นักวิจัยด้านความปลอดภัยจาก CheckPoint ได้ค้นพบมัลแวร์ตัวใหม่ชื่อ IoTroop เมื่อเดือนกันยายน และพบว่า 60% อุปกรณ์ Network มีช่องโหว่

IoTroop มีเป้าหมายเชื่อมต่อกับอุปกรณ์ที่ไม่ได้รับการป้องกัน เช่น Routers และ Wireless IP Cameras ที่ผลิตโดย D-Link, TP-Link, Avtech, Netgear, MikroTik, Linksys, Synology และ GoAhead มัลแวร์จะแพร่กระจายไปยังอุปกรณ์ IoT ที่เข้าถึงได้จาก Default Password และ Usernames จากนั้นทำการเปลี่ยนให้อุปกรณ์ IoT กลายเป็น Botnet และโจมตี Distributed Denial of Service (DDoS) มีองค์กรต่างๆ ทั่วโลกกว่าล้านแห่งที่ได้รับผลกระทบและยังคงเพิ่มสูงขึ้น

มัลแวร์ IoTroop มีความคล้ายคลึงกับ Mirai แต่มีความแตกต่างระหว่างมัลแวร์ตัวนี้กับ Mirai คือมีความซับซ้อนมากขึ้นและใช้ช่องโหว่มากกว่าสิบรายการเข้าควบคุมอุปกรณ์ ในกรณี Wireless IP Camera ของ GoAhead ผู้บุกรุกใช้ช่องโหว่การ Bypass Authentication (CVE-2017-8225) ซึ่งมีผลกระทบมากกว่า 1,250 รุ่น สำหรับอุปกรณ์อื่นๆ เช่น Linksys RangePlus WRT110 Wireless Router ถูกโจมตีผ่านช่องโหว่ Remote command execution ช่องโหว่นี้มีอยู่เพราะ router’s web interface ไม่สามารถ sanitize ping เป้าหมายและขาดการป้องกันการปลอมแปลง Tokens ผู้ที่อยู่เบื้องหลังมีการระบุเซิร์ฟเวอร์คำสั่ง ควบคุมและมีการอัพเดตกลุ่มที่อยู่ไอพีสำหรับเข้าโจมตี

ยังไม่ทราบแน่ชัดว่าใครเป็นผู้อยู่เบื้องหลัง malware/botnet แฮกเกอร์มีเป้าหมายที่ใด และมีระยะเวลาในการโจมตีนานเท่าใด

ที่มา : threatpost

ConnMan คือ Network Manager ที่ถูกพัฒนาขึ้นมาไว้ใช้กับอุปกรณ์ต่างๆ ที่มีการลง Operating System เอาไว้ในตัว ซึ่งถูกใช้อย่างแพร่หลายในอุปกณ์ IoT ConnMan ถูกพบว่ามีช่องโหว่ร้ายแรงในฟังก์ชัน DNS-Proxy เวอร์ชันที่ได้รับผลกระทบคือ ConnMan 1.34 และรุ่นก่อนหน้า ช่องโหว่ดังกล่าวมีความเสี่ยงต่อการเกิด Buffer Overflow ซึ่งอาจทำให้เกิด DoS และ Remote Code Execution ช่องโหว่นี้สามารถถูกทำให้เกิดซ้ำๆได้ ตราบเท่าที่ผู้โจมตีสามารถนำไปพัฒนาต่อเพื่อใช้ในการโจมตีเป้าหมายที่ต้องการ
ข้อแนะนำ ให้อัพเดท ConnMan เป็นเวอร์ชัน 1.35 ขึ้นไป และไม่ควรเชื่อมต่อปุกรณ์ IoT กับ Network ที่ไม่มีความน่าเชื่อถือ เช่น Free Access Point

ที่มา : NRI-SECURE

เมื่อช่วงปลายเดือน กรกฎาคม ที่ผ่านมาผู้ใช้บริการ Internet ของ Bharat Sanchar Nigam (BSNL) และ Mahanagar Telephone Nigam Limited (MTNL) จำนวนมากในอินเดียไม่สามารถใช้บริการ Internet ได้ เนื่องจากโมเด็มและเราเตอร์กว่า 60,000 เครื่องถูกโจมตีด้วยมัลแวร์ BrickerBot

BrickerBot เป็นสายพันธุ์มัลแวร์ที่ใช้ในการโจมตีอุปกรณ์ IoT และอุปกรณ์ Network ที่ใช้ Linux โดยโมเด็มที่ติดไวรัสมัลแวร์ BrickerBot เป็นโมเด็มที่ใช้รหัสผ่านเริ่มต้น (admin / admin) ซึ่งหลังจากเหตุการณ์ดังกล่าวทาง MTNL และ BSNL ได้ทำการแจ้งให้ผู้ใช้จำนวนกว่า 2,000 รายเปลี่ยนรหัสผ่านของอุปกรณ์ใหม่ ซึ่งจะแตกต่างจากมัลแวร์อื่น ๆ ที่ทำการยึดอุปกรณ์ไว้ใช้สำหรับเป็น botnet ในการโจมตี DDoS และวัตถุประสงค์อื่น ๆ

Recommendation :
- เปลี่ยนรหัสผ่านของอุปกรณ์ที่ตั้งค่ามาจากโรงงานผลิตให้มีความมั่นคงปลอดภัยสูงขึ้น
- ปิด Service Telnet , SSH ไม่ให้สามารถเข้าถึงได้จากภายนอก
- ทำการ update patch ของอุปกรณ์ให้เป็นเวอร์ชั่นล่าสุด

ที่มา : BLEEPINGCOMPUTER