CISCO ประกาศข่าวน่าตกใจว่าพบช่องโหว่ Buffer Overflow ในส่วน Simple Network Management Protocol (SNMP) Service ในทุกๆ version ที่ให้บริการใน CISCO IOS, IOS XE

CISCO กล่าวว่า SNMP ทุกๆ version (v1,v2c,v3) ที่ให้บริการใน CISCO IOS, IOS XE นั้นมีช่องโหว่ Buffer Overflow อยู่ทำให้สามารถถูก exploit แล้วกลายเป็น Denila of Service (ส่งผลให้เครื่องไม่สามารถให้บริการได้) หรือ Remote Code Execution (สั่งงานเครื่องจากระยะไกล) ได้ โดยหากเป็นบริการ SNMP v1,v2c ผู้โจมตีสามารถโจมตีได้โดยที่จำเป็นต้องรู้ SNMP community string แต่หากเป็น SNMPv3 จำเป็นต้องมี username, password ด้วย

โดยช่องโหว่ดังกล่าวนี้มี CVE 9 CVE คือ CVE-2017-6736, CVE-2017-6737, CVE-2017-6738, CVE-2017-6739, CVE-2017-6740, CVE-2017-6741, CVE-2017-6742, CVE-2017-6743, CVE-2017-6744 และ CVE แต่ละตัวจะเกี่ยวข้องกับ SNMP Management Information Bases (MIBs) ต่อไปนี้ :

ADSL-LINE-MIB
ALPS-MIB
CISCO-ADSL-DMT-LINE-MIB
CISCO-BSTUN-MIB
CISCO-MAC-AUTH-BYPASS-MIB
CISCO-SLB-EXT-MIB
CISCO-VOICE-DNIS-MIB
CISCO-VOICE-NUMBER-EXPANSION-MIB
TN3270E-RT-MIB
ตอนนี้ทาง CISCO ยังคงทำ patch update ไม่เสร็จ ดังนั้นในระหว่างนี้หากไม่มีความจำเป็นใดๆแนะนำให้ทำการปิด SNMP Access ไปก่อน หรือปิดการใช้งาน MIBs ที่มีช่องโหว่ครับ

ที่มา : TheRegister
แปลโดย : Techsuii

ทาง Ubuntu ประกาศว่ามีการพบช่องโหว่ Remote Code Execcution ใน Systemd ซึ่งทำให้ client นั้นอาจถูกแฮ็คได้ทันที เมื่อได้รับ DNS Response ที่ถูกสร้างขึ้นมาโดยเฉพาะ

Ubuntu ประกาศเมื่อวันที่ 27/06/2017 ที่ผ่านมาว่าพบช่องโหว่ Denial of Service และ Remote Code Execution จากการรับ DNS Response ที่ถูกสร้างขึ้นมาเฉพาะใน systemd-resolved ซึ่งได้รับ CVE เป็น CVE-2017-9445 หากใครใช้งาน Ubuntu version 16.10 หรือ 17.04 แนะนำให้ทำการ update systemd ด่วนครับ

ผลกระทบ: Remote Code Execution or DoS
ระบบที่ได้รับผลกระทบ: Ubuntu 16.10 , 17.04
วิธีแก้ไขหรือป้องกัน: ทำการ upgrade Systemd เป็น 231-9ubuntu5 (16.10) หรือ 232-21ubuntu5 (17.04)

ที่มา : Ubuntu

ช่วงเวลาประมาณ 19:30 ของวันที่ 28/06/2017 ที่ผ่านมา นักวิจัยด้านความปลอดภัยทั่วโลกตรวจพบการแพร่กระจายของมัลแวร์เรียกค่าไถ่ที่มีลักษณะคล้ายกับมัลแวร์เรียกค่าไถ่ Petya แต่ด้วยลักษณะที่แตกต่างกันคือมีการแพร่กระจายอย่างรวดเร็วและส่งผลกระทบในวงกว้างมากกว่าภายใต้ชื่อของมัลแวร์ที่ถูกเรียกว่า Petyawrap
ในบทความนี้ทีมงานไอ-ซีเคียวจะมานำเสนอรายละเอียดโดยสรุป สมมติฐานการแพร่กระจายของมัลแวร์พร้อมทั้งวิธีการป้องกันและลดผลกระทบในเบื้องต้นเพื่อป้องกันผู้ใช้บริการและผู้ใช้งานทั่วไปให้ปลอดภัยจากมัลแวร์ครับ
สรุปย่อ

มัลแวร์เรียกค่าไถ่ Petyawrap เป็นมัลแวร์เรียกค่าไถ่ในตระกูลเดียวกับมัลแวร์เรียกค่าไถ่ Petya ซึ่งเคยมีการแพร่กระจายและสร้างความเสียหายมาแล้วในช่วงต้นปี 2016 ที่ผ่านมาโดยสร้างความเสียหายด้วยการเข้ารหัสส่วนของ master file table (MFT) ซึ่งทำให้ระบบปฏิบัติการไม่สามารถอ่านข้อมูลจากดิสก์ได้

ภาพหน้าจอหลังจากที่มัลแวร์ Petyawrap แพร่กระจายและมีการบังคับให้รีบูตระบบใหม่ ภาพจากคุณ Vlad Styran

มัลแวร์เรียกค่าไถ่ Petyawrap ถูกสันนิษฐานว่าใช้วิธีการแพร่กระจายผ่านทางช่องโหว่ EternalBlue ซึ่งเป็นวิธีการเดียวกับที่มัลแวร์เรียกค่าไถ่ WannaCry ใช้ในการแพร่กระจายตัวเองอันเนื่องมาจากความรวดเร็วในการแพร่กระจายและจำนวนของเครื่องที่ถูกเข้ารหัสซึ่งเกิดขึ้นอย่างรวดเร็ว (ดูเพิ่มเติมเกี่ยวกับ EternalBlue ได้ที่นี่)
พฤติกรรมที่สามารถสังเกตเห็นได้นอกเหนือจากหน้าจอที่แสดงกระบวนการจ่ายค่าไถ่
ของมัลแวร์เรียกค่าไถ่ Petyawrap นั้นประกอบไปด้วย ระบบมีการรีบูตอัตโนมัติ, ไฟล์ที่เป็น event log ถูกลบออกและรวมไปถึงมีการสร้างไฟล์น่าสงสัยที่พาธ %PROGRAMDATA%\dllhost.

ข้อมูลส่วนตัวของประชาชนสหรัฐฯ กว่า 200 ล้านคน คิดเป็นเกือบ 62% ของจำนวนประชากรสหรัฐฯ ถูกเก็บอยู่บนคลาวด์เซิร์ฟเวอร์ของ Amazon ใครมีลิงก์ก็สามารถเปิดดูได้ทันที
ข้อมูลขนาดกว่า 1.1 เทราไบต์ ประกอบไปด้วยข้อมูลเบื้องต้นตั้งแต่วันเกิด ที่อยู่ หมายเลขโทรศัพท์ จนไปถึงแนวคิดทางการเมือง มุมมองเกี่ยวกับเรื่องเชื้อชาติ และจุดยืนในประเด็นอ่อนไหวที่ยังมีการถกเถียง เช่น กฎหมายการควบคุมปืน สิทธิ์ในการทำแท้ง และการวิจัยสเต็มเซลล์ ซึ่งข้อมูลถูกรวบรวมมาจากหลายแหล่งตั้งแต่โพสต์ทางการเมืองบน Reddit จนไปถึงงานระดมทุนสนับสนุนพรรค Republican
นักวิเคราะห์ความเสี่ยงทางไซเบอร์เป็นผู้พบข้อมูลไฟล์ spreadsheet เก็บอยู่ในเซิร์ฟเวอร์ของบริษัท Deep Root Analytics ไฟล์มีการอัพเดตเมื่อเดือนมกราคมที่ผ่านมา ซึ่งตรงกับช่วงพิธีสาบานตนเข้ารับตำแหน่งของประธานาธิบดี Trump โดยข้อมูลถูกพบเมื่ออาทิตย์ที่แล้วแต่ยังไม่แน่ชัดว่าถูกเปิดให้เข้าถึงมานานแค่ไหน จากชื่อไฟล์ทำให้ระบุได้ว่าข้อมูลจะถูกนำไปใช้สำหรับองค์กรที่สนับสนุนพรรค Republican

ที่มา: Blognone , BBC

Samsung ถือเป็นหนึ่งในบริษัทชั้นนำเรื่องมือถือในยุคปัจจุบัน แต่กลับปล่อยให้ผู้ใช้จำนวนมากตกเป็นเหยื่อของภัยคุกคาม หลังจากที่ไม่ยอมต่อ domain name สำหรับการแนะนำ Application

หากคุณใช้มือถือ Samsung รุ่นเก่าๆหน่อย คุณจะคงเห็นโปรแกรมที่ชื่อว่า "S Suggest" ติดตั้งอยู่ ซึ่ง Application ดังกล่าวจะเป็น app สำหรับการแนะนำ application/widget อื่นๆที่เหมาะสมกับเครื่องของเรา ซึ่งบริการดังกล่าวนี้ได้หยุดให้บริการไปตั้งแต่ 2014 โดย Application ดังกล่าวจะทำการติดต่อไปยัง ssuggest.

Qualys แสดงความสามารถอีกครั้งด้วยการเปิดเผยช่องโหว่ที่ชือว่า "Stack Clash" ทำให้ user สามารถใช้ช่องโหว่ดังกล่าวเพิ่มสิทธิ์ของตัวเองให้กลายเป็นสิทธิ์สูงสุดหรือ root ได้

Qualys พบช่องโหว่ "Stack Clash" ซึ่งทำให้ได้สิทธิ์ root ใน UNIX System ได้ ทาง Qualys พบช่องโหว่นี้ตั้งแต่เมื่อเดือนที่แล้ว (06/2017) และได้แจ้งให้เหล่า vendor ต่างๆไปก่อนแล้ว เพื่อให้ทาง vendor เหล่านั้นออกมา patch แก้ไขได้ทัน

ช่องโหว่นี้กระทบทั้ง Linux, OpenBSD, NetBSD, FreeBSD, และ Solaris.

PayPal เป็นเป้าหมายสำหรับการทำ Phishing มาตลอดเนื่องด้วยความใหญ่โตและความน่าเชื่อถือเกี่ยวกับการทำธุรกรรมของ PayPal ทำให้เราเห็น Phishing website ที่ปลอมเป็น PayPal อยู่บ่อยๆ แต่พบว่า PayPal Phishing website หลายๆอันไม่เพียงแต่จะหลอกให้ user กรอก username, password เท่านั้น รวมไปถึงหลอกให้ทำการถ่าย selfie กับบัตรประชาชนส่งมาให้ด้วย
Security Researcher จาก PhishMe พบการ spam Phishing website ไปยัง user ต่างๆทั่วโลก โดย Phishing website นั้นปลอมเป็น PayPal และตั้งอยู่บนเว็บไซด์ WordPress ใน New Zealand ที่ถูกแฮ็คมา ซึ่งสิ่งที่เว็บไซด์ Phishing ดังกล่าวแตกต่างจาก Phishing ทั่วไป โดยหน้า login จะมีให้ใส่ PayPal credentials จากนั้นเมื่อ login เข้ามา(แน่นอนว่าแกล้งให้เป็นการ login สำเร็จ)ก็จะแจ้งให้ผู้ใช้งานกรอกข้อมูลบัตรเครดิต, รวมถึงให้ user ถ่ายภาพ selfie พร้อมกับถือ ID card ไปด้วย
ซึ่งเข้าใจว่าการขอข้อมูลเหล่านั้นจะนำไปสู่การสร้าง account CryptoCurrency ต่างๆ ด้วยข้อมูลที่หลอกมาได้ต่อไปนั่นเอง
ที่มา : bleepingcomputer

Kaspersky ยังคงทำ Project nomoreransom (https://www.nomoreransom.org) อย่างต่อเนื่อง ล่าสุดได้มีการพยายามหยุดยั้ง Ransomware เพิ่มเติมโดยการเผยแพร่เครื่องมือถอดรหัส Jaff Ransomware เหยื่อที่ติด Jaff Ransomware จะมีอาการคือไฟล์ถูกเข้ารหัสแล้วถูกเปลี่ยนนามสกุลไฟล์ (extension) เป็น .jaff, .wlu, .sVn) โดยเราสามารถ download ตัวถอดรหัสได้จาก http://media.

Mohamed A. Baset ชาวเม็กซิโกพบช่องโหว่ CSRF บน Metasploit Project ในส่วนของหน้าเว็บ ได้หมายเลข CVE-2017-5244 มีผลกระทบกับ Metasploit รุ่น Express, Community และ Professional ที่เป็นเวอร์ชั่นต่ำกว่า 4.14.0 หากเหยื่อคลิกลิงค์ที่มีโค้ดสำหรับโจมตี CSRF (สร้าง HTTP Request ไปยัง https://127.0.0.1:3790/tasks/stop_all) จะทำให้ Metasploit ที่กำลังสแกนอยู่ทั้งหมดนั้น หยุดสแกนทันที ผู้ใช้งาน Metasploit ควรอัพเดทเป็นเวอร์ชั่น 4.14.0 (Update 2017051801) เพื่อแก้ไขช่องโหว่

ที่มา : Seekurity Blog

ก่อนหน้านี้มีข่าวช่องโหว่ของ Samba ไปแล้ว ซึ่งแน่นอนว่ามีคนไปเปรียบเทียบกับช่องโหว่ MS17-010 ใน SMB Service ซึ่งคล้ายคลึงกันมาก จนกระทั่งให้ชื่อช่องโหว่นี้ว่า SambaCry
ล่าสุดเมื่อคืนวันที่ 7/6/2017 ที่ผ่านมามีคนพบ Malware ใน Linux ที่ใช้ช่องโหว่ CVE-2017-7494 ของ Samba ซึ่งเป็น port 445 ในการกระจายตัวเช่นเดียวกับ WannaCry เลย จนมีหลายๆคนให้ชื่อ Malware ตัวนี้ว่า SambaCry ไปเลย แต่ที่ส่วนที่แตกต่างกันคือ SambaCry จะมีการโจมตีเพื่อฝังตัวขุด Crypto Currency แทน (พฤติกรรมจะคล้ายๆกับ adylkuzz) ซึ่งนั่นทำให้หาก User นั้นติดก็จะแทบไม่รู้เรื่องเลยว่าติด malware และหากทำการนำไฟล์ malware ดังกล่าวไปตรวจใน Virustotal.