Cybersecurity & Infrastructure Security Agency (CISA) ของสหรัฐอเมริกา ได้เพิ่มช่องโหว่ที่ส่งผลกระทบต่อโทรศัพท์มือถือ Samsung จำนวนหลายรายการลงในแคตตาล็อกของช่องโหว่ที่มีข้อมูลว่ากำลังถูกใช้ในการโจมตี (Known Exploited Vulnerabilities Catalog) และปัจจุบันช่องโหว่ดังกล่าวพบว่ากำลังถูกใช้ในการโจมตีจาก Spyware

ในวันพฤหัสบดีที่ผ่านมา CISA ได้เพิ่มช่องโหว่ใหม่ 8 รายการลงในแคตตาล็อก ซึ่งรวมถึงช่องโหว่ของเราเตอร์ และ access point ของ D-Link ที่ถูกใช้ประโยชน์โดย Mirai botnet และยังมีช่องโหว่ความปลอดภัยที่เหลืออีก 6 รายการที่ส่งผลกระทบต่ออุปกรณ์มือถือ Samsung และทั้งหมดได้รับการแก้ไขไปแล้วในปี 2021

ช่องโหว่ดังกล่าวรวมถึง CVE-2021-25487 ที่เป็นช่องโหว่ out-of-bounds read ใน modem interface driver ที่อาจทำให้สามารถสั่งรันโค้ดที่เป็นอันตรายได้โดยไม่ได้รับอนุญาต ซึ่งได้รับการแก้ไขไปแล้วตั้งแต่เดือนตุลาคม 2021 แม้ว่า Samsung จะจัดระดับความรุนแรงของช่องโหว่อยู่ในระดับ 'ปานกลาง' แต่คำแนะนำของ NVD ระบุว่าเป็นช่องโหว่ 'ระดับความรุนแรงสูง' ตามคะแนน CVSS

แพตซ์อัปเดตรอบเดียวกันในเดือนตุลาคม 2021 ยังรวมถึงการแก้ไขช่องโหว่ CVE-2021-25489 ซึ่งเป็นช่องโหว่ของ format string ที่มีระดับความรุนแรงต่ำใน modem interface driver ซึ่งอาจนำไปสู่เงื่อนไขการโจมตีแบบ DoS ได้

CISA ยังเพิ่มช่องโหว่ CVE-2021-25394 และ CVE-2021-25395 ซึ่งเป็นช่องโหว่ระดับ 'ปานกลาง' ที่เกี่ยวข้องกับช่องโหว่ use-after-free ใน MFC charger driver และทั้ง 2 ช่องโหว่ได้รับการแก้ไขโดย Samsung ในเดือนพฤษภาคม 2021

2 ช่องโหว่ที่เหลือคือ CVE-2021-25371 เป็นช่องโหว่ระดับ 'ปานกลาง' ที่ทำให้ผู้โจมตีสามารถโหลดไฟล์ ELF ที่ไม่เกี่ยวข้องภายใน DSP driver ได้ และ CVE-2021-25372 เป็นช่องโหว่ out-of-bounds access ระดับ 'ปานกลาง' ใน DSP driver เช่นเดียวกัน ซึ่งทั้ง 2 ช่องโหว่ได้รับการแก้ไขไปแล้วในเดือนมีนาคม 2021

ยังไม่มีรายงานที่อธิบายวิธีการโจมตีช่องโหว่ของอุปกรณ์มือถือ Samsung ที่ถูกเพิ่มในรายการ 'must-patch' ของ CISA ในสัปดาห์นี้ อย่างไรก็ตาม มีความเป็นไปได้ที่ช่องโหว่เหล่านี้กำลังถูกใช้ประโยชน์โดย Spyware

Samsung และ CISA ได้เตือนผู้ใช้งานเกี่ยวกับช่องโหว่ CVE-2023-21492 ที่เกี่ยวข้องกับ kernel pointer exposure ที่เกี่ยวข้องกับ log files ซึ่งอาจทำให้ผู้โจมตีที่มีสิทธิสูงในระบบ สามารถละเลยเทคนิคการป้องกันการโจมตีแบบ ASLR ได้

นักวิจัยจาก Google ผู้พบช่องโหว่ CVE-2023-21492 ได้ระบุว่าช่องโหว่นี้เป็นช่องโหว่ที่เป็นรู้จักมาตั้งแต่ปี 2021

นอกจากนี้ ในเดือนพฤศจิกายน 2022 Google ได้เปิดเผยรายละเอียดของช่องโหว่ในโทรศัพท์ Samsung 3 รายการที่คล้ายกันกับ CVE ปี 2021 ซึ่งได้ถูกใช้ประโยชน์จาก Spyware

ช่องโหว่ทั้ง 3 รายการที่เปิดเผยในเดือนพฤศจิกายน 2022 ได้รับการแก้ไขไปแล้วตั้งแต่เดือนมีนาคม 2021 นอกจากนี้ Google ยังได้ระบุว่าได้รับทราบช่องโหว่อื่น ๆ ของ Samsung อีกหลายช่องโหว่ที่มีรหัสระบุ CVE ในปี 2021 ซึ่งถูกนำมาใช้ประโยชน์ในการโจมตี ถือเป็นข้อมูลที่แสดงให้เห็นว่าช่องโหว่ที่ CISA เพิ่มในรายการในสัปดาห์นี้ได้ถูกใช้ประโยชน์จาก Spyware ซึ่งพฤติกรรมดังกล่าวได้รับการตรวจสอบโดย Google

โดยทวีตจาก Maddie Stone นักวิจัยของ Google Project Zero ที่ยืนยันว่าช่องโหว่ทั้งหมดของ Samsung ถูกค้นพบโดยเป็นส่วนหนึ่งของการวิจัยเดียวกัน และได้ถูกเพิ่มลงใน Google’s zero-day exploitation tracker ของ Google สำหรับปี 2021

อ้างอิง : https://www.

มีการเปิดเผยช่องโหว่ SQL injection หลายรายการใน Gentoo Soko ที่อาจนำไปสู่การเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกล (RCE) บนระบบที่มีช่องโหว่ได้

Thomas Chauchefoin นักวิจัยจาก SonarSource ระบุว่าช่องโหว่ SQL Injections เหล่านี้เกิดขึ้นจากการใช้งาน ORM (Object-Relational Mapping) library และ prepared statements รวมถึง misconfiguration ของ database

ช่องโหว่ที่พบอยู่ในฟีเจอร์การค้นหาของ Soko ซึ่งมีหมายเลข CVE-2023-28424 (คะแนน CVSS: 9.1) และได้รับการแก้ไขภายใน 24 ชั่วโมงหลังจากการเปิดเผยข้อมูลออกมาเมื่อวันที่ 17 มีนาคม 2023

Soko เป็นโมดูลซอฟต์แวร์ภาษา Go ที่มีความสามารถในการค้นหาแพ็คเกจต่าง ๆ ใน Gentoo Linux distribution ผ่าน packages.

นักวิจัยเปิดเผยเวอร์ชันอัปเดตของมัลแวร์ Rustbucket บนระบบปฏิบัติการ Apple macOS ที่มาพร้อมความสามารถที่ดีขึ้น และสามารถหลบเลี่ยงการตรวจจับโดยซอฟต์แวร์รักษาความปลอดภัย

นักวิจัยจาก Elastic Security Labs ระบุในรายงานที่เผยแพร่ในสัปดาห์นี้ว่า Rustbucket เป็นมัลแวร์ที่มีเป้าหมายเป็นระบบ macOS ที่เพิ่มความสามารถในการโจมตีที่ไม่เคยพบมาก่อน โดยใช้โครงสร้างพื้นฐานของเครือข่ายแบบไดนามิกในการควบคุม และสั่งการ

RustBucket เป็นผลงานของกลุ่มผู้โจมตีจากเกาหลีเหนือที่รู้จักในนาม "BlueNoroff" ซึ่งเป็นส่วนหนึ่งของกลุ่มโจมตีขนาดใหญ่ในชื่อ Lazarus Group ซึ่งเป็นกลุ่มแฮ็กเกอร์ภายใต้การกำกับดูแลของหน่วยงาน Reconnaissance General Bureau, RGB

payload ที่สองของมัลแวร์ (second-stage malware) ที่ถูกเขียนด้วยภาษา Swift ซึ่งถูกออกแบบให้ดาวน์โหลดมาจากเซิร์ฟเวอร์ command-and-control (C2) ส่วนมัลแวร์หลักคือไบนารีที่ใช้ภาษา Rust มีคุณสมบัติในการเก็บรวบรวมข้อมูลอย่างละเอียด รวมถึงดึง และเรียกใช้ไบนารี Mach-O หรือ shell scripts บนระบบที่ถูกโจมตี

เป็นครั้งแรกที่มัลแวร์ BlueNoroff มีเป้าหมายเป็นผู้ใช้ macOS โดยเฉพาะ แม้ว่าจะมีเวอร์ชันของ RustBucket ใน .NET ที่มีฟีเจอร์ที่คล้ายกัน

บริษัทความปลอดภัยทางไซเบอร์จากฝรั่งเศส Sekoia ระบุในการวิเคราะห์แคมเปญ RustBucket เมื่อสิ้นเดือนพฤษภาคม 2023 ว่ากิจกรรมของ Bluenoroff ล่าสุดนี้ทำให้เห็นว่าผู้โจมตีพยายามใช้ภาษาที่สามารถรองรับหลายแพลตฟอร์มในการพัฒนามัลแวร์ เพื่อขยายความสามารถ ซึ่งมีความเป็นไปได้สูงที่จะขยายขอบเขตของกลุ่มเป้าหมาย

ลำดับการโจมตีประกอบด้วยไฟล์ติดตั้งบน macOS ที่ติดตั้งโปรแกรมอ่านไฟล์ PDF ซึ่งจะถูกแฝงโปรแกรม backdoor และยังคงใช้งานโปรแกรมได้ตามปกติ สิ่งที่สำคัญในการโจมตี คือ malicious activity จะถูกเรียกใช้เมื่อไฟล์ PDF ที่ถูกใส่ในโปรแกรมตัวอ่าน PDF ที่อันตรายเปิดใช้งาน มัลแวร์จะเริ่มการโจมตีเบื้องต้น รวมถึงอีเมลฟิชชิ่ง และการสร้างข้อมูลปลอมบน social networks เช่น LinkedIn

จาการสังเกตการโจมตี มีลักษณะเป็นการเจาะจง และเน้นไปที่สถาบันทางการเงินที่อยู่ในเอเชีย ยุโรป และสหรัฐอเมริกา โดยการโจมตีนี้เน้นการสร้างรายได้อย่างผิดกฏหมายเพื่อหลีกเลี่ยงบทลงโทษตามกฎหมาย

สิ่งที่ทำให้การตรวจพบเวอร์ชันใหม่
([hxxps[:]//www[.]virustotal.

ปัจจุบันมีจำนวนเว็บไซต์ WordPress มากถึง 200,000 เว็บไซต์ที่มีความเสี่ยงต่อการโจมตีโดยใช้ช่องโหว่ด้านความปลอดภัยระดับ Critical ที่ยังไม่ได้รับการแก้ไขในปลั๊กอิน Ultimate Member

ช่องโหว่นี้มีหมายเลข CVE-2023-3460 (คะแนน CVSS: 9.8) มีผลกระทบต่อเวอร์ชันทั้งหมดของปลั๊กอิน Ultimate Member รวมถึงเวอร์ชันล่าสุด (เวอร์ชัน 2.6.6) ที่ปล่อยออกมาเมื่อวันที่ 29 มิถุนายน 2023

Ultimate Member เป็นปลั๊กอินที่ได้รับความนิยมสำหรับการสร้างโปรไฟล์ผู้ใช้งาน และชุมชนบนเว็บไซต์ WordPress โดยยังมีฟีเจอร์การจัดการบัญชีให้ใช้งานอีกด้วย

WPScan บริษัทความปลอดภัยของ WordPress ได้แจ้งเตือนว่า "ช่องโหว่ดังกล่าวมีความอันตรายมาก เนื่องจากผู้โจมตีที่ไม่ผ่านการตรวจสอบสิทธิ์อาจใช้ช่องโหว่นี้เพื่อสร้างบัญชีผู้ใช้ใหม่ที่มีสิทธิ์ของผู้ดูแลระบบ ซึ่งจะทำให้พวกเขามีสิทธิ์ในการควบคุมเว็บไซต์ที่ได้รับผลกระทบ"

แม้ว่าจะยังไม่มีรายละเอียดเกี่ยวกับช่องโหว่ แต่ช่องโหว่นี้เกิดจาก blocklist logic ที่ไม่เหมาะสม ซึ่งถูกนำเข้ามาเพื่อเปลี่ยนค่าของ wp_capabilities ในข้อมูลของผู้ใช้งานใหม่ให้เป็นผู้ดูแลระบบ และทำให้ผู้โจมตีได้รับสิทธิ์การเข้าถึงเต็มรูปแบบของเว็บไซต์

นักวิจัยจาก Wordfence ชื่อ Chloe Chamberland ระบุว่า "แม้ว่าปลั๊กอินจะมีรายการคีย์ที่ถูกห้ามตามที่กำหนดไว้ล่วงหน้า ซึ่งผู้ใช้งานไม่ควรสามารถอัปเดตได้ แต่ก็มีวิธีเล็ก ๆ น้อย ๆ ในการเลี่ยงผ่านการตรวจสอบ เช่นการใช้ตัวอักษรต่าง ๆ, slashes และการเข้ารหัสตัวอักษรในค่า meta key ที่มีช่องโหว่ในเวอร์ชันของปลั๊กอิน"

ช่องโหว่นี้ถูกเปิดเผยขึ้นภายหลังจากที่มีรายงานเกี่ยวกับการเพิ่มบัญชีผู้ดูแลระบบที่ไม่ถูกต้องไปยังเว็บไซต์ที่ได้รับผลกระทบ ส่งผลให้ผู้ดูแลปลั๊กอินต้องออกเวอร์ชันแก้ไขบางส่วนในเวอร์ชัน 2.6.4, 2.6.5, และ 2.6.6 โดยการอัปเดตใหม่คาดว่าจะถูกปล่อยในเร็ว ๆ นี้

Ultimate Member ระบุในบันทึกการอัปเดตว่า "ช่องโหว่ในการยกระดับสิทธิพิเศษที่ใช้ผ่าน UM Forms ทำให้ผู้โจมตีสามารถสร้างผู้ใช้งาน WordPress ระดับผู้ดูแลระบบได้"

WPScan ระบุว่าการแก้ไขช่องโหว่ยังไม่สมบูรณ์ และพบวิธีการหลีกเลี่ยงการตรวจสอบที่สามารถใช้ได้ ซึ่งหมายความว่าช่องโหว่ยังคงสามารถถูกนำมาใช้ประโยชน์ในการโจมตีได้อย่างต่อเนื่อง

ในการโจมตีที่ตรวจพบ ช่องโหว่ถูกนำมาใช้ในการลงทะเบียนบัญชีใหม่ในชื่อ apadmins, se_brutal, segs_brutal, wpadmins, wpengine_backup, และ wpenginer เพื่ออัปโหลดปลั๊กอินที่เป็น malware และ themes ผ่านทาง administration panel ของเว็บไซต์

ผู้ใช้งาน Ultimate Member ควรปิดการใช้งานปลั๊กอินจนกว่าจะมีการแก้ไขที่เหมาะสม ในการปิดช่องโหว่ด้านความปลอดภัยได้อย่างสมบูรณ์ นอกจากนี้ยังแนะนำให้ตรวจสอบผู้ใช้งานระดับผู้ดูแลระบบทั้งหมดบนเว็บไซต์เพื่อตรวจสอบว่ามีบัญชีที่ไม่ได้รับอนุญาตถูกเพิ่มเข้ามาหรือไม่

Ultimate Member เวอร์ชัน 2.6.7 ถูกปล่อยออกมาแล้ว

Ultimate Member ได้ปล่อยแพตซ์อัปเดตเวอร์ชัน 2.6.7 ของปลั๊กอิน เมื่อวันที่ 1 กรกฎาคม 2023 เพื่อแก้ไขช่องโหว่การเพิ่มสิทธิ์ที่กำลังถูกนำมาใช้ในการโจมตีอย่างต่อเนื่อง ในมาตรการความปลอดภัยเพิ่มเติม ผู้พัฒนายังวางแผนที่จะเพิ่มคุณสมบัติใหม่ในปลั๊กอินเพื่อให้ผู้ดูแลเว็บไซต์สามารถรีเซ็ตรหัสผ่านสำหรับผู้ใช้งานทั้งหมดได้

ผู้พัฒนาระบุว่า "ในเวอร์ชัน 2.6.7 ได้ทำการเพิ่มรายการที่อนุญาตให้ใช้งานเฉพาะ (whitelisting) สำหรับ meta keys ที่เก็บไว้ขณะที่ sending forms" และยังแยกข้อมูลการตั้งค่าแบบฟอร์ม, ข้อมูลที่ส่งเข้ามาแยกกัน และดำเนินการด้วยตัวแปรสองตัวที่แตกต่างกัน

ที่มา: https://thehackernews.

SAP ออกแพตช์เดือนกรกฏาคม 2019 แก้ไข 11 ช่องโหว่

SAP ออกแพตช์ประจำเดือนกรกฏาคม 2019 แก้ไข 11 ช่องโหว่ โดยช่องโหว่ที่สำคัญคือช่องโหว่ CVE-2019-0330 เป็นช่องโหว่ร้ายแรงมากใน SolMan Diagnostic Agent (SMDAgent)

CVE-2019-0330 เป็นช่องโหว่ประเภท OS command injection ผู้โจมตีสามารถใช้ช่องโหว่นี้เพื่อยึดระบบ SAP ทั้งระบบได้ มีคะแนน CVSS 9.1 (critical) โดยใน SMDAgent จะมีการตรวจสอบเมื่อผู้ดูแลระบบรันคำสั่งไปยังระบบปฏิบัติการผ่าน GAP_ADMIN transaction ให้รันได้เฉพาะคำสั่งใน white list เท่านั้น ซึ่งช่องโหว่ CVE-2019-0330 ทำให้ผู้โจมตีสามารถหลบเลี่ยงการตรวจสอบดังกล่าวได้โดยการใช้ payload ที่สร้างเป็นพิเศษ ซึ่งเมื่อผู้โจมตีสามารถหลบหลีกได้จะทำให้สามารถควบคุมระบบ SAP ได้ เข้าถึงข้อมูลสำคัญได้ แก้ไขการตั้งค่าได้และหยุดการทำงานของ SAP service ได้

นักวิจัยจาก Onapsis ระบุว่าระบบ SAP ทุกระบบจะต้องมีการติดตั้ง SMDAgent ดังนั้นจะมีระบบที่ได้รับความเสี่ยงจากการโจมตีด้วยช่องโหว่นี้เป็นจำนวนมาก

ผู้ดูแลระบบ SAP ควรศึกษาและอัปเดตแพตช์ดังกล่าว โดยสามารถอ่านรายละเอียดได้จาก https://wiki.

Microsoft ออกแพตช์ประจำเดือนกรกฏาคม 2019 แก้ช่องโหว่ zero-day ที่กำลังถูกใช้โจมตี

Microsoft ออกแพตช์ประจำเดือนกรกฏาคม 2019 เพื่อแก้ไขช่องโหว่ทั้งหมด 77 ช่องโหว่ โดยมีช่องโหว่ร้ายแรงมาก (critical) จำนวน 15 ช่องโหว่ ซึ่งมีช่องโหว่ zero-day จำนวนสองช่องโหว่ คือ CVE-2019-0880 และ CVE-2019-1132 ซึ่งทั้งสองช่องโหว่เป็นช่องโหว่ใช้ยกระดับสิทธิ์ได้

ช่องโหว่ CVE-2019-1132 เกิดจากส่วนประกอบของ Win32k ถูกค้นพบโดย ESET ซึ่งพบการใช้โจมตีโดยกลุ่มจากรัสเซียแล้ว

ช่องโหว่ CVE-2019-0880 เกิดจาก splwow64.exe ค้นพบโดย Resecurity ยังไม่พบการโจมตี

โดยสามารถอ่านรายละเอียดทั้งหมดเกี่ยวกับช่องโหว่ที่ถูกแก้ในแพตช์ประจำเดือนกรกฏาคม 2019 ได้จาก https://www.

วันนี้ธนาคารแห่งประเทศไทย(ธปท.)ได้มีการออกข่าวประชาสัมพันธ์ให้สถาบันการเงินในประเทศยกระดับมาตรการป้องกันภัยทางไซเบอร์

สืบเนื่องจาก นายรณดล นุ่มนนท์ ผู้ช่วยผู้ว่าการ สายกำกับสถาบันการเงิน ธนาคารแห่งประเทศไทย ได้มีการเปิดเผยว่า มีข้อมูลบางส่วนซึ่งไม่เกี่ยวข้องกับธุรกรรมการเงินจากธนาคาร 2 แห่ง ได้แก่ ธนาคารกสิกรไทย จำกัด (มหาชน) และธนาคารกรุงไทย จำกัด (มหาชน) หลุดออกไป โดยจากรายงานข้อมูลที่หลุดออกไปของธนาคารกสิกรไทยเป็นข้อมูลลูกค้านิติบุคคลที่เป็นข้อมูลสาธารณะ ส่วนของธนาคารกรุงไทย เป็นข้อมูลคำขอสินเชื่อของลูกค้ารายย่อยและนิติบุคคลบางส่วน หลังจากธนาคารทั้ง 2 แห่งทราบปัญหาดังกล่าวได้มีการตรวจสอบทันที และพบว่ายังไม่มีลูกค้าที่ได้ผลกระทบจากกรณีข้อมูลรั่วไหลดังกล่าวนี้ พร้อมทั้งได้ดำเนินการปิดช่องโหว่ดังกล่าวโดยทันที ทั้งนี้ ธปท. ได้สั่งการ และกำชับให้ธนาคารทั้ง 2 แห่งยกระดับมาตราป้องกันภัยทางไซเบอร์อย่างเข้มงวดโดยทันที

ล่าสุดนี้ทางธนาคารทั้ง 2 แห่ง ได้แก่ธนาคารกรุงไทย จำกัด (มหาชน) และธนาคารกสิกรไทย จำกัด (มหาชน) ได้มีการชี้แจงกรณีดังกล่าวออกมาแล้ว นายผยง ศรีวณิช กรรมการผู้จัดการใหญ่ ธนาคารกรุงไทย เปิดเผยว่าจากการตรวจสอบระบบพบว่า ในช่วงก่อนวันหยุดยาวที่ผ่านมาข้อมูลเบื้องต้นที่ส่วนใหญ่เป็นข้อมูลคำขอสินเชื่อพื้นฐานของลูกค้ารายย่อยที่สมัครสินเชื่อทางออนไลน์ทั้งสิ้น 1.2 แสนราย แบ่งเป็นนิติบุคคล 3 พันรายได้ถูกแฮกด้วยเทคนิคชั้นสูงจากระบบของธนาคาร และธนาคารยืนยันว่ายังไม่พบว่าความเสียหายเกิดขึ้นกับบัญชีของกลุ่มลูกค้าที่ได้รับผลกระทบดังกล่าว

ทั้งนี้ธนาคารได้มีการติดต่อกับกลุ่มลูกค้าดังกล่าว เพื่อแจ้งให้ทราบถึงเหตุการณ์ และให้คำแนะนำเพื่อป้องกันความเสี่ยงแล้ว ในส่วนของธนาคารกสิกรไทย นายพิพิธ เอนกนิธิ กรรมการผู้จัดการ ธนาคารกสิกรไทย เปิดเผยว่า เมื่อวันที่ 25 กรกฎาคมที่ผ่านมา ธนาคารตรวจพบว่าอาจมีข้อมูลรายชื่อลูกค้าองค์กรของธนาคารประมาณ 3 พันรายที่ใช้เว็บให้บริการหนังสือค้ำประกันหลุดออกไปสู่สาธารณะ ซึ่งข้อมูลที่หลุดออกไปไม่เกี่ยวข้องกับข้อมูลสำคัญด้านธุรกรรมการเงินของลูกค้า และยังไม่พบว่ามีลูกค้าที่ได้รับผลกระทบดังกล่าวได้รับความเสียหายใดๆ โดยคาดว่าเกิดจากการแฮกเช่นเดียวกัน ทั้งนี้ธนาคารได้มีแผนที่จะแจ้งให้ทางลูกค้าที่ได้รับผลกระทบทราบเป็นรายองค์กรแล้ว

อย่างไรก็ตามขณะนี้กลุ่มผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์จากสถาบันการเงินต่างๆในประเทศ ได้ร่วมมือกับทาง TB-CERT และผู้เชี่ยวชาญท่านอื่นๆ ช่วยกันสืบสวนหาสาเหตุที่แท้จริงอยู่ คาดว่าหากมีความคืบหน้าเพิ่มเติมน่าจะมีการแจ้งให้ทราบต่อไป

ที่มา : การเงินธนาคาร , ธปท.

Diebold ประกาศแจ้งเตือนการโจมตี Jackpotting และมัลแวร์ในเอทีเอ็ม พร้อม Fraud แบบใหม่จาก NCR

Diebold และ NCR บริษัทผู้ผลิตและจัดจำหน่ายระบบเอทีเอ็มและ POS รายใหญ่ออกประกาศด้านความปลอดภัยในระยะเวลาไล่เลี่ยกันเมื่อวานที่ผ่านมา โดยในประกาศของ Diebold นั้นโฟกัสไปที่การโจมตีด้วยวิธีการ Jackpotting และการค้นพบมัลแวร์ในเอทีเอ็ม สว่นประกาศจาก NCR นั้นเน้นไปที่เรื่องของเทคนิคการ Fraud "Transaction Reversal Fraud (TRF)" และวิธีการป้องกัน

Diebold ประกาศหลังจากตรวจพบเพิ่มขึ้นของการโจมตีในรูปแบบ Jackpotting กับระบบเอทีเอ็มซึ่งอยู่ในยุโรปและละตินอเมริกาโดยพุ่งเป้าไปที่ตู้รุ่น Opteva ที่มีการใช้งานตัวจ่ายเงินรุ่น Advacned Function Dispenser (AFD) 1.x ผู้โจมตีอาศัยทั้งการเข้าถึงทางกายภาพและทางซอฟต์แวร์เพื่อข้ามผ่านการตรวจสอบและยืนยันอุปกรณ์ โดยมีจุดมุ่งหมายเพื่อทำให้เกิดการเชื่อมต่อกับอุปกรณ์ภายนอกที่สามารถใช้เพื่อควบคุมระบบของเอทีเอ็มให้สามารถสั่งจ่ายเงินได้ อย่างไรก็ตามการโจมตีส่วนมากที่ตรวจพบนั้นไม่ประสบความสำเร็จด้วยเหตุผลทางด้านเทคนิค Diebold แนะนำให้ผู้ใช้งานทำการอัปเดตซอฟต์แวร์ให้เป็นรุ่นล่าสุดเพื่อป้องกันการโจมตีนี้

ในขณะเดียวกัน Diebold ได้ประกาศการค้นพบมัลแวร์ที่พุ่งเป้าโจมตีระบบเอทีเอ็มภายใต้ชื่อ "Peralta" โดยมัลแวร์ชนิดดังกล่าวนั้นถูกออกแบบมาเพื่อสร้างการโจมตีแบบ Jackpotting โดยใช้ซอฟต์แวร์แทนที่จะเป็นการโจมตีทางกายภาพกับระบบเอทีเอ็ม ในการโจมตีนั้น ผู้โจมตีใช้วิธีการถอดฮาร์ดดิสก์ของเอทีเอ็มที่อยู่บริเวณด้านบนของตู้ออกก่อนจะทำการแก้ไขข้อมูลในฮาร์ดดิสก์เพื่อสอดแทรกมัลแวร์ โดยมัลแวร์จะทำการโจมตีช่องโหว่รหัส MS16-032 ซึ่งมีการแพตช์ไปแล้วเพื่อยกระดับสิทธิ์ด้วยสคริปต์ PowerShell หลังจากนั้นจึงทำการเริ่มการทำงานของส่วนหลักของมัลแวร์ที่จะเริ่มการทำงานโดยอัตโนมัติเมื่อระบบของเอทีเอ็มถูกเปิด และคอยรอรับคำสั่งที่เป็นชุดของการกดแป้นพิมพ์ต่อ

สำหรับประกาศจากทาง NCR นั้น ได้มีการแจ้งเตือนความถีที่เพิ่มขึ้นของรูปแบบการโจมตีที่มีชื่อเรียกว่า Transaction Reversal Fraud (TRF) ซึ่งเป็นการโจมตีเพื่อขโมยเงินจากเอทีเอ็มออกโดยอาศัยการทำให้เกิด "ข้อผิดพลาด" ในกระบวนการถอนเงินที่เกือบสำเร็จ ซึ่งส่งผลให้บริเวณของส่วนจ่ายเงินยังเปิดอยู่และชิงเอาเงินออกมาก่อนที่เงินจะถูกส่งคืนกลับเซฟได้

กระบวนการป้องกันการโจมตีและภัยคุกคามทั้งหมดสามารถตรวจสอบเพิ่มเติมได้จากลิงค์แหล่งที่มาส่วนท้ายบทความ

ที่มา : response

PHP ประกาศแพตช์ช่องโหว่ด้านความปลอดภัย 7 รายการในรุ่น 7.1.19 และ 7.2.7 วันนี้โดยช่องโหว่ที่ร้ายแรงสูงสุดใน 7 รายการนั้นสามารถทำให้ผู้โจมตีรันโค้ดที่เป็นอันตรายเพื่อโจมตีระบบที่มีช่องโหว่ได้จากระยะไกล ยังไม่พบการใช้ช่องโหว่ดังกล่าวในการโจมตีจริงในตอนนี้
ผู้ใช้งานสามารถทำการอัปเดต PHP เพื่อรับแพตช์ช่องโหว่ด้านความปลอดภัยดังกล่าวได้โดยสำหรับรุ่น 7.2 นั้นให้ผู้ใช้งานอัปเดตไปยังรุ่น 7.2.7 ส่วนในรุ่น 7.1 นั้นให้ผู้ใช้งานอัปเดตไปยังรุ่น 7.1.19 PHP รุ่น 7.2 ก่อนหน้ารุ่น 7.2.7 และ PHP รุ่น 7.1. ก่อนหน้ารุ่น 7.1.19

ที่มา : Center for Internet Security

ทีมนักวิจัยนานาชาติได้เปิดเผยว่าอุปกรณ์ Android ที่เปิดตัวตั้งแต่ปี 2012 เกือบทุกเครื่อง เสี่ยงต่อช่องโหว่ในหน่วยความจำตัวใหม่ชื่อว่า "RAMpage"

ย้อนกลับไปก่อนหน้านี้ได้มีการค้นพบช่องโหว่ CVE-2018-9442 เป็นรูปแบบของการโจมตีที่เรียกว่า "Rowhammer" ซึ่งเป็นช่องโหว่ของฮาร์ดแวร์ในการ์ดหน่วยความจำรุ่นใหม่ เมื่อมีคนส่งคำสั่ง write/read เข้าไปยัง memory cell เดียวกันซ้ำๆ จะทำให้เกิดสนามไฟฟ้าที่จะสามารถเปลี่ยนแปลงข้อมูลที่เก็บอยู่ในหน่วยความจำใกล้เคียง และพบว่าสามารถโจมตีโดยใช้ Rowhammer ผ่านทาง JavaScript, GPU card และ network packet ได้

RAMpage เป็นช่องโหว่จำพวกเดียวกับ Rowhammer โดยช่องโหว่นี้สามารถทำลายขอบเขตการป้องกันความปลอดภัยระหว่างแอพพลิเคชั่น และระบบปฏิบัติการที่ได้ออกแบบมาบนอุปกรณ์มือถือ ซึ่งช่วยป้องกันไม่ให้แอพพลิเคชั่นใดๆที่ลงบนอุปกรณ์สามารถอ่านข้อมูลจากแอพพลิเคชั่นอื่นๆที่ลงบนเครื่องได้ แต่แอพพลิเคชั่นที่ถูกดัดแปลงให้ใช้ช่องโหว่นี้ จะสามารถโจมตีเพื่อเพิ่มสิทธิ์ตนเองให้สามารถควบคุมเครื่อง และทำการอ่านข้อมูลสำคัญๆที่ถูกเก็บอยู่บนเครื่องได้ เช่น พาสเวิร์ดที่อยู่ใน password manager หรือบน browser, รูปถ่าย, email, chat และเอกสารสำคัญทางธุรกิจต่างๆที่อยู่บนเครื่อง

โดยความแตกต่างระหว่างช่องโหว่ก่อนหน้านี้(Drammer Rowhammer) และ RAMpage Rowhammer เวอร์ชันใหม่คือ RAMpage มุ่งเป้าหมายไปที่ระบบหน่วยความจำ Android ที่เรียกว่า ION ซึ่งเป็นส่วนหนึ่งของระบบ Android ที่ใช้จัดการหน่วยความจำระหว่างแอพพลิเคชั่นและระบบปฏิบัติการ ทั้งนี้ Google ได้มีการเปิดตัว ION ใน Android 4.0 (Ice Cream Sandwich) ตั้งแต่วันที่ 18 ตุลาคม 2554

ที่มา : BLEEPINGCOMPUTER