Health Care Policy & Financing (HCPF) เป็นหน่วยงานของรัฐที่จัดการโครงการ Health First Colorado (Medicaid) และ Child Health Plan Plus รวมทั้งให้การสนับสนุนครอบครัวที่มีรายได้น้อย ผู้สูงอายุ และผู้ทุพพลภาพ ออกมาประกาศเตือนเรื่องข้อมูลของผู้ใช้งานกว่า 4 ล้านรายรั่วไหลออกสู่สาธารณะ ส่งผลกระทบต่อข้อมูลส่วนบุคคล และข้อมูลสุขภาพ

HCPF รายงานว่าระบบของพวกเขาไม่ได้ถูกโจมตีโดยตรง แต่ข้อมูลที่รั่วไหลเกิดขึ้นผ่าน IBM ซึ่งใช้ซอฟต์แวร์ MOVEit

โดยกลุ่มแรนซัมแวร์ Clop ใช้ประโยชน์จากช่องโหว่ของ MOVEit Transfer Zero Day (CVE-2023-34362) เพื่อขโมยข้อมูลจากองค์กรหลายร้อยแห่งทั่วโลก โดย IBM ได้แจ้งให้ HCPF ทราบถึงปัญหาดังกล่าวแล้ว และดำเนินการตรวจสอบอย่างทันทีว่าเหตุการณ์ดังกล่าว ส่งผลกระทบต่อระบบของตนหรือไม่ และข้อมูลด้านสุขภาพที่ได้รับการคุ้มครองของสมาชิก Health First Colorado และ CHP+ นั้นถูกเข้าถึงโดยไม่ได้รับอนุญาตหรือไม่

เหตุการณ์นี้เกิดขึ้นเมื่อวันพุธที่ 28 พฤษภาคม 2566 ที่ผ่านมา ซึ่ง IBM ถูกเข้าถึงระบบคอมพิวเตอร์โดยไม่ได้รับอนุญาต จากการตรวจสอบ HCPF พบว่ามีไฟล์ HCPF บางไฟล์บนแอปพลิเคชัน MOVEit ในวันพฤหัสบดีที่ 13 มิถุนายน 2566 ส่งผลให้ข้อมูลสมาชิก Health First Colorado และ CHP+ จำนวนทั้งหมด 4,091,794 รายถูกขโมยออกไป ประกอบด้วยข้อมูลดังต่อไปนี้

ชื่อเต็ม
หมายเลขประกันสังคม
หมายเลขประจำตัว Medicaid
หมายเลขบัตรประกันสุขภาพ
วันเดือนปีเกิด
ที่อยู่
รายละเอียดการติดต่อ
ข้อมูลรายได้
ข้อมูลประชากร
ข้อมูลทางคลินิก (การวินิจฉัย ผลการตรวจทางห้องปฏิบัติการ การรักษา การให้ยา)
ข้อมูลประกันสุขภาพ

สัปดาห์ที่ผ่านมา หน่วยงานของรัฐขนาดใหญ่อีกแห่งในโคโลราโด Department of Higher Education (CDHE) เปิดเผยว่าพบข้อมูลรั่วไหลจากการถูกโจมตีด้วยแรนซัมแวร์ ส่งผลกระทบต่อนักเรียน และครูจำนวนมาก โดยผู้โจมตีได้ขู่จะเผยแพร่ข้อมูล และเข้ารหัสเครือข่ายคอมพิวเตอร์ ทั้งนี้ยังไม่มีรายงานว่าแฮ็กเกอร์เข้าไปในเครือข่ายได้อย่างไร และในเดือนกรกฎาคม 2566 มหาวิทยาลัยแห่งรัฐโคโลราโด ก็ได้เผยว่าข้อมูลรั่วไหลที่เกิดจากการใช้ช่องโหว่ของ MOVEit Transfer ส่งผลกระทบต่อนักศึกษา และคณาจารย์หลายหมื่นคนเช่นกัน

นอกจากนี้ HPCF ได้แจ้งให้ผู้ใช้งานทราบถึงเหตุการณ์ดังกล่าวแล้ว และยังได้ให้บริการตรวจสอบการใช้งานบัตรเครดิตผ่าน Experian เป็นเวลาสองปี อย่างไรก็ตาม ข้อมูลที่ถูกขโมยไปเพียงพอสำหรับการนำมาใช้โจมตีแบบฟิชชิ่ง และสามารถระบุตัวตน รวมถึงการทำธุรกรรมกับธนาคาร ดังนั้นผู้ใช้งานจึงควรระมัดระวังความผิดปกติที่อาจจะเกิดขึ้น

ที่มา : bleepingcomputer

นักวิจัยจาก IBM พบปัญหาด้านความปลอดภัยบน Cisco Webex เมื่อต้นปีที่ผ่านมา ปัญหาดังกล่าวส่งผลให้ผู้ไม่หวังดีสามารถ

เข้าร่วมการประชุมแบบไม่เห็นตัวตน และสามารถเข้าถึงได้ทั้งเสียง, วิดีโอ, แชท และแชร์สกรีน (CVE-2020-3419)
แม้จะถูกไล่ออกจากห้องแล้ว แต่ก็ยังสามารถได้ยินเสียงในห้องประชุมแบบไม่เห็นตัวตนได้ (CVE-2020-3471)
เข้าถึงข้อมูลของสมาชิกที่เข้าร่วมประชุม อาทิเช่น ชื่อและนามสกุล, อีเมล และ IP Address โดยสามารถเข้าถึงข้อมูลเหล่านี้ได้แม้จะอยู่แค่ใน Lobby room ยังไม่ได้รับอนุญาตให้เข้าห้องก็ตาม (CVE-2020-3441)
ข้อมูลระบุว่าปัญหาดังกล่าวเกิดขึ้นในขั้นตอนการ Handshake ของการติดต่อกันระหว่างสมาชิกในห้องประชุม (Participants) ดังนั้นการโจมตีดังกล่าวนี้จะเกิดขึ้นได้เมื่อผู้ไม่หวังดีรู้ URL ของ Meeting เท่านั้น ปัญหานี้มีผลกระทบต่อ Webex บนระบบปฏิบัติการทั้ง macOS, iOS และ Windows รวมทั้ง Webex Meetings แอพพลิเคชั่น และ Webex Room Kit

ล่าสุด Cisco มีการอัพเดตแพทช์บน Cloud ของ Cisco Webex Meeting แล้ว และปล่อยอัพเดตสำหรับ Cisco Webex Meetings แอพพลิเคชั่นบนอุปกรณ์พกพา และซอฟต์แวร์ของ Cisco Webex Meetings Server แล้ว ผู้ใช้งานควรทำการอัพเดตทันที

ที่มา: bleepingcomputer

IBM เผย Mozi Botnet เเพร่กระจายในเครือข่ายอุปกรณ์ IoT ถึง 90 % ในช่องครึ่งปีที่ผ่านมา

IBM ได้ออกรายงานถึงการเเพร่กระจายของ botnet ในระหว่างเดือนตุลาคม 2019 ถึงเดือนมิถุนายน 2020 โดยรายงานพบว่าการเเพร่กระจายกว่า 90 เปอร์เซ็นต์นั้นมากจาก Mozi botnet ซึ่งใช้เครือข่าย loT เป็นฐานในการเเพร่กระจาย

Mozi botnet ถูกตรวจพบโดยผู้เชี่ยวชาญด้านความปลอดภัยจาก 360 Netlab ซึ่งในช่วงเวลาที่ค้นพบนั้น botnet มีการกำหนดเป้าหมายไปที่เราเตอร์ Netgear, D-Link และ Huawei โดยการโจมตีผ่านการ brute force รหัสผ่าน Telnet ที่อ่อนแอ เมื่อเข้าถึงอุปกรณ์ได้แล้ว botnet จะพยายามเรียกใช้เพย์โหลดที่เป็นอันตรายและ botnet จะใช้เครือข่าย Mozi P2P ที่ถูกสร้างโดยใช้โปรโตคอล Distributed Hash Table (DHT) เพื่อสร้างเครือข่าย P2P ในการเเพร่กระจาย

นอกจากการเเพร่กระจายแล้ว Mozi botnet ยังมีความสามารถในการการโจมตี DDoS, การรวบรวมข้อมูล, ดำเนินการเพย์โหลดของ URL ที่ระบุและเรียกใช้ระบบหรือคำสั่งที่กำหนดเอง ทั้งนี้นักวิจัยของ IBM ได้ค้นพบว่าโครงสร้างพื้นฐานที่ Mozi botnet ใช้นั้นตั้งอยู่ในประเทศจีนเป็นหลัก (84%)

นักวิจัยคาดว่าอุปกรณ์ที่จะได้รับผลกระทบจาก Mozi botnet คือ เราเตอร์ Eir D1000, อุปกรณ์ Vacron NVR , อุปกรณ์ที่ใช้ Realtek SDK, Netgear R7000 และ R6400, เราเตอร์ DGN1000 Netgear, MVPower DVR, เราเตอร์ Huawei HG532, อุปกรณ์ D-Link, GPON เราเตอร์, อุปกรณ์ D-Link, กล้องวงจรปิด DVR

เพื่อปกป้องอุปกรณ์ IoT และเราเตอร์จากการโจมตี ผู้ใช้ควรทำการอัปเดตเฟิร์มแวร์เป็นเวอร์ชันล่าสุดและควรทำการเปลื่ยนรหัสผ่านตั้งต้นเป็นรหัสผ่านที่ปลอดภัย ทั้งนี้ควรปิดการใช้งานเข้าถึงจากระยะไกลผ่านอินเทอร์เน็ตหากไม่จำเป็น

โดยสามารถดู IOC ได้จาก : Securityintelligence

ที่มา : Securityaffairs | blog.

IBM ปฏิเสธที่จะแก้ไข หลังนักวิจัยทำการเผยช่องโหว่ ‘Zero-days’ 4 รายการใน IBM Data Risk Manager

Pedro Ribeiro ผู้อำนวยการฝ่ายวิจัยของ Agile Information Security ได้เปิดเผยช่องโหว่ ‘Zero-days’ 4 รายการใน IBM Data Risk Manager (IDRM) และทำการรายงานต่อ IBM โดยนักวิจัยด้านความปลอดภัยจาก IBM ปฏิเสธที่จะแก้ไขและยอมรับรายงานช่องโหว่ที่ส่งผ่าน CERT / CC

หลังจากถูกปฏิเสธ Pedro ตัดสินใจเผยเเพร่ช่องโหว่ที่ค้นพบลง GitHub ซึ่งช่องโหว่ที่เเพร่นี้ถูกพบใน IBM Data Risk Manager (IDRM) ซึ่งเป็นเครื่องมือที่ออกแบบมาเพื่อช่วย วิเคราะห์ข้อมูลและแสดงภาพความเสี่ยงที่เกี่ยวข้องกับทางธุรกิจ

ช่องโหว่ที่ Ribeiro ค้นพบคือการ Bypass Authentication, Command Injection, การใช้ Default Password และการดาวน์โหลดไฟล์โดยไม่ได้รับอนุญาต

Ribeiro กล่าวว่าจากการทดสอบข้อบกพร่องด้านความปลอดภัยโดยใช้ช่องโหว่ที่เกี่ยวเนื่องกันสามรายการ ผู้โจมตีที่ไม่ได้รับการตรวจสอบสิทธิ์สามารถรันโค้ดจากระยะไกลในฐานะ Root บนระบบ นอกจากนี้เมื่อรวมช่องโหว่ที่หนึ่งและช่องโหว่ที่สี่ ผู้โจมตีที่ไม่ได้รับอนุญาตสามารถดาวน์โหลดไฟล์จากระบบได้

Ribeiro ยังกล่าวว่าหลังจากที่เขาได้ทำการรายงานช่องโหว่ ‘Zero-days’ ต่อ IBM แต่เขาได้รับการปฏิเสธการรายงานช่องโหว่จาก IBM จึงทำให้เขาตัดสินใจเปิดเผยข้อมูลทั้งหมดต่อสาธารณะเพื่อให้บริษัทต่างๆ รับรู้ถึงปัญหาเพื่อที่จะสามารถป้องกันการใช้ประโยชน์จากช่องโหว่ดังกล่าว

สำหรับช่องโหว่ command injection และช่องโหว่การดาวน์โหลดไฟล์โดยไม่ได้รับอนุญาต รุ่นที่ได้รับผลกระทบคือ IBM Data Risk Manager (IDRM) เวอร์ชัน 2.0.1 และเวอร์ชันที่สูงกว่า

การเเก้ไขช่องโหว่
IBM ได้ทำการแนะนำให้ทำการอัปเกรด IBM Data Risk Manager (IDRM) เป็นเวอร์ชัน 2.0.4

ที่มา : bleepingcomputer

Siri Shortcuts ซึ่งเป็นคุณสมบัติใหม่ที่ Apple เพิ่มใน iOS 12 อาจทำให้ผู้ใช้เสี่ยงต่อภัยคุกคาม เช่น การหลอกให้เชื่อเพื่อเรียกค่าไถ่ (ransom) การแพร่กระจายมัลแวร์ หรือการโจรกรรมข้อมูลสำคัญ (exfiltration) เป็นต้น

John Kuhn นักวิจัยภัยคุกคามจาก IBM X-Force เชื่อว่าการใช้ Siri Shortcuts อาจทำให้ผู้ไม่หวังดีนำไปใช้ประโยชน์โดยการสร้างเครื่องมือที่เอาไว้ข่มขู่เพื่อเรียกค่าไถ่บนเครื่องของเหยื่อ โดยการทำให้เหยื่อเชื่อว่าข้อมูลในเครื่องของพวกเขาอยู่ในมือของผู้ไม่หวังดีแล้ว นอกจากนี้ผู้ไม่หวังดีอาจจะใช้สคริปต์เพื่อรวบรวมข้อมูลจากโทรศัพท์เหยื่อก่อน และนำไปข่มขู่เพื่อให้ดูน่าเชื่อถือยิ่งขึ้นโดย และจากตัวอย่างการทดสอบสคริปต์อันตรายดังกล่าวนี้สามารถเปิดหน้าเว็บที่แสดงหน้าข้อความเพื่อข่มขู่เรียกค่าไถ่และแสดงข้อมูลตัวอย่างข้อมูลจากเครื่องโทรศัพท์ของเหยื่ออีกด้วย หรืออาจทำให้เครื่องของเหยื่อส่งข้อความที่มีการระบุลิงค์อันตรายไปตามรายชื่อผู้ติดต่อทั้งหมดโดยอัตโนมัติ

John Kuhn และทีม IBM X-Force แนะนำว่าผู้ใช้ควรติดตั้ง Siri Shortcut จากแหล่งที่เชื่อถือได้เท่านั้นและควรตรวจสอบสิทธิ์ที่แอพพลิเคชั่นขอใช้ในการเข้าถึงข้อมูล หรือแอพพลิเคชั่นอื่นๆ บนเครื่องอย่างละเอียดก่อนตัดสินใจติดตั้ง

ที่มา: zdnet.

OpenSSH มีช่องโหว่ Denial of Service ซึ่งเกิดจากข้อผิดพลาดในฟังก์ชัน process_open () เมื่ออยู่ในโหมด read-only ผู้โจมตีจากระยะไกลที่สามารถ Authenticate ตนเองได้แล้ว จะสามารถใช้ประโยชน์จากช่องโหว่นี้เพื่อสร้างไฟล์ที่เป็น zero-length และทำให้เกิด Denial of Service ได้ ช่องโหว่นี้ได้รับรหัส CVE-2017-15906 มีคะแนน CVSS 6.5 ผลิตภัณฑ์และเวอร์ชันที่ได้รับผลกระทบ ได้แก่ IBM i 7.1, 7.2 และ 7.3

ผู้ใช้สามารถแก้ไขปัญหาได้โดยใช้ PTF กับ IBM i โดยมีหมายเลข IBM i PTF คือ:
รุ่น 7.1 - SI66253
รุ่น 7.2 & 7.3 - SI66254

ทาง IBM แนะนำให้ผู้ใช้ทุกรายที่ใช้ผลิตภัณฑ์ที่ได้รับผลกระทบหรือใช้เวอร์ชันที่ไม่ได้รับการสนับสนุนแล้ว ทำการอัพเกรดเป็นเวอร์ชันที่ได้รับการสนับสนุน และเวอร์ชั่นใหม่ที่ได้รับการแก้ไขแล้ว

ที่มา: IBM

บริษัทด้านความปลอดภัย SEC Consult ได้ประกาศแจ้งเตือนการค้นพบช่องโหว่ด้านความปลอดภัยซึ่งส่งผลกระทบต่อ IBM InfoSphere DataStage และ IBM InfoSphere Information Server ซึ่งปัจจุบันได้รับการแพตช์โดยทาง IBM แล้ว
ช่องโหว่ด้านความปลอดภัยที่ถูกประกาศออกมานั้นมีทั้งหมด 5 ช่องโหว่ โดยมีช่องโหว่ที่มีความร้ายแรงสูงและสูงสุดซึ่งส่งผลให้ผู้โจมตีสามารถใช้ช่องโหว้ดังกล่าวในการวางไฟล์ที่เป็นอันตรายเพื่อยกระดับสิทธิ์หรือข้ามผ่านกระบวนการพิสูจน์ตัวตนได้
รุ่นของซอฟต์แวร์ที่ได้รับผลกระทบคือ IBM InfoSphere Datastage รุ่น 11.5, IBM InfoSphere Information Server รุ่น 9.1, 11.3 และ 11.5 และ IBM InfoSphere Information Server on Cloud เวอร์ชัน 11.5 แนะนำให้ตรวจสอบและอัพเดตแพตช์ด้วยความปลอดภัยโดยด่วน

ที่มา : securityweek

IBM ได้มีการปล่อยอัพเดทเพื่อปิดช่องโหว่ที่พบในซอฟต์แวร์ IBM Cisco MDS Series Switches Data Center Network Manager (DCNM) หากถูกเจาะผ่านช่องโหว่ดังกล่าว จะทำให้ผู้ที่โจมตีสามารถเข้าควบคุมระบบที่ได้รับผลกระทบดังกล่าวได้ ทาง US-CERT กระตุ้นให้ทางผู้ใช้งาน และผู้ดูแลระบบทำการทบทวนรายละเอียดคำแนะนำเกี่ยวกับเรื่องของช่องโหว่ และรายละเอียดการบรรเทาผลกระทบ

ที่มา : us-cert

ผู้ร่วมก่อตั้ง Pirate Bay ที่ชื่อ Gottfrid Svartholm Warg กับพวกอีก 3 คนได้ถูกตั้งข้อกล่าวหาว่า พวกเขาได้แฮกเข้าไปในบริษัทต่างๆ เพื่อขโมยข้อมูลส่วนตัวที่เป็นความลับอย่างเช่น เลขบัตรประชาชน เป็นต้น และพยายามโอนเงินจำนวน 680,000 ยูโรออกจากธนาคาร Swedish Nordea ไปยังบัญชีธนาคารอื่นๆ จากข้อมูลของอัยการได้ระบุว่า IBM mainframes ที่เป็นของบริษัท Logica ซึ่งเป็นบริษัทที่ให้บริการ tax services กับรัฐบาลสวีเดนและธนาคาร Swedish Nordea ได้ตกเป็นเป้าหมายของการโจมตี การโจมตีนี้เริ่มต้นโจมตีตั้งแต่ปี 2010 จนถึงเดือนเมษายนปี 2012 และนาย Svartholm Warg ได้ถูกระบุว่าเป็นหัวหน้าที่คอยบงการการโจมตีครั้งนี้

ที่มา: nakedsecurity.