ช่องโหว่ใหม่ เครื่อง Linux สามารถถูกแฮกได้เพียงแค่เปิดไฟล์ด้วย Vim หรือ Neovim

Armin Razmjou นักวิจัยด้านความปลอดภัยค้นพบช่องโหว่ที่สามารถรันคำสั่งในระดับระบบปฏิบัติการได้ (CVE-2019-12735) ในโปรแกรม Vim editor และ Neovim บนระบบปฏิบัติการ Linux
ช่องโหว่ดังกล่าวเกิดขึ้นที่ความสามารถ Modelines ในโปรแกรม Vim และ Neovim โดย Modelines ถูกตั้งค่าให้ใช้งานเป็นค่าเริ่มต้นเสมอ เพื่อค้นหาลักษณะการตั้งค่าที่ผู้สร้างไฟล์ใส่มาในไฟล์ ซึ่งตามปกติแล้ว Vim หรือ Neovim จะอนุญาตให้ตั้งค่าบางอย่างด้วย Modelines เท่านั้น และมีการใช้ sandbox เพื่อป้องกันกรณีมีการตั้งค่าที่ไม่ปลอดภัย

แต่ Razmjou พบว่าสามารถหลบหลีก sandbox ได้ด้วยการใช้คำสั่ง ":source!" ดังนั้นผู้โจมตีจึงสามารถสร้างไฟล์อันตรายที่หลบหลีก sanbox ขึ้นมาได้ ซึ่งสามารถแอบรันคำสั่งบนระบบปฏิบัติการ Linux ได้เมื่อมีผู้หลงเปิดไฟล์อันตรายด้วย Vim หรือ Neovim

ผู้ใช้งานควรอัพเดท Vim (patch 8.1.1365) และ Neovim (released in v0.3.6) ให้เป็นเวอร์ชั่นล่าสุดเพื่อป้องกันช่องโหว่ดังกล่าว
และ Razmjou ผู้ค้นพบช่องโหว่ดังกล่าวยังแนะนำเพิ่มเติมให้ผู้ใช้งาน

- ปิดการใช้งาน Modelines
- ปิดการใช้งาน modelineexpr และ
- ใช้ Securemodelines plugin แทน modelines

ที่มา : thehackernews

แจ้งเตือนช่องโหว่ RCE ในซอฟต์แวร์ Exim คาดกระทบอีเมลเซิร์ฟเวอร์กว่าครึ่งหนึ่งของโลก

ซอฟต์แวร์ Exim ซึ่งเป็นซอฟต์แวร์ประเภท mail transfer agent (MTA) ถูกระบุว่ามีช่องโหว่ประเภท Remote Code Execution โดย Qualys วันนี้

ช่องโหว่ที่รหัส CVE-2019-10149 หรือในอีกชื่อซึ่งถูกเรียกว่า "Return off the WIZard" โดย Qualys นั้นเป็นช่องโหว่ประเภท Remote Code Execution ที่มีลักษณะที่คล้ายกับช่องโหว่เก่าแก่อย่าง WIZ และ DEBUG ในซอฟต์แวร์ sendmail ในอดีต การโจมตีช่องโหว่นี้สามารถทำได้สองรูปแบบคือแบบ local attack ซึ่งผู้ใช้งานที่มีอีเมลอยู่บนเซิร์ฟเวอร์อยู่แล้วทำการโจมตี และแบบ remote attack ซึ่งถูกระบุว่ามีความซับซ้อนสูง เนื่องจากผู้โจมตีจะต้องมีการรักษา connection ที่เชื่อมต่อกับเซิร์ฟเวอร์ที่มีช่องโหว่เอาไว้กว่า 7 วัน และยังไม่มีการโจมตีช่องโหว่จากระยะไกลที่ง่ายไปกว่านี้

ช่องโหว่กระทบ Exim ตั้งแต่เวอร์ชัน 4.87 ถึง 4.91 โดยผู้ใช้งานสามารถทำการอัปเกรดซอฟต์แวร์เพื่อรับแพตช์จากโครงการต้นน้ำได้ตั้งแต่วันนี้เป็นต้นไป

ที่มา : zdnet

แพตช์ช่องโหว่ Android ประจำเดือนมิถุนายน 2562 มาแล้ว ทั้งหมด 22 ช่องโหว่ถูกแพตช์

Google ประกาศแพตช์ด้านความปลอดภัยสำหรับ Android ประจำเดือนมิถุนยายน 2562 วันนี้โดยมีช่องโหว่ระดับวิกฤติ (critical) จำนวน 8 ช่องโหว่จากทั้งหมด 22 ช่องโหว่ที่ถูกแพตช์ในรอบนี้

สำหรับช่องโหว่ร้ายแรงระดับวิกฤติ คอมโพเนนต์ของระบบที่ยังคงปรากฎช่องโหว่เหล่านี้เป็นจำนวนมากยังได้แก่ส่วนที่เป็น Media Framework ซึ่งผู้โจมตีสามารถสร้างไฟล์ซึ่งเมื่อถูกประมวลผลด้วย Media Framework จะทำให้ผู้โจมตีสามารถรันโค้ดที่เป็นอันตรายได้ อีกหนึ่งช่องโหว่มาจากส่วน System ในโมดูลที่เกี่ยวข้องกับไฟล์ PAC และส่วนที่เหลือเป็นช่องโหว่ระดับวิกฤติจากคอมโพเนนต์ของ Qualcomm

ผู้ใช้งานสามารถรับแพตช์ได้ทันทีตั้งแต่วันนี้เป็นต้นไป โดยความช้า-เร็วในการรับแพตช์จะขึ้นอยู่กับผู้ผลิตในแต่ละราย ข้อมูลเกี่ยวกับช่องโหว่แบบมีรายละเอียดครบถ้วนสามารถตรวจสอบได้ที่ https://source.

โครงการ phpMyAdmin ประกาศแพตช์สำหรับช่องโหว่ SQL Injection และ CSRF

โครงการ phpMyAdmin ประกาศแพตช์สำหรับช่องโหว่รหัส CVE-2019-11768 (PMSA-2019-3) และ CVE-2019-12616 (PMSA-2019-4) วันนี้ โดยเป็นช่องโหว่ SQL Injection และ CSRF ตามลำดับ

ช่องโหว่ CVE-2019-11768 เป็นช่องโหว่ SQL Injection ในส่วน Designer Feature โดยตรวจพบกับ phpMyAdmin เวอร์ชันก่อน 4.8.6 ซึ่งจะเกิดขึ้นเมื่อผู้โจมตีมีการสร้างฐานข้อมูลด้วยชื่อแบบพิเศษซึ่งจะทำให้เกิดเงื่อนไขของ SQL Injection

ในส่วนของช่องโหว่ CVE-2019-12616 นั้น เป็นช่องโหว่ประเภท CSRF ที่หน้าล็อกอินของ phpMyAdmin โดยผู้โจมตีสามารถทำการโจมตีผ่าน HTML tag ที่มีการพัฒนาอย่างไม่ปลอดภัยเพื่อใช้สิทธิ์ของผู้ใช้งานในการส่งคำสั่งที่เป็นอันตรายไปยังระบบได้ ช่องโหว่นี้กระทบ phpMyAdmin ก่อนรุ่น 4.9.0 โดยให้ทำการอัปเดตเป็นเวอร์ชันใหม่กว่าเพื่อรับการแก้ไขช่องโหว่

ที่มา: PMASA-2019-3 , PMASA-2019-4

ผู้สร้าง GandCrab ransomware ประกาศว่าจะหยุดให้บริการ Ransomware-as-a-Service เพราะได้เงินพอแล้ว

ในช่วงปลายเดือนที่ผ่านมาผู้สร้าง GandCrab ransomware ได้ประกาศว่าจะทำการปิดการทำงานของ Ransomware-as-a-Service (RaaS) ด้วยเหตุผลที่ว่าผู้สร้างสามารถที่จะทำเงินได้มากพอแล้ว (มากกว่า 2 พันล้านเหรียญ) และวางแผนที่จะยกเลิกการให้บริการภายในหนึ่งเดือน

มัลแวร์เรียกค่าไถ่ (Ransomware) เป็นการโจมตีในรูปแบบการเข้ารหัสไฟล์ในเครื่องผู้ใช้งาน เหยื่อต้องจ่ายเงินให้แก่ผู้โจมตีเพื่อแลกกับการถอดรหัสเพื่อให้ได้ไฟล์คืนมา โดยพบว่ามัลแวร์เรียกค่าไถ่ที่อยู่ในตระกูล GandCrab ได้รายได้จากการขาย GandCrab RaaS ให้กับผู้ต้องการและส่วนแบ่งจากเงินเรียกค่าไถ่ที่เหยื่อจ่ายมา จากประกาศดังกล่าวยังมีการระบุว่า ผู้สร้างวางแผนจะทำการลบคีย์สำหรับถอดรหัสทิ้งด้วย ซึ่งจะส่งผลให้ผู้ที่ตกเป็นเหยื่อไม่สามารถกู้คืนไฟล์ได้ แต่นักวิจัยก็เชื่อว่าการประกาศลบคีย์สำหรับถอดรหัสนี้อาจจะเป็นแค่แผนการเพื่อกระตุ้นให้ผู้ที่ตกเป็นเหยื่อตื่นตระหนกและรีบทำการชำระค่าไถ่ก็เป็นไปได้

อย่างไรก็ตามหากอ้างอิงถึงเหตุการณ์ลักษณะเดียวกัน ที่ผู้ผลิตมัลแวร์เรียกค่าไถ่ประกาศจะปิดกระบวนการทำงานของมัลแวร์ อย่างเช่น TeslaCrypt, XData, Crysis และ FilesLocker ผู้สร้างมัลแวร์เหล่านั้นมักจะปล่อยคีย์สำหรับถอดรหัสออกมาให้เหยื่อฟรีๆ มากกว่า ดังนั้นทางเลือกที่ดีที่สุดคือ ไม่ติดเลยจะดีกว่า หรือควรมีแผนสำหรับกู้คืนระบบเมื่อตกเป็นเหยื่อจริงๆ อย่างเช่น การมีระบบ Backup ข้อมูลของเครื่องสำคัญๆ อย่างสม่ำเสมอ

ที่มา: zdnet

จากเหตุการณ์ที่ธนาคาร Bamcomext และธนาคาร Bank of Chile ถูกโจมตีทั้งในรูปแบบของการใช้มัลแวร์ KillDisk เพื่อแพร่ระบาดในเครือข่ายของธนาคารและรูปแบบของการเข้ายึดและสั่งการระบบ SWIFT ของธนาคารให้มีการโอนเงินออกมา อ้างอิงจากแหล่งข่าวของ Cyberscoop คนในสามคนที่เข้าตรวจสอบเหตุการณ์นี้ได้ออกมายืนยันแล้วว่าเป็นการโจมตีที่มีความเกี่ยวข้องกับกลุ่มแฮกเกอร์ของเกาหลีเหนือ

กลุ่มแฮกเกอร์เกาหลีเหนือตกเป็นผู้ต้องสงสัยในการโจมตีระบบของธนาคารเพื่อขโมยเงินหลายครั้ง โดยหนึ่งในกลุ่มแฮกเกอร์ซึ่งเป็นที่รู้จักกันว่ามีแรงจูงใจในการโจมตีเพื่อการแสวงหาเงินนั้นคือกลุ่ม Lazarus Group (ชื่ออื่น HIDDEN COBRA, Unit 121)

แม้ว่ากลุ่มผู้โจมตีจะมีการใช้มัลแวร์ KillDisk หรือ MBR Killer ในการสร้างความเสียหายและดึงความสนใจ การปรากฎตัวของมัลแวร์ดังกล่าวก็ไม่ได้เป็นหลักฐานในการยืนยันที่ดีมากนักแม้ว่ามัลแวร์ในลักษณะเดียวกันจะเคยปรากฎในครั้งที้ธนาคารสัญชาติไต้หวันถูกโจมตีมาแล้ว เนื่องจากซอร์สโค้ดของมัลแวร์ทั้งสองประเภทนี้นั้นถูกปล่อยขายอยู่ในตลาดมืดออนไลน์โดยทั่วไป

อย่างไรก็ตามนอกเหนือจากการปรากฎตัวของมัลแวร์ KillDisk หรือ MBR Killer และความคลุมเครือของมัน อ้างอิงจากรายงานการวิเคราะห์ของ Flashpoint (TLP: Amber) Flashpoint ยังคงยืนยันว่าโมดูลของ MBR Killer, RAT และ TTP ของผู้โจมตีนั้นมีความเกี่ยวข้องกับกรณีการโจมตีสถาบันทางการเงินอื่นๆ และยังสามาถเชื่อมโยงกลับไปยังเกาหลีเหนือได้

Lazarus Group หรือ HIDDEN Cobra มักใช้เทคนิค Spear Phishing เพื่อให้สามารถเข้าถึงเครือข่ายภายในของธนาคารได้ ก่อนจะทำการติดตั้งและดาวโหลดมัลแวร์ต่างๆ ที่ทำให้ผู้โจมตีสามารถควบคุมระบบภายได้ ท้ายที่สุดผู้โจมตีจะมีการทำ Lateral Movement เพื่อค้นหาระบบที่เกี่ยวข้องกับระบบ SWIFT ก่อนที่จะดำเนินสั่งโอนเงินออกมา

ที่มา : Security Affairs

โครงการ phpMyAdmin ประกาศแพตช์ช่องโหว่ความปลอดภัยรหัส CVE-2018-12581 และ CVE-2018-12613 เมื่อปลายสัปดาห์ที่ผ่านมา โดยช่องโหว่ที่มีการประกาศแพตช์นั้นมีทั้งช่องโหว่ประเภท XSS, LFI และ RCE

ช่องโหว่แรกรหัส CVE-2018-12581 ถูกค้นพบโดย William Desportes โดยค้นพบช่องโหว่ XSS ในฟีเจอร์ Designer ซึ่งส่งผลให้ผู้โจมตีสามารถสร้างการโจมตีที่เป็นอันตรายที่จะถูกสั่งให้ทำงานโดยผู้ใช้งานผ่านทางฟิลด์ชื่อของฐานข้อมูลได้

ช่องโหว่ที่สองรหัส CVE-2018-12613 ถูกค้นพบโดย Huang Henry โดยเป็นช่องโหว่แบบ LFI ที่ผู้โจมตีจำเป็นต้องมีการพิสูจน์ตัวตนกับระบบก่อน ช่องโหว่นี้มีที่มาจากการที่ phpMyAdmin ในไฟล์ที่ผู้ใช้งานมาอัปโหลดและทำการแสดงผล รวมไปถึงปัญหาในการ whitelist ของซอฟต์แวร์เองซึ่งทำให้เกิดการรันโค้ดที่เป็นอันตรายได้
สำหรับช่องโหว่รหัส CVE-2018-12613 ผู้ใช้งานซอฟต์แวร์สามารถป้องกันการโจมตีในเบื้องต้นได้โดยการตั้งค่า "open_basedir", "$cfg['AllowArbitraryServer'] " และ "$cfg['ServerDefault']" อย่างเหมาะสม

ดำเนินการอัปเดตซอฟต์แวร์ phpMyAdmin ไปเป็นเวอร์ชันที่มีการแพตช์แล้วคือเวอร์ชัน 4.8.2 โดยด่วน

ที่มา : phpMyAdmin

ทีมนักวิจัยด้านความปลอดภัยจาก AlienVault ประกาศการค้นพบมัลแวร์ตัวใหม่ภายใต้ชื่อ GZipDe ซึ่งเชื่อกันว่าเป็นมัลแวร์ที่มีเป้าหมายอย่างเฉพาะเจาะจง (targeted attack) เพื่อการจารกรรมข้อมูล

AlienVault ค้นพบมัลแวร์ครั้งแรกจากไฟล์ที่ถูกอัปโหลดขึ้นมาสแกนบนเซอร์วิสของ VirusTotal โดยไฟล์ดังกล่าวเป็นไฟล์เอกสาร Word ซึ่งเมื่อถูกรันแล้วจะทำการดาวโหลดและติตตั้งมัลแวร์ GZipDe ลงไป ไฟล์ดังกล่าวมีที่มาจากผู้ใช้งานในอีฟกานิสถานซึ่งในขณะนี้ยังไม่สามารถระบุลงลึกไปได้ว่าเป้าหมายในการโจมตีครั้งนี้เป็นใครหรือองค์กรใด

มัลแวร์ GZipDe มีจุดน่าสนใจในโมดูล RAT เมื่อ payload ที่มีที่มาจากไฟล์เอกสาร Word ถูกถอดรหัสและถูกเรียกใช้งานบนหน่วยความจำแล้ว มันจะทำการดาวโหลดโมดูล RAT ซึ่งแท้จริงคือโมดูลแบ็คดอร์ของชุดโปรแกรมสำหรับทดสอบเจาะระบบ Metasploit

การใช้งานซอฟต์แวร์ในการทดสอบเจาะระบบในการโจมตีจริงนั้นไม่ใช่สิ่งใหม่ เนื่องจากกลุ่มผู้โจมตีและ APT หลายประเภทก็มีการใช้ซอฟต์แวร์ อาทิ Metasploit หรือ Cobalt Strike ในกระบวนการโจมตีและฝังตัวในระบบเช่นเดียวกัน

ที่มา : BLEEPINGCOMPUTER

ผู้เชี่ยวชาญด้านความปลอดภัยของ Android กำลังเตือนผู้ใช้ว่า มีนักพัฒนาแอนดรอยด์บางคนหลอกล่อให้ผู้ใช้ติดตั้งแอปของตนโดยการลงทะเบียนบัญชีนักพัฒนาซอฟต์แวร์ Google Play Store เป็นจำนวนการ installs เช่น "1 million installs," Installs 1,000,000," "100,000,000 Downloads," "5,000,000+," "1,000,000,000" และอื่นๆที่รูปแบบคล้ายกัน ทำให้ผู้ใช้งานเผลอติดตั้งแอปผิดพลาดอย่างไม่ได้ตั้งใจ

เทคนิคนี้เป็นวิธีที่ง่าย แต่มีประสิทธิภาพในการทำให้ผู้ใช้เข้าใจผิดโดยเฉพาะอย่างยิ่งผู้ที่เลือกแอปตามความนิยม แม้แอปเหล่านี้จะไม่มีอันตราย แต่ก็อาจถูกใช้แพร่เชื้อมัลแวร์ในอนาคตได้อย่างง่ายดาย โชคดีที่เทคนิคนี้ยังง่ายต่อการตรวจสอบหากผู้ใช้ระวังในใช้ Google Play Store นักวิจัยมัลแวร์จาก ESET "Lukas Stefanko" ออกมาเปิดเผยเทคนิคใหม่ที่ผู้พัฒนามัลแวร์บนแอนดรอยด์ใช้เพื่อหลอกผู้ใช้ว่าแอปมีความน่าเชื่อถือ โดยมีจุดประสงค์เพื่อให้ผู้ใช้หลงเชื่อและติดตั้งแอปที่เป็นมัลแวร์

เทคนิคนี้อาศัยการสมัครบัญชีสำหรับนักพัฒนาแอปที่สามารถส่งแอปขึ้นไปบน Google Play Store ได้ โดยแทนที่จะใส่ชื่อของนักพัฒนาแอปจริงๆ ลงไปในบัญชี ผู้ร้ายจะทำการเปลี่ยนชื่อเป็น "1 million installs," Installs 1,000,000," "100,000,000 Downloads," "5,000,000+," "1,000,000,000" แทน ซึ่งเมื่อแอปถูกนำขึ้น Google Play Store ในส่วนของชื่อของผู้พัฒนาแอปจะถูกแทนที่ด้วยคำในลักษณะนี้ และทำให้ผู้ใช้งานหลงเชื่อว่าเป็นแอปจริงได้

สิ่งที่ต้องคำนึงถึง เมื่อติดตั้งแอป
- Google จะใส่ข้อมูลที่เป็นทางการในช่องพิเศษบนหน้า Play สโตร์ของแอปเท่านั้น
- หมายเลขจำนวนการ install ของ Google จะปรากฏในส่วน "ข้อมูลเพิ่มเติม" ที่ด้านล่างของหน้า Play สโตร์ของแต่ละแอป
- หากจำนวนการ install มีน้อย แต่ผู้พัฒนาอ้างเหตุผลต่างๆนาๆที่ไม่ชอบมาพากล แอปจะเป็นอันตรายอย่างเห็นได้ชัด
- Google Play ไม่มีป้าย "Verified" ดังนั้นอย่าเชื่อว่านักพัฒนาแอปอาจอ้างสิทธิ์ในไอคอนแอปของตน
- อ่านบทวิจารณ์ของผู้ใช้ก่อนดาวน์โหลดแอปทุกครั้ง ผู้ใช้งานควรตรวจสอบที่มาของแอปอย่างถี่ถ้วนทุกครั้งก่อนติดตั้งแอปใดๆ และควรสังเกตความผิดปกติของแอป เช่น โลโก้, คอมเมนต์รีวิว หรือชื่อของผู้พัฒนาก่อนที่จะติดตั้งแอปเสมอ

ที่มา : bleepingcomputer

Cisco ประกาศแพตช์ช่องโหว่ด้านความปลอดภัยซึ่งปิดช่องโหว่กว่า 34 รายการสำหรับแพตช์ประจำเดือนมิถุนายน 2561 โดยมี 7 รายการเป็นช่องโหว่ระดับวิกฤติใน NX-OS และ FXOS ซึ่งส่งผลให้ผู้โจมตีสามารถรันคำสั่งที่เป็นอันตรายเพื่อโจมตีอุปกรณ์ได้จากระยะไกล

สำหรับช่องโหว่ระดับวิกฤติ 4 จาก 7 ช่องโหว่ที่ส่งผลกระทบ NX-OS และ FXOS ล้วนแล้วแต่มีที่มีจาก Cisco Fabric Services และมีคะแนน CVSSv3 สูงถึง 9.8/10 คะแนน ที่มาของช่องโหว่ทั้ง 4 รายการนี้เกิดการที่ Cisco Fabric Services นั้นไม่มีการตรวจสอบแพ็คเกตที่ถูกส่งมาอย่างเหมาะสมพอ ทำให้ผู้โจมตีสามารถสร้างแพ็คเกตพิเศษและส่งตรงมาถึงอุปกรณ์ที่มีช่องโหว่เพื่อรันโค้ดที่เป็นอันตรายได้โดยตรง หรือทำให้อุปกรณ์ไม่สามารถให้บริการได้

Recommendation แนะนำให้ผู้ดูแลระบบตรวจสอบรายการช่องโหว่ทั้งหมดที่มีการเปิดเผยในเดือนนี้อีกครั้งจากลิงค์ด้านล่าง รวมไปถึงทำการแพตช์เพื่อป้องกันการโจมตีช่องโหว่เหล่านี้
https://tools.