POC ของช่องโหว่ CVE-2019-19781 ใน Citrix ADC (NetScaler) ถูกเผยแพร่แล้ว

ในช่วงปลายเดือนธันวาคม 2019 มีรายงานการพบช่องโหว่ CVE-2019-19781 ใน Citrix ADC (NetScaler) ซึ่งในเวลาต่อมาไม่นานนักวิจัยด้านความปลอดภัยพบการแสกนจำนวนมากเพื่อค้นหาเครื่องที่มีช่องโหว่ ซึ่งในวันที่ 11 มกราคม 2020 มีการปล่อยโค้ดสำหรับโจมตีช่องโหว่ CVE-2019-19781 ออกมาแล้ว

CVE-2019-19781 ถูกจัดความรุนแรงอยู่ในระดับ Critical และอาจส่งผลให้ผู้โจมตีสามารถรันคำสั่งที่เป็นอันตรายผ่าน Directory Traversal หากทำการโจมตีได้สำเร็จ ซึ่งในขณะนี้ยังไม่มีแพตช์ Citrix ได้ให้คำแนะนำเกี่ยวกับวิธีตั้งค่าเพื่อป้องกันไว้ที่ https://support.

แจ้งเตือนการค้นพบช่องโหว่ใหม่ในเครือข่าย 3G, 4G และ 5G อาจส่งผลให้ดักฟังการสื่อสารได้

ทีมนักวิจัยจาก ETH Zurich ได้มีการเผยแพร่งานวิจัยใหม่ภายใต้ชื่อ "New Privacy Threat on 3G, 4G, and Upcoming 5G AKA Protocols" ซึ่งมีการให้รายละเอียดถึงช่องโหว่ใหม่ในตัวโปรโตคอลซึ่งอาจส่งผลกระทบต่อความเป็นส่วนตัวของผู้ใช้งานได้

ช่องโหว่ดังกล่าวนั้นส่งผลกระทบต่อกระบวนการ Authentication and Key Agreement หรือ AKA ซึ่งทำหน้าที่ในการพิสูจน์ตัวตนระหว่างผู้ใช้งาน แลกเปลี่ยนกุญแจเข้ารหัสและเข้ารหัสการสื่อสาร

ช่องโหว่ในครั้งนี้นั้นแตกต่างจากช่องโหว่ที่มีอยู่เดิมและถูกโจมตีด้วยอุปกรณ์ IMSI-catcher เพื่อหาตำแหน่งและสอดแนม โดยทำให้ผู้โจมตีสามารถสะกดรอยการใช้งานของผู้ใช้ได้แม้ว่าผู้ใช้งานจะอยู่หาก base station ปลอมที่ผู้โจมตีสร้างขึ้นเพื่อโจมตี

ในขณะนี้การค้นพบดังกล่าวได้ถูกตรวจสอบโดยกลุ่มของผู้ออกแบบโปรโตคอล 3GPP และ GSMA แล้วเพื่อแก้ไข โดยคาดว่าการแก้ไขตัวโปรโตคอลควรจะดำเนินการให้เสร็จก่อนการติดตั้ง 5G ในเฟสต่อไปที่จะเกิดขึ้นในช่วงปลายปี 2019

ที่มา : www.

พบมัลแวร์ใหม่ที่ปลอมตัวเป็นโปรแกรม Google Update เพื่อขโมยข้อมูล และติดตั้งมัลแวร์เพิ่มเติม

นักวิจัยด้านความปลอดภัยจาก Minerva Labs ตรวจพบมีการขโมยข้อมูลโดยใช้โทรจัน AZORult ซึ่งโทรจันดังกล่าวจะทำการปลอมตัวเป็นโปรแกรม Google Update เมื่อติดตั้งบนเครื่องเหยื่อแล้ว มัลแวร์จะแทนที่การทำงานของ Google Update ตัวจริง

โปรแกรมดังกล่าวถูกพัฒนาให้มีรูปแบบที่เหมือนกับโปรแกรมที่ถูกต้องของ Google เช่นมีการใช้ไอคอนของ Google และมีการรับรอง (signed) ด้วยใบรับรอง (certificate) ที่ยังไม่หมดอายุ แต่จากการตรวจสอบเพิ่มเติมอย่างละเอียดพบว่า ใบรับรอง (certificate) ดังกล่าวออกให้กับ "Singh Agile Content Design Limited" แทนที่จะเป็นการออกให้กับ "Google" โดยออกเมื่อวันที่ 19 พฤศจิกายน

หลังจากการวิเคราะห์อย่างละเอียดพบว่ามัลแวร์ AZORult มีรูปแบบการทำงาน ดังต่อไปนี้

- ส่งคำขอ HTTP POST ไปที่ /index.

เซิร์ฟเวอร์ดาวน์โหลดไลบรารีภาษา PHP หรือ PHP Extension and Application Repository (PEAR) ประกาศปิดเว็บไซต์ไม่มีกำหนดเพราะถูก Hack

go-pear.

กระทรวงความมั่นคงแห่งมาตุภูมิของสหรัฐอเมริกา (DHS) ได้ประกาศ "คำสั่งฉุกเฉิน" ซึ่งมีรายละเอียดและคำแนะนำเกี่ยวกับเหตุการณ์ DNS hijacking จากอิหร่าน

คำสั่งฉุกเฉินสั่งให้หน่วยงานของรัฐตรวจสอบ DNS records ว่ามีการแก้ไขที่ไม่ได้รับอนุญาตหรือไม่ สั่งให้เปลี่ยนรหัสผ่านและเปิดใช้งานการตรวจสอบความถูกต้องหลายปัจจัย (multi-factor authentication) สำหรับบัญชีทั้งหมดที่สามารถจัดการ DNS records ได้ นอกจากนี้เอกสารของ DHS ยังเรียกร้องให้บุคลากรด้านไอทีของรัฐบาลตรวจสอบใบรับรอง Certificate Transparency (CT) ด้วย

รายงานระบุรายละเอียดเกี่ยวกับแคมเปญที่มีการประสานงานกันระหว่างกลุ่มที่หน่วยสืบราชการลับทางไซเบอร์เชื่อว่าเป็นการดำเนินการนอกอิหร่าน มีจัดการ DNS records สำหรับโดเมนของบริษัทเอกชนและหน่วยงานรัฐบาล โดยวัตถุประสงค์ของ DNS hijacks เพื่อเปลี่ยนเส้นทางการรับส่งข้อมูลทางเว็บของบริษัท และเซิร์ฟเวอร์อีเมลของหน่วยงานไปสู่เซิร์ฟเวอร์ที่เป็นอันตราย ซึ่งแฮกเกอร์ชาวอิหร่านจะทำการรวบรวมรายละเอียดการเข้าสู่ระบบของเหยื่อ

ตอนนี้เจ้าหน้าที่ DHS ต้องการทราบผลกระทบของเหตุการณ์นี้ในทุกหน่วยงานรัฐบาลของสหรัฐอเมริกาและให้หน่วยงานจัดทำแผนปฏิบัติการสี่ขั้นตอนที่มีรายละเอียดในเอกสารคำสั่ง

ที่มา: www.

Phobos ปรากฏตัวครั้งแรกในเดือนธันวาคมที่ผ่านมา โดยนักวิจัยที่ CoveWare ได้ให้รายละเอียดว่า ransomware ตัวนี้จะมีหลักการทำงานคล้ายคลึงกับ Dharma ransomware โดยมีเป้าหมายการโจมตีคือธุรกิจต่างๆทั่วโลก โดยการโจมตีแบบ Phobos ransomware คืออาชญากรไซเบอร์จะใช้ประโยชน์จาก RDP Port ที่เปิดเอาไว้และมีความปลอดภัยต่ำ ทำให้ถูกผู้ไม่ประสงค์ดีแอบเข้าไปในเครือข่ายได้และทำการโจมตีโดยการเข้ารหัสไฟล์และทำการเรียกค่าไถ่ โดยอ้างว่าถ้าเหยือจ่ายเป็น bitcoin ถึงจะทำการคืนไฟล์ที่ถูกเข้ารหัสให้ Phobos ransomware จะทำให้ไฟล์ในเครื่องของเหยือถูกล็อคด้วยนามสกุลไฟล์ .PHOBOS และเพิ่มไฟล์ Phobos.

Joomla 3.9.2 มีการแก้ไขช่องโหว่ด้านความปลอดภัย 4 รายการ และมีการแก้ไขข้อผิดพลาด พร้อมทั้งปรับปรุงมากกว่า 50 รายการ
• Low Priority - XSS ใน mod_banners (ส่งผลกระทบต่อ Joomla 2.5.0 ถึง 3.9.1)
• Low Priority - XSS ใน com_contact (ส่งผลกระทบต่อ Joomla 2.5.0 ถึง 3.9.1)
• Low Priority - XSS ใน Global Configuration textfilter (ส่งผลกระทบต่อ Joomla 2.5.0 ถึง 3.9.1)
• Low Priority - XSS Global Configuration URL (ส่งผลกระทบต่อ Joomla 2.5.0 ถึง 3.9.1)

แก้ไขข้อผิดพลาดและการปรับปรุง
• แก้ไข states ใน com_finder, com_banners, com_messages, com_users โน้ต
• ลบ Caching field ใน languages, syndicate, random image, and login modules
• เพิ่มเติมความสามารถของ Editors API
• ใน Menu Item Alias เปลี่ยนให้ redirection เป็น optional
• ปรับให้ชื่อไฟล์เหมาะสมต่อการใช้งานแบบ drag and drop ใน com_media
• ปรับปรุงส่วนของ Code cleanup และ namespace

ที่มา: www.

Firefox รุ่น 65 ปรับปรุงความสามารถในการแจ้งเตือนการโจมตี Man-in-the-middle

ตั้งแต่ Firefox รุ่น 61 มีเพิ่มความสามารถการแสดงข้อความ error "MOZILLA_PKIX_ERROR_MITM_DETECTED" ที่เตือนว่ามีการรันโปรแกรมเพื่อทำการโจมตี SSL ด้วยวิธีการ man-in-the-middle ซึ่งใน Firefox รุ่น 65 ได้มีการแก้ไขเพิ่มเติมว่าอาจมีโปรแกรมป้องกันไวรัสอาจเป็นสาเหตุของข้อผิดพลาดดังกล่าวได้ด้วย ไม่ใช่มีแต่การถูกโจมตีเสมอไป

Man-in-the-middle (MITM) คือ เทคนิคการโจมตีของแฮคเกอร์ที่จะปลอมเป็นคนกลางเข้ามาแทรกสัญญาณการรับส่งข้อมูลระหว่างผู้ใช้ (เบราว์เซอร์) และเซิร์ฟเวอร์ โดยใช้โปรแกรมดักฟังข้อมูลของเหยื่อ แล้วแฮกเกอร์ก็เป็นตัวกลางส่งผ่านข้อมูลให้ระหว่างเบราว์เซอร์กับเซิร์ฟเวอร์ ทำให้สามารถดักข้อมูล เช่น รหัสผ่าน หรือทำการแก้ไขเนื้อหาข้อมูลก่อนถึงปลายทางได้่
แต่โปรแกรมป้องกันไวรัสหรือโปรแกรม HTTP debugging tool อย่าง Fiddler มีการทำงานที่คล้ายกับการทำ MITM ทำให้เกิดข้อความ error ได้เช่นกัน

Firefox รุ่น 65 จึงมีการปรับปรุงโดยเพิ่มข้อมูลใบรับรองของโปรแกรมที่ทำให้เกิดการแจ้งเตือน ดังนั้นหาก Firefox รุ่น 65 แสดงข้อผิดพลาด MOZILLA_PKIX_ERROR_MITM_DETECTED แสดงว่าผู้ใช้มีโปรแกรมที่พยายามเข้าถึงใบรับรองเพื่อให้สามารถรับฟังการเข้าชมเว็บไซต์ที่เข้ารหัสของคุณได้ ผู้ใช้ควรทำการตรวจสอบว่ามาจากโปรแกรมใด ถ้าใบรับรองไม่ได้มาจากโปรแกรมป้องกันไวรัสแปลว่าอาจมีมัลแวร์บนเครื่อง
แต่ถ้าหากใบรับรองมาจากโปรแกรมป้องกันไวรัส Mozilla แนะนำให้ผู้ใช้ปิดการสแกน SSL หรือ HTTPS และเปิดใช้งานอีกครั้ง เพื่อเพิ่มใบรับรองของโปรแกรมป้องกันไวรัสไปยังที่เก็บใบรับรอง Firefox

ที่มา : bleepingcomputer

โปรแกรมที่มีการอิมพลีเมนต์ฟีเจอร์ SCP (Secure Copy Protocol) ทั้งหมดจาก 36 ปีที่ผ่านมาตั้งแต่ปี 1983 มีความเสี่ยงต่อข้อบกพร่องด้านความปลอดภัย 4 ประเด็น ที่อนุญาตให้เซิร์ฟเวอร์ SCP ที่เป็นอันตรายทำการเปลี่ยนแปลงระบบของผู้ใช้ โดยไม่ได้รับอนุญาตและซ่อนการทำงานที่เป็นอันตรายในเครื่อง

Harry Sintonen นักวิจัยด้านความปลอดภัยจากบริษัท F-Secure บริษัทที่รักษาความปลอดภัยทางไซเบอร์จากประเทศฟินแลนด์ได้ค้นพบช่องโหว่ตั้งแต่เดือนสิงหาคมปีที่ผ่านมา

SCP ทำงานบนโปรโตคอล SSH ที่สนับสนุนกลไกการตรวจสอบสิทธิ์ หรือการพิสูจน์ตัวตนเพื่อความถูกต้องและรักษาความลับสำหรับไฟล์ที่ถูกถ่ายโอนเช่นเดียวกับ นับตั้งแต่เปิดตัวครั้งแรกในปี 2526 SCP ได้ถูกใช้เป็นแอฟพลิเคชั่นภายใต้ชื่อเดียวกัน แต่อยู่ภายในปพลิเคชันอื่นๆ ตัวอย่างเช่น SCP เป็นวิธีการถ่ายโอนไฟล์มาตรฐานสำหรับ OpenSSH, Putty และ WinSCP เป็นต้น

Sintonen เปิดเผยว่ามีข้อบกพร่องด้านความปลอดภัยที่สำคัญ 4 ตัวที่มีผลต่อการใช้งาน SCP ดังนี้
1. CVE-2018-20685 - แอปไคลเอ็นต์ของ SCP อนุญาตให้เซิร์ฟเวอร์ SCP ระยะไกลสามารถแก้ไขสิทธิ์ของไดเรกทอรีเป้าหมายได้
2. CVE-2019-6111 - เซิร์ฟเวอร์ SCP ที่เป็นอันตรายสามารถเขียนทับไฟล์โดยพลการได้ในไดเรกทอรีของเป้าหมายบนไคลเอ็นต์ SCP หากดำเนินการแบบเรียกซ้ำ (-r) เซิร์ฟเวอร์สามารถจัดการไดเรกทอรีย่อยได้เช่นกัน (เช่นเขียนทับ. ssh / authorized_keys)
3. CVE-2019-6109 - เอาต์พุตเทอร์มินัลไคลเอ็นต์สามารถจัดการผ่านรหัส ANSI เพื่อซ่อนการทำงานที่ตามมา
4. CVE-2019-6110 – คล้ายกับด้านบน

การโจมตีต่างๆที่อาจพยายามโจมตีผ่านช่องโหว่เหล่านี้นั้นขึ้นอยู่กับผู้ที่ประสงค์ร้ายที่จะทำการยึดครองเซิร์ฟเวอร์ SCP หรือทำตัวเป็น Man-in-the-Middle

Recommendation แนะนำให้ผู้ใช้งานอัปเดตโปรแกรม OpenSSH, Putty และ WinSCP ให้เป็นเวอร์ชันใหม่โดยด่วน

ที่มา : zdnet

Mike Bautista นักวิจัยด้านความปลอดภัยจาก Cisco Talos เผยแพร่เครื่องมือฟรีที่สามารถปลดล็อคไฟล์ที่ถูกเข้ารหัสจาก PyLocky ransomware โดยไม่ต้องเสียค่าไถ่

PyLocky Ransomware ถูกค้นพบครั้งแรกโดยนักวิจัยด้านความปลอดภัยจาก Trend Micro เมื่อเดือนกรกฎาคมปีที่แล้ว โดยทำการแพร่กระจายผ่านทาง spam email เช่นเดียวกับแคมเปญมัลแวร์ส่วนใหญ่ อีกทั้งยังมีความสามารถในการหลีกเลี่ยงการตรวจจับจากอุปกรณ์ sandbox

เมื่อเข้าถึงกระบวนการเข้ารหัสไฟล์ Ransomware ดังกล่าวจะทำการเข้ารหัสเฉพาะระบบที่มีหน่วยความจำที่มากกว่าหรือเท่ากับ 4GB เท่านั้น โดยจะแสดงข้อมูลเกี่ยวกับการเรียกค่าไถ่ที่อ้างว่าเป็นตัวแปรของ Locky ransomware ที่รู้จักกันดีซึ่งต้องการค่าไถ่ในรูปแบบ cryptocurrency เพื่อ "กู้คืน" ไฟล์ และอ้างว่าจะเพิ่มค่าไถ่เป็นสองเท่าทุก ๆ 96 ชั่วโมงหากเหยื่อไม่จ่ายเงิน เป้าหมายหลักในการโจมตีของ PyLocky คือธุรกิจในยุโรปเป็นหลัก โดยเฉพาะในฝรั่งเศส และอาจมีเป้าหมายไปที่ประเทศเกาหลีและอิตาลีอีกด้วย

เครื่องมือสำหรับถอดรหัสไฟล์สามารถใช้งานได้กับทุกคน แต่มีข้อจำกัดอย่างมากในการกู้ไฟล์คืน โดยต้องทำการจับ initial network traffic (PCAP file) ระหว่าง PyLocky ransomware และ command-and-control (C2) server โดยสามารถดาวน์โหลดเครื่องมือถอดรหัส PyLocky ransomware จาก GitHub ได้ฟรีและเปิดใช้งานบนคอมพิวเตอร์ Windows

ที่มา : thehackernews