นักวิจัยด้านความปลอดภัยพบมัลแวร์ตัวใหม่ชื่อ "RubyMiner" เป็นมัลแวร์ขุด bitcoin บนเว็บเซิร์ฟเวอร์ที่ไม่มีการอัพเดท โดยพบการโจมตีเริ่มตั้งแต่วันที่ 9-10 มกราคมที่ผ่านมา
กลุ่ม RubyMiner ใช้เครื่องมือชื่อ p0f เพื่อตรวจหาเครื่องเว็บเซิร์ฟเวอร์ทั้ง Linux และ Windows ที่ไม่มีการอัพเดทให้เป็นเวอร์ชั่นใหม่ จากนั้นจะทำการโจมตีผ่านช่องโหว่ที่พบเพื่อติดตั้งมัลแวร์บนเว็บเซิร์ฟเวอร์เหล่านั้น Check Point พบว่าการโจมตีครั้งนี้มีการใช้วิธีการซ่อนคำสั่งที่เป็นอันตรายในไฟล์ robots.
เมื่อวันที่ 2 มกราคม 2018 VMware ได้ทำการแก้ไขปัญหาด้านความปลอดภัยบน vSphere Data Protection (VDP) เวอร์ชัน 6.1.x, 6.0.x และ 5.x ซึ่งมีความรุนแรงระดับ critical ได้แก่
ช่องโหว่ Authenication bypass (CVE-2017-15548) ทำให้ผู้โจมตีจากภายนอกสามารถหลีกเลี่ยงการตรวจสอบสิทธิ์ในแอพพลิเคชันที่ใช้พิสูจน์ตัวตน และได้รับการเข้าถึงในระดับสิทธิ์ root
ช่องโหว่ในการอัพโหลดไฟล์ (CVE-2017-15549) ทำให้ผู้โจมตีจากภายนอกที่ Authenication ด้วยสิทธิ์ระดับต่ำสามารถอัพโหลดไฟล์อันตรายที่สร้างขึ้นมาเข้าไปยัง Location ในระบบไฟล์เซิร์ฟเวอร์ได้
ช่องโหว่ในการเข้าถึง Path ต่างๆ (CVE-2017-15550) ทำให้ผู้โจมตีจากภายนอกที่ Authenication ด้วยสิทธิ์ระดับต่ำสามารถเข้าถึงไฟล์บนไฟล์เซิร์ฟเวอร์ได้หากมีแอพพลิเคชันที่มีช่องโหว่รันอยู่
ปัญหาเหล่านี้ได้รับการแก้ไขในเวอร์ชัน VDP 6.1.6 และ 6.0.7
ที่มา : blogs.
นักวิจัยด้านการแฮ็กระบบปฏิบัติการ iOS ของ Apple ได้เปิดเผยรายละเอียดเกี่ยวกับช่องโหว่ macOS ที่สามารถทำควบคุมระบบได้
รายละเอียด ได้รับการเผยแพร่ในวันแรกของปี 2018 โดยนักวิจัยที่ใช้ชื่อว่า Siguza (s1guza) ผู้บุกรุกที่สามารถเข้าถึงระบบ สามารถใช้ประโยชน์จากช่องโหว่นี้ในการรันโค้ด และทำให้ตนเองได้รับสิทธิ์ root บนระบบได้ ซึ่งผู้เชี่ยวชาญได้ระบุว่าช่องโหว่ดังกล่าวเป็น "zero day"
ช่องโหว่ Local Privilege Escalation (LPE) เป็นช่องโหว่ที่ส่งผลต่อ IOHIDFamily ซึ่งเป็นส่วนขยายที่อยู่ใน kernel เกี่ยวข้องกับเรื่องการแสดงผลหน้าจอให้ใช้งานง่ายขึ้น หรือ Human Interface Devices(HID) เช่น หน้าจอสัมผัสหรือปุ่ม ช่องโหว่ถูกพบโดยบังเอิญในระหว่างที่พยายามหาวิธีการที่จะแฮ็ก iOS kernel และได้พบว่ามี
class บางอย่างที่ถูกใช้ในส่วนขยาย IOHIDFamily ซึ่งพบได้เฉพาะบน macOS อย่างเช่น IOHIDSystem มีช่องโหว่อยู่
ช่องโหว่ที่เขาค้นพบนี้มีผลกระทบต่อ macOS ทุกเวอร์ชั่นและทำให้เกิดการอ่าน / เขียนได้โดยพลการใน kernel การโจมตีนี้ยังยับยั้งความสามารถด้านความปลอดภัยของระบบอย่าง System Integrity Protection(SIP) และ Apple Mobile File Integrity(AMFI) อีกด้วย โดยได้มีการตั้งชื่อให้กับช่องโหว่นี้ว่า "IOHIDeous" ทั้งนี้ Siguza ได้รายงานผลการค้นพบของเขาต่อ Apple เรียบร้อยแล้ว ซึ่งน่าจะมีการออก Patch มาให้อัพเดทในเร็ววันนี้
ที่มา: securityweek
กระทรวงความมั่นคงแห่งมาตุภูมิสหรัฐฯ ตรวจพบการรั่วไหลของข้อมูลกว่า 240,000 รายการ กระทบพนักงานรัฐ พยานและผู้เคยถูกสัมภาษณ์
เมื่อวันพุธที่ 3 มกราคม 2018 ที่ผ่านมากระทรวงความมั่นคงแห่งมาตุภูมิ (DHS) ของสหรัฐฯ ประกาศยืนยันการค้นพบการรั่วไหลของข้อมูลซึ่งประกอบด้วยข้อมูลส่วนบุคคลของพนักงานทั้งอดีตและปัจจุบัน รวมไปถึงพยานและผู้ที่เคยถูกสัมภาษณ์ในช่วงปี 2002 – 2014 ซึ่งเป็นจำนวนกว่า 240,000 รายการ
DHS ได้ทำการตรวจสอบเหตุการณ์ที่เกิดขึ้นและยืนยันในเบื้องต้นว่าเหตุการณ์ดังกล่าวไม่ได้เกิดขึ้นจากการถูกโจมตีทางไซเบอร์ แต่เกิดจากการนำข้อมูลออกจากระบบจัดการข้อมูลและเผยแพร่ข้อมูลโดยไม่ได้รับอนุญาตโดยบุคคลภายในองค์กร
DHS ได้ทำการเปิดให้ผู้ที่ได้รับผลกระทบใช้บริการตรวจสอบและป้องกันการใช้ข้อมูลเครดิตได้ฟรีเป็นเวลา 18 เดือนสำหรับผู้ได้รับผลกระทบจากการรั่วไหลของข้อมูล อย่างไรก็ตาม DHS ยังไม่ได้มีการเปิดเผยรายละเอียดการจับกุมในเวลานี้ โดยมีข้อมูลเพียงแค่การสืบสวนซึ่งกินเวลานาน
ที่มา: scmagazine
ที่มา: cyberscoop
ที่มา: dhs
แจ้งเตือนช่องโหว่ XSRF/CSRF บน phpMyAdmin ความร้ายแรงระดับ Critical
โครงการ phpMyAdmin ได้มีการปล่อยแพตช์ช่องโหว่รหัส PMASA-2017-9 ซึ่งเป็นช่องโหว่ XSRF/CSRF ที่ถูกระบุว่ามีความร้ายแรงระดับสูงสุด (critical) เมื่อช่วงปลายเดือนที่ผ่านมา โดยมีเวอร์ชันที่ได้รับผลกระทบคือเวอร์ชัน 4.7.x (ก่อนหน้า 4.7.7)
ช่องโหว่ Cross-site Request Forgery (CSRF) เป็นช่องโหว่ที่เกิดจากการไม่ตรวจสอบแหล่งที่มาของข้อมูลที่ถูกส่งมาเว็บแอปพลิเคชันที่ชัดเจน รวมไปถึงไม่มีการป้องกันการส่งข้อมูลในลักษณะดังกล่าวที่เหมาะสม เช่น ผู้โจมตีอาจใช้ช่องโหว่นี้ในการหลอก/บังคับให้ผู้ใช้งานคลิก URL ที่ผู้โจมตีเตรียมไว้เพื่อใช้ประโยชน์จากสิทธิ์หรือการยืนยันตัวตนของผู้ใช้งาน ส่งผลเป็นการโจมตีระบบได้
แพตช์สำหรับช่องโหว่นี้มาแล้ว แนะนำให้ตรวจสอบรายละเอียดแพตช์จากแหล่งที่มา
Recommendation: แพตช์สำหรับช่องโหว่นี้มาแล้ว แนะนำให้ตรวจสอบรายละเอียดแพตช์จากแหล่งที่มา
ที่มา phpmyadmin
บริการไฟแนนซ์ของนิสสันแคนาดาถูกแฮก กระทบผู้ใช้งานกว่า 1.13 ล้านคน
ช่วงปลายเดือนที่ผ่านมา นิสสันออกมาแจ้งเตือนผู้ใช้งานหลังจากมีการตรวจพบการรั่วไหลของข้อมูลส่วนบุคคลของสมาชิกซึ่งทำไฟแนนซ์กับ Nissan Canada Finance และ INFINITI Financial Services ในแคนาดา โดยจากการประเมินเบื้องต้น อาจมีผู้ที่ได้รับความเสียหายจากการรั่วไหลของข้อมูลดังกล่าวถึว 1.13 ล้านคน
อ้างอิงจากประกาศอย่างเป็นทางการจากนิสสัน สาเหตุของการรั่วไหลของข้อมูลในตอนนี้นั้นยังไม่แน่ชัด ทราบเพียงแต่มีการเข้าถึงข้อมูลโดยไม่ได้รับอนุญาต และส่งผลให้ข้อมูลอาทิ ชื่อของสมาชิก, ที่อยู่, คะแนนเครดิตและข้อมูลทางการเงินบางส่วนหลุดออกไป อย่างไรก็ตามยังไม่มีข้อบ่งชี้ใดๆ ในตอนนี้ว่ามีข้อมูลที่เกี่ยวข้องกับการจ่ายเงินหรือข้อมูลที่ใช้ในการติดต่อสมาชิกหลุดออกไปด้วย ในขณะนี้ทางนิสสันได้เริ่มการชดเชยให้กับผู้ได้รับผลกระทบโดยการเปิดบริการมอนิเตอร์เครดิตฟรีจำนวน 1 ปี
ในขณะนี้ยังไม่มีข้อมูลทางเทคนิคที่ชัดเจนเกี่ยวกับการโจมตีดังกล่าว
ที่มา: theregister
กลุ่มแฮกเกอร์ Lazarus Group (เกาหลีเหนือ) พุ่งเป้าโจมตีระบบ PoS ด้วยมัลแวร์ประเภทใหม่
กลุ่มนักวิจัยด้านความปลอดภัยจาก Proofpoint ได้มีการเปิดเผยผลการวิเคราะห์ภัยคุกคามลักษณะใหม่ซึ่งเป็นครั้งแรกที่สามารถระบุได้ว่าเป็นภัยคุกคามที่มีความเกี่ยวข้องกับองค์กรระดับประเทศและพุ่งเป้าโจมตีระบบ PoS เพื่อขโมยข้อมูลบัตรเครดิต โดยการโจมตีดังกล่าวมาจากกลุ่มแฮกเกอร์ Lazarus Group ซึ่งเชื่อกันมีความเกี่ยวข้องกับเกาหลีเหนือ
ภัยคุกคามลักษณะใหม่ที่ Lazarus Group โจมตีนั้นมีการใช้มัลแวร์เพื่อฝังตัวในระบบ PoS ชื่อ "RatankbaPOS" โดยมีเป้าหมายหลักคือระบบในเกาหลีใต้ RatankbaPOS เป็นเพียงหนึ่งในมัลแวร์ที่ถูกใช้ในกระบวนการโจมตีทั้งหมด Proofpoint กล่าวถึงรายละเอียดอ้างอิงจากพฤติกรรมการติดต่อกับเซิร์ฟเวอร์ที่ใช้ออกคำสั่งและควบคุม (C&C server) ว่า ผู้โจมตีน่าจะมีการโจมตีเครือข่ายขององค์กรก่อนที่จะพยายามเข้าถึงระบบ PoS
เป็นที่ทราบกันดีว่าความเสี่ยงในระบบ ATM โดยส่วนมากนั้นไม่ได้ขึ้นอยู่กับตัว ATM จริงๆ แต่เป็นฝั่งขององค์กรที่สามารถเข้าถึงระบบ ATM ได้จากระยะไกล ขอให้ผู้ให้บริการหมั่นตรวจสอบความปลอดภัยระบบอย่างเข้มงวด ทางไอ-ซีเคียวแนะนำให้มีการปรับปรุงระบบความปลอดภัยและตรวจสอบข้อมูลให้สอดคล้องกับข้อมูล IOC ด้านล่างด้วย
ที่มา: infosecurity
นักวิจัยด้านความปลอดภัยพบการโจมตีจากกลุ่มแฮ็คเกอร์ชาวจีนที่มีขอบเขตการโจมตีทั่วโลก โดยมีเป้าหมายหลักคือการโจมตีเซิร์ฟเวอร์ฐานข้อมูลเพื่อทำ mining cryptocurrencies, ล้วงข้อมูลสำคัญ และการทำ DDoS botnet
นักวิจัยจาก GuardiCore Labs ได้วิเคราะห์การโจมตีกว่าพันครั้งในรอบเดือนที่ผ่านมา โดยมีการพบแคมเปญการโจมตีจากกลุ่มแฮกเกอร์กลุ่มนี้ทั้งหมด 3 รูปแบบ คือ Hex, Hanako, และ Taylor โดยมีเป้าหมายการโจมตีอยู่ที่เซิร์ฟเวอร์ของ MSSQL และ MySQL ทั้งระบบปฏิบัตการ Windows และ Linux มีรูปแบบการโจมตีคือ
Hex จะทำหน้าที่ลงตัว cryptocurrency miners และ remote access trojans (RATs) บนเครื่อง
Taylor จะลงตัว keylogger และ backdoor
Hanako จะใช้เครื่องของเหยื่อสร้าง DDoS botnet
เครื่องที่ถูกโจมตีส่วนใหญ่อยู่ในประเทศจีน แฮ็คเกอร์จะทำการ brute force เพื่อเข้ามายังเซิร์ฟเวอร์ และทำการสั่งรัน SQL commands ที่เขียนเตรียมไว้เพื่อได้สิทธิ์เข้าใช้งานแบบเต็มตัว และเพื่อหลบหลีกการบันทึกของ audit logs สิ่งที่น่าสนใจอีกอย่างคือการที่แฮ็คเกอร์ใช้ระบบเคือข่ายของเหยื่อทำให้โครงสร้างการโจมตีของตัวเองเป็นแบบแยกส่วน และทำให้การขัดขวางไม่ให้ถูกหยุดการโจมตี
เพื่อเข้าถึงฐานข้อมูลด้วยสิทธิ์แบบเต็มตัว ทั้งสามตัวจะสร้าง backdoor users ไส้ในฐานข้อมูล และเปิดพอร์ตสำหรับ Remote Desktop ทำให้สามารถโหลดและติดตั้งการโจมตีในขั้นต่อไป สุดท้ายเพื่อปกปิดร่องรอยแฮ็คเกอร์จะลบทุกๆ ไฟล์ที่ระบุถึงการเข้าถึงต่างๆ
ผู้ดูแลระบบควรตรวจสอบการเข้าถึงฐานข้อมูล หรือระบบต่างๆ ว่าถูกต้องตามสิทธิ์ที่ได้รับหรือไม่ เพื่อป้องกันการแฮ็คเข้าระบบ นักวิจัยแนะนำให้ผู้ดูแลระบบทำตามคำแนะนำเรื่องการปรับต่างๆ จาก MySQL และ Microsoft มากกว่าการที่จะไปสนใจเรื่องการตั้งรหัสสำหรับการเข้าฐานข้อมูล
ที่มา: thehackernews