะใช้ข้อมูล SMS ที่มีโค้ดการยืนยันการตรวจสอบสิทธิ์ด้วย 2FA ทำการล็อกอินบัญชี Telegram และบัญชี Email ต่างๆ ของเป้าหมาย

ทั้งนี้การกำหนดเป้าหมายในลักษณะนี้กลุ่มแฮกเกอร์ต้องรู้ MSISDN (Mobile Station International Subscriber Directory Number) และหมายเลข International Mobile Subscriber Identity (IMSI) ของเป้าหมายก่อนเพื่อที่จะสามารถส่งคำขอ update location ไปยังผู้ให้บริการเครือข่ายมือถือของเป้าหมายจึงจะสามารถทำปฏิบัติการนี้ได้

ถึงแม้ว่าวิธีการตรวจสอบสิทธิ์ด้วย 2FA ด้วยโค้ดที่ส่งไปทาง SMS นั้นเป็นแนวทางที่ดีในทางปฏิบัติแต่ผู้ใช้ก็ยังมีความเสี่ยงต่อการใช้ประโยชน์จากช่องโหว่ในโปรโตคอล SS7 ซึ่งเป็นโปรโตคอลการสื่อการข้อมูลด้านโทรคมนาคมที่ถูกพัฒนาขึ้นในปี 1975

ที่มา: bleepingcomputer.

VMware Releases Security Updates for Multiple Products

VMware ออกเเพตซ์แก้ไขช่องโหว่ระดับ Critical จำนวน 6 รายการในผลิตภัณฑ์ ESXi, Workstation, Fusion และ NSX-T

VMware ได้ประกาศออกเเพตซ์แก้ไขช่องโหว่ระดับ Critical จำนวน 6 ช่องโหว่ในผลิตภัณฑ์ ESXi, Workstation, Fusion และ NSX-T โดยจาก 6 ช่องโหว่นี้ มีช่องโหว่ที่น่าสนใจคือ

ช่องโหว่ CVE-2020-3992 (CVSSv3: 9.8/10) เป็นช่องโหว่ประเภท use-after-free ที่ส่งผลกระทบต่อบริการ OpenSLP ใน ESXi โดยช่องโหว่นี้จะสามารถอนุญาตให้ผู้โจมตีจากระยะไกลเรียกใช้โค้ดได้โดยไม่ได้รับอนุญาต ทั้งนี้ผู้โจมตีที่จะสามารถใช้ประโยชน์ช่องโหว่นี้ได้ต้องอยู่ในเครือข่ายการจัดการและต้องสามารถเข้าถึงพอร์ต 427 บนเครื่อง ESXi ได้จึงจะสามารถช้ประโยชน์จากช่องโหว่ได้
ช่องโหว่ CVE-2020-3993 (CVSSv3: 7.5/10) เป็นช่องโหว่ที่เกิดจากการที่โฮสต์ KVM อนุญาตให้ดาวน์โหลดและติดตั้งแพ็กเกจจาก NSX manager ด้วยข้อบกพร่องนี้อาจทำให้ผู้โจมตีสามารถทำการ Man-in-the-middle attack (MitM) เพื่อโจมตี Transport Node
ช่องโหว่ CVE-2020-3994 (CVSSv3: 7.5/10) เป็นช่องโหว่ที่ทำให้สามารถ hijack เซสชัน vCenter Server ในฟังก์ชันของการอัปเดต
ทั้งนี้ผู้ดูแลระบบควรทำการอัปเดตเเพตซ์ให้เป็นเวอร์ชันล่าสุดเพื่อทำการเเก้ไขช่องโหว่และเพื่อเป็นการป้องกันผู้ประสงค์ร้ายใช้ประโยชน์จากช่องโหว่ทำการโจมตีระบบ

ที่มา : securityaffairs | vmware

Mozilla เเก้ไขช่องโหว่ Firefox สำหรับ Android ที่ทำให้ผู้โจมตีสามารถ hijack เบราว์เซอร์ได้

Mozilla ได้แก้ไขช่องโหว่ที่อาจทำให้แฮกเกอร์สามารถ hijack เบราว์เซอร์ Firefox สำหรับ Android ที่ทำงานบนอุปกรณ์ที่เชื่อมต่อกับเครือข่าย Wi-Fi เดียวกัน ซึ่งช่องโหว่นี้อาจถูกใช้เพื่อบังคับให้ผู้ใช้เข้าเยี่ยมชมเว็บไซต์ที่มีเนื้อหาที่เป็นอันตรายที่ออกเบบมาเพื่อทำการฟิชชิ่งผู้ใช้หรือให้ดาวน์โหลดมัลแวร์ไปยังอุปกรณ์ของผู้ใช้

ช่องโหว่ที่ได้รับการเเก้ไขนี้อยู่ในโปรโตคอล Simple Service Discovery Protocol (SSDP) ของ Firefox ซึ่ง SSDP เป็นโปรโตคอลที่ใช้ UDP และเป็นส่วนหนึ่งของ Universal Plug and Play ( UPnP ) ใช้สำหรับค้นหาอุปกรณ์อื่นที่เชื่อมต่อกับเครือข่าย Wi-Fi เดียวกันเพื่อแชร์หรือรับเนื้อหาเช่นสตรีมวิดีโอที่แชร์โดยใช้อุปกรณ์ที่อยู่ภายในเครือข่าย โดย Firefox สำหรับ Android จะส่งข้อความการค้นหา SSDP ไปยังโทรศัพท์มือถือที่เชื่อมต่อกับเครือข่ายเดียวกันเป็นระยะเพื่อค้นหาอุปกรณ์หน้าจอที่สองที่จะส่ง หลังจากค้นหาอุปกรณ์ที่เชื่อมต่อแล้วคอมโพเนนต์ SSDP ของ Firefox จะติดตามตำแหน่งของไฟล์ XML ซึ่งเก็บรายละเอียดการกำหนดค่าของอุปกรณ์

ด้วยเหตุนี้ผู้โจมตีสามารถเรียกใช้เซิร์ฟเวอร์ SSDP ที่เป็นอันตรายที่ตอบสนองด้วยข้อความที่สร้างขึ้นเป็นพิเศษชี้ไปที่ Android intent URI. จากนั้นผู้ใช้ Android ที่เข้าเว็บไซต์ผ่าน Firefox จะถูก hijack เบราว์เซอร์และจะทำให้ผู้โจมตีสามารถรีไดเร็คผู้ใช้ไปยังหน้าเว็บฟิชชิ่งหรือทำให้เครื่องของผู้ใช้ดาว์นโหลดมัลแวร์จากเว็บไซต์ที่เป็นอันตรายหรือติดตั้งส่วนขยายของ Firefox ที่เป็นอันตราย ช่องโหว่ถูกค้นพบโดย Chris Moberly นักวิจัยด้านความปลอดภัยชาวออสเตรเลียและช่องโหว่นี้จะส่งผลต่อ Firefox สำหรับ Android เวอร์ชัน 68.11.0 และต่ำกว่า

ผู้ใช้ Firefox สำหรับ Android ควรทำการอัปเดตเบราว์เซอร์เป็นเวอร์ชัน 79 หรือเวอร์ชันล่าสุดเพื่อป้องกันผู้ประสงค์ร้ายใช้ประโยชน์จากช่องโหว่ทำการโจมตี

ที่มา : Hackread | Welivesecurity

พบช่องโหว่บน Microsoft Teams โดยช่องโหว่สามารถ Hijack บัญชีได้ด้วยรูป GIF

Microsoft ได้ออกแพตช์แก้ไขปัญหาด้านความปลอดภัยใน Microsoft Teams ซึ่งแฮกเกอร์สามารถใช้ประโยชน์จากช่องโหว่ที่มีความต่อเนื่องกันทำการขโมยบัญชี Microsoft Teams ทั้งหมดที่อยู่ในองค์กรโดยการลิ้งค์ส่ง URL ที่เป็นอันตรายหรือรูปภาพ .GIF ไปยังผู้ใช้ Microsoft Team ช่องโหว่ดังกล่าวส่งผลกระทบต่อ Microsoft Teams สองเวอร์ชั่นได้เเก่ เวอร์ชั่นเดสก์ท็อปและเวอร์ชั่นที่ใช้งานผ่านเว็บเบราว์เซอร์

นักวิจัยด้านความปลอดภัยทางไซเบอร์จาก CyberArk ได้ทำการทดสอบช่องโหว่พบว่าทุกครั้งที่ทำการเปิดแอปพลิเคชันไคลแอนต์จะพบว่ามีการสร้าง Temporary Access Token เพื่อใช้พิสูจน์ตัวตนกับ login.

Google probes AVG Chrome widget after 9m users exposed by bugs

Google ได้ทำการแบน AVG จากการติดตั้งส่วนขยายเพิ่มเติมหรือ Extension เสริมชื่อ “Web TuneUp” เนื่องจากมีรายงานจาก Tavis Ormandy นักวิจัยด้านความปลอดภัยจาก Google Project Zero ที่ค้นพบช่องโหว่จำนวนหลายช่องโหว่ใน Web TuneUp ที่ถูกติดตั้งลง Google Chrome โดยอัตโนมัติ

เมื่อติดตั้ง AVG Antivirus และจากรายงานระบุว่าตอนนี้มีผู้ใช้ที่ทำการติดตั้งหรือใช้งาน Extension ดังกล่าวแล้วประมาณ 9 ล้านคนทั่วโลก ซึ่งผลกระทบจากช่องโหว่นั้นคืออาจส่งผลให้ผู้ใช้งานถูก redirect เว็บไปยังเว็บไซต์ที่มีมัลแวร์ได้ หรือสามารถเข้าถึงและขโมยข้อมูลส่วนตัวของผู้ใช้ใน web browser รวมไปถึง Hijack เว็บที่ใช้รับส่งอีเมลของผู้ที่ใช้ Web TuneUp ดังกล่าวได้อีกด้วย

อย่างไรก็ตามทีมงาน AVG ได้ออกมาขอบคุณ Google Project Zero สำหรับการค้นพบช่องโหว่ของ Web TuneUp และได้ทำการอัพเดทให้กับผู้ใช้ทุกคนเรียบร้อยแล้ว

ที่มา : theregister

Instagram Mobile App Issue Leads to Account Hijacking Vulnerability

นักวิจัยด้านความปลอดภัย Mazin Ahmed ได้ค้นพบช่องโหว่ของ Instagram ในระบบปฏิบัติการ Android ซึ่งแฮกเกอร์สามารถทำการ hijack เข้าไปขโมย session ของเหยื่อได้ เพราะ Instagram ยังมีการใช้ HTTP อยู่ ซึ่งเป็นส่งผลให้แฮกเกอร์สามารถเข้ามาดูข้อมูลส่วนตัวได้ เช่น รูปภาพ เและยังสามารถทำการแก้ไขโพสต่างๆ ได้อีกด้วย

ปัจจุบันทาง Facebook ที่เป็นเจ้าของ Instagram ได้รับทราบถึงช่องโหว่ดังกล่าวแล้ว และได้แจ้งว่าจะมีการอัพเดทให้เป็นเวอร์ชั่นใหม่ต่อไป

ที่มา : thehackernews

BlackShades malware bust ends in nearly 100 arrests worldwide

เอฟบีไอกล่าวว่า กว่าครึ่งล้านเครื่อง ใน 100 ประเทศทั่วโลกมีการติดมัลแวร์ที่ช่วยให้อาชญากรไซเบอร์ควบคุมคอมพิวเตอร์และ hijack เว็บแคม
BlackShades เป็นชนิดของซอฟต์แวร์ที่เป็นอันตรายที่ทำหน้าที่เป็นเครื่องมือการเข้าถึงระยะไกล (RAT) เมื่อแฮกเกอร์ติดตั้ง BlackShades ลงบน คอมพิวเตอร์ของเหยื่อ แฮกเกอร์สามารถมองเห็นทุกๆ อย่างบนเครื่องของเหยื่อได้ เช่น เอกสาร, รูปภาพ, รหัสผ่าน, ข้อมูลประจำตัวของธนาคาร และอื่นๆ รวมถึงยังสามารถปฏิเสธการเข้าถึงไฟล์, การกดแป้นพิมพ์บันทึกของเหยื่อ และเปิดใช้งานเว็บแคมของเครื่องคอมพิวเตอร์เหยื่อ
ประเทศที่เกี่ยวข้องในการดำเนินการจับกุม ได้แก่ เนเธอร์แลนด์, เบลเยียม, ฝรั่งเศส, เยอรมนี, อังกฤษ, ฟินแลนด์, ออสเตรีย, เอสโตเนีย, เดนมาร์ก, สหรัฐ, แคนาดา, ชิลี, โครเอเชีย, อิตาลี, มอลโดวา และสวิตเซอร์แลนด์

ที่มา : cnet

Vulnerability in Siemens Switches allows hackers to gain admin access

Eireann Leverett นักวิจัยด้านความปลอดภัยค้นพบช่องโหว่ใน Siemens Ethernet switches จำนวนสองช่องโหว่ ที่อนุญาตให้แฮกเกอร์สามารถโจมตีจากระยะไกลไปยังบัญชีของผู้ดูแลระบบได้

ช่องโหว่แรก (CVE-2013-5944) จะอนุญาตให้แฮกเกอร์สามารถเข้าถึงบัญชีของผู้ดูแลระบบผ่านระบบเน็ตเวิร์คได้โดยไม่ต้องทำการตรวจสอบ
ช่องโหว่ที่สอง (CVE-2013-5709) จะอนุญาตให้แฮกเกอร์สามารถใช้เทคนิคการโจมตีแบบ Hijack เพื่อขโมย sessions ผ่านระบบเน็ตเวิร์คได้โดยไม่ต้องตรวจสอบ

ทางบริษัท Siemens Ethernet switches จะทำการออกแพทช์แก้ไขช่องโหว่ดังกล่าวภายใน 3 เดือน และจะดำเนินการแนะนำวิธีการใช้ SCALANCE X-200 firmware update ให้กับลูกค้า

ที่มา : ehackingnews