Flaw in F-Secure Products Allowed Code Execution via Malicious Archives

นักวิจัยด้านความปลอดภัยซึ่งใช้ชื่อบนอินเตอร์เน็ตว่า landave ซึ่งเคยเป็นผู้ค้นพบช่องโหว่ในโปรแกรม 7-zip และ Bitdefender ได้ประกาศการค้นพบช่องโหว่ใหม่ที่คล้ายคลึงกันใน F-Secure Endpoint Protection ซึ่งส่งผลให้เกิดการรันโค้ดที่เป็นอันตรายได้เมื่อโปรแกรมพยายามเปิดไฟล์บีบอัดที่ถูกสร้างมาเป็นพิเศษเพื่อโจมตีช่องโหว่

การโจมตีช่องโหว่สามารถทำได้หลายวิธีโดยมีไฟล์บีบอัดที่ถูกสร้างมาเป็นพิเศษนั้นเป็นศูนย์กลาง หนึ่งในวิธีนั้นคือการส่งไฟล์ให้เหยื่อทางอีเมลซึ่งจะถูกสแกนเมื่อพยายามเปิดและเกิดการรันโค้ดที่เป็นอันตราย landave ยังคงพบว่าผลิตภัณฑ์ของ F-Secure บางรายการยังทำการดักจับข้อมูลเมื่อผู้ใช้งานเข้าเว็บไซต์และนำไปตรวจสอบ ซึ่งอาจทำให้ผู้โจมตีทำการโจมตีได้โดยบังคับให้เหยื่อดาวโหลดไฟล์อันตรายโดยอัตโนมัติ ซึ่งจะส่งผลในลักษณะเดียวกันได้

Recommendation: F-Secure ได้ปล่อยแพตช์สำหรับช่องโหว่ดังกล่าวแล้ว แนะนำให้ผู้ใช้งานทำการอัปเดตผลิตภัณฑ์ที่ใช้งานอยู่โดยด่วน

Affected Platform
- F-Secure SAFE for Windows
- F-Secure Client Security/Premium
- F-Secure Server Security/Premium
- F-Secure PSB Server Security
- F-Secure Email and Server Security/Premium
- F-Secure PSB Email and Server Security
- F-Secure PSB Workstation Security
- F-Secure Computer Protection/Premium.

Prowli Malware Operation Infected Over 40,000 Servers, Modems, and IoT Devices

GuardiCore ออกประกาศแจ้งเตือนหลังจากค้นพบพฤติกรรมของมัลแวร์ชนิดใหม่ Prowli ซึ่งมุ่งโจมตีระบบด้วยวิธีการ brute force แล้วไปถึงใช้ช่องโหว่ที่เป็นที่รู้จักกันอยู่แล้วเพื่อเข้าควบคุมระบบ โดยมีจุดประสงค์ในการใช้ระบบเพื่อขุดบิทคอยน์และใช้เพื่อเป็นฐานการโจมตีในลักษณะอื่นๆ

มัลแวร์ Prowli มีการใช้ช่องโหว่ดังต่อไปนี้
- ในกรณีที่เป้าหมายเป็นเว็บไซต์ WordPress มัลแวร์จะใช้ช่องโหว่ที่มีอยู่แล้วรวมไปถึงการเดารหัสผ่านเพื่อเข้าถึงหน้าการตั้งค่า
- ในกรณีที่เป้าหมายเป็น Joomla! ที่มีการรันส่วนเสริม K2 มัลแวร์จะใช้ช่องโหว่รหัส CVE-2018-7482
- ในกรณีที่เป้าหมายเป็นอุปกรณ์โมเด็ม มัลแวร์จะพุ่งเป้าโจมตีเซอร์วิส TR-064 และ TR-069 ที่มีช่องโหว่อยู่แล้ว
- ในกรณีที่เป้าหมายเป็นอุปกรณ์ HP Data Protector มัลแวร์จะใช้ช่องโหว่รหัส (CVE-2014-2623)
- ใช้การคาดเดารหัสผ่านสำหรับ Drupal, phpMyadmin, NFS และ SMB

เมื่อเข้าควบคุมระบบเป้าหมายได้สำเร็จมัลแวร์จะมีการใช้แบ็คดอร์อย่าง WSO Web Shell รวมไปถึงติดตั้งโปรแกรมขุดบิทคอยน์และใช้ระบบดังกล่าวในเป็นช่องทางในการแพร่กระจายมัลแวร์อื่นๆ ด้วย

ที่มา: bleepingcomputer

Kaspersky to Move Data of Most Users From Russia to Switzerland

Kaspersky มีแผนที่จะทำการย้ายข้อมูลผู้ใช้ และสายการผลิตซอฟแวร์จากรัสเซียไปยังสวิตเซอร์แลนด์ เพื่อยืนยันถึงความโปร่งใส และตรวจสอบได้ขององค์กร

ทาง Kaspersky กล่าวว่าการเปลี่ยนแปลงนี้จะสะท้อนให้เห็นถึงความมุ่งมั่น และตั้งใจในการรักษาความน่าเชื่อถือของบริษัทจากข่าวด้านลบที่ออกมาก่อนหน้านี้อย่างต่อเนื่อง ศูนย์ข้อมูลใน Zurich นี้จะรวบรวมข้อมูลของผู้ใช้งานในยุโรป, อเมริกาเหนือ, สิงคโปร์, ออสเตรเลีย, ญี่ปุ่น และเกาหลีใต้ รวมทั้ง Source Code ของผลิตภัณฑ์ทุกเวอร์ชั่น, ฐานข้อมูล detection rule และข้อมูลเกี่ยวกับสายการผลิตทั้งหมด โดยคาดการณ์ว่าน่าจะเสร็จสิ้นทั้งหมดก่อนสิ้นปี 2019

ทั้งนี้ Kaspersky ได้ถูกรัฐบาลสหรัฐกล่าวหาว่าทำการสอดแนมข้อมูลให้กับทางรัสเซีย และถูกแบนทั้งในประเทศสหรัฐอเมริกา, อังกฤษ และล่าสุดในประเทศเนเธอร์แลนด์ นอกจากนี้ Kaspersky ยังมีแผนที่จะเปิดศูนย์ดังกล่าวในเอเชีย และอเมริกาเหนื่อในปี 2020 ด้วย

ที่มา: bleepingcomputer

IBM InfoSphere Information Server Multiple Vulnerabilities

IBM ประกาศแพตช์ให้กับ 3 ช่องโหว่ด้านความปลอดภัยบน IBM Infosphere วันนี้โดยช่องโหวที่มีความรุนแรงสูงสุดนั้นสามารถทำให้ผู้ประสงค์ร้ายยกระดับสิทธิ์ของตนเองที่มีอยู่ในระบบให้เป็นสิทธิ์ของผู้ดูแลระบบได้

ช่องโหว่ทั้งหมด 3 รายการได้แก่
- CVE-2017-1350: ช่องโหว่ยกระดับสิทธิ์ (CVSSv3 8.4/10) กระทบรุ่น 9.1, 11.3, 11.5, และ 11.7
- CVE-2018-1432: ช่องโหว่ XSS (CVSSv3 6.1/10) กระทบรุ่น 9.1, 11.3, 11.5, และ 11.7
- CVE-2018-1454: ช่องโหว่ที่ส่งผลจากการตั้งค่า HSTS ทำให้สามารถทำ MITM ได้ (CVSSv3 5.9/10) กระทบรุ่น 11.3, 11.5, และ 11.7

Recommendation แนะนำให้ผู้ใช้งานที่มีการใช้งานซอฟต์แวร์ในรุ่นที่มีช่องโหว่ทำการอัปเดตซอฟต์แวร์ให้เป็นเวอร์ชันล่าสุดโดยด่วน

Affected Platform

- CVE-2017-1350: 9.1, 11.3, 11.5, และ 11.7
- CVE-2018-1432: 9.1, 11.3, 11.5, และ 11.7
- CVE-2018-1454: 11.3, 11.5, และ 11.7

ที่มา:
* https://nvd.