Guardicore ออกรายงานวิเคราะห์มัลแวร์ขุดเหมือง Monero ตัวใหม่ชื่อ FritzFrog โจมตี Linux ผ่าน SSH มีลักษณะเป็น worm และ botnet มุ่งเป้าหมายโจมตีหน่วยงานรัฐ ภาคการศึกษา และสถาบันการเงิน พบโจมตีตั้งแต่เดือนมกราคม 2020 ในขณะนี้มีเหยื่อติดเชื้อราวๆ 500 เซิร์ฟเวอร์และมีความพยายามโจมตี brute force กว่าล้านไอพี

FritzFrog เป็นมัลแวร์ที่มีความซับซ้อน มีการสั่งงานกันผ่าน peer-to-peer (P2P) คือคุยกันระหว่าง FritzFrog แต่ละตัวโดยไม่มีต้องมี Command & Control (C&C) ที่เป็นศูนย์กลางรวมถึงมีการรัน payload ในเมมโมรี่ ทำให้ยากต่อการตรวจจับ

เมื่อ FritzFrog ยึดเครื่องผ่าน SSH สำเร็จ มันจะลบตัวเองทิ้ง และรันด้วยโปรเสส ชื่อ ifconfig และ nginx จากนั้นมันจะรอคำสั่งต่อไปผ่าน port 1234 ซึ่งตามปกติแล้ว port 1234 มีความผิดปกติและตรวจจับได้ง่าย แต่ FritzFrog ใช้วิธีเพิ่ม SSH authorized_keys เพื่อให้ผู้โจมตีส่งคำสั่งผ่าน SSH แล้วเปิด netcat client บนเครื่องของเหยื่อเพื่อส่งคำสั่งจาก SSH ไปยัง port 1234 ทำให้ตรวจจับไม่ได้จากไฟร์วอลโดยตรงว่ามีการส่งคำสั่งมาจากเน็ตเวิร์คผ่าน port 1234 นอกจากนี้ยังมีการรันโปรเสสชื่อ libexec เพื่อขุดเหมือง Monero

Guardicore ระบุวิธีตรวจจับ FritzFrog ไว้ดังต่อไปนี้
1 ใช้สคริป detect_fritzfrog.

เมื่ออาทิตย์ที่ผ่านมา FBI และ NSA ได้มีการเปิดเผยการแจ้งเตือนซึ่งเป็นผลมาจากการทำงานร่วมกันของทั้งสองหน่วยงาน โดยเป็นการแจ้งเตือนและผลการวิเคราะห์มัลแวร์ตัวใหม่บน Linux "Drovorub" อ้างอิงจากรายงานของทั้งสองหน่วยงาน มัลแวร์ Drovorub ถูกตรวจจับว่ามีการใช้งานในการโจมตีจริงแล้ว และเชื่อมโยงกลับไปยังกลุ่มแฮกเกอร์ APT28 หรือ Fancy Bear ที่มีรัฐบาลรัสเซียหนุนหลัง

การวิเคราะห์มัลแวร์ Drovorub บ่งชี้ให้เห็นศักยภาพที่หลากหลายของมัลแวร์ ตัวมัลแวร์เองถูกออกแบบมาให้เป็น kernel module rootkit แต่ยังมีฟังก์ชันการทำงานเช่นเดียวกับโทรจันโดยทั่วไป อาทิ การรับส่งไฟล์และการสร้างช่องทางลับเพื่อการ pivoting ด้วยลักษณะของการเป็น rootkit ระดับ kernel มัลแวร์ Drovorub จะมีการซ่อนตัวเองจากความพยายามในการค้นหาโปรเซส, ไฟล์, socket หรือพฤติกรรมการทำงานต่างๆ ผ่านการ hook หรือเป็นลอจิคการทำงานของโปรแกรม เช่น เมื่อผู้ใช้งานมีการใช้คำสั่ง ps เพื่อดูรายการโปรเซส มัลแวร์ Drovorub จะทำการแก้ไขผลลัพธ์อยู่เบื้องหลังเพื่อทำให้โปรเซสที่เกี่ยวข้องกับมัลแวร์ไม่แสดงในผลลัพธ์ของคำสั่ง

นอกเหนือจากการวิเคราะห์การทำงาน รายงานร่วมของ FBI และ NSA ยังพูดถึงวิธีในการตรวจจับการทำงานของมัลแวร์ทั้งในมุม network และ endpoint รวมไปถึงการทำ memory analysis เพื่อตรวจหาการมีอยู่ของมัลแวร์ รวมไปถึงคำแนะนำจากทั้งสองหน่วยงานในการป้องกันและลดผลกระทบ ผู้ที่สนใจสามารถอ่านเพิ่มเติมได้จากรายงานของ FBI และ NSA (media.

นักวิจัยจาก Eclypsium เผยแพร่ช่องโหว่ใหม่ CVE-2020-10713 BootHole เป็นช่องโหว่ buffer overflow ใน GRUB2 เป็น bootloader ยอดนิยมที่ใช้ใน Linux หลายๆ ดิสโทร ช่องโหว่นี้เกิดเมื่อทำการ parsing ไฟล์ตั้งค่า grub.

VMware ออกเเพตซ์แก้ไข CVE-2020-3956 ใน VMware Cloud Director

VMware ได้ทำการแก้ไขช่องโหว่การเรียกใช้โค้ดโจมตีจากระยะไกล ที่ถูกค้นพบช่องโหว่โดย Tomáš Melicher และ LukášVáclavík จาก Citadelo ถูกระบุเป็นรหัส CVE-2020-3956 ในผลิตภัณฑ์ VMware Cloud Director

ช่องโหว่ CVE-2020-3956 (CVSSv3 8.8) เป็นช่องโหว่การเรียกใช้โค้ดโจมตีจากระยะไกล ซึ่งช่องโหว่สามารถทำให้ผู้โจมตีที่ได้รับการรับรองความถูกต้องสามารถส่งทราฟฟิกที่เป็นอันตรายไปยัง Cloud Director เพื่อทำการเรียกใช้โค้ดโดยไม่ได้รับอนุญาต การโจมตีช่องโหว่ดังกล่าวสามารถใช้ช่องโหว่ผ่านทาง HTML5 และ Flex-based UIs, API Explorer interface และ API access

ช่องโหว่นี้ส่งผลกระทบต่อ VMware Cloud Director 9.5.x, 9.7.x และ 10.0.x บนระบบปฏิบัติการ Linux และ Photon OS

ทั้งนี้ VMware Cloud Director เวอร์ชัน 8.x, 9.0.x, 9.1.x และ 10.1.0 บนระบบปฏิบัติการ Linux จะไม่ได้รับผลกระทบนี้ ผู้ใช้งานควรทำการอัพเดตซอฟต์แวร์ VMware vCloud Director เป็นเวอร์ชัน 9.1.0.4, 9.5.0.6, 9.7.0.5 และ 10.0.0.2 เพื่อแก้ปัญหาช่องโหว่และลดความเสี่ยงต่อการถูกโจมตี

ที่มา: securityaffairs

นักวิจัยด้านความปลอดภัยจาก RACK911 Labs กล่าวว่าพวกเขาพบช่องโหว่ "Symlink Race" ใน 28 ผลิตภัณฑ์ป้องกันไวรัสยอดนิยมในปัจจุบัน โดยผู้โจมตีสามารถใช้ประโยชน์จากข้อบกพร่องที่เกิดกับโปรแกรมป้องกันไวรัสทำการลบไฟล์ในระบบซึ่งอาจทำให้ระบบปฏิบัติการเกิดปัญหาหรือทำให้ไม่สามารถใช้งานได้

Vesselin Bontchev นักวิจัยจากห้องปฏิบัติการไวรัสวิทยาของสถาบันวิทยาศาสตร์แห่งบัลแกเรียกล่าวว่าช่องโหว่ Symlink race เป็นช่องโหว่ที่เกิดขั้นจากการเชื่อมโยงไฟล์ที่เป็นอันตรายเข้ากับไฟล์ที่ถูกต้องเพื่อทำการยกระดับสิทธิ์ไฟล์ที่เป็นอันตรายให้สูงขึ้นเพื่อใช้ในการโจมตี Elevation-of-Privilege (EoP)

นักวิจัยด้านความปลอดภัยจาก RACK911 ได้ทำการทดสอบช่องโหว่โดยการสร้างสคริปต์เพื่อทำการพิสูจน์ช่องโหว่ Symlink Race พบว่าในการทดสอบบน Windows, macOS และ Linux พวกเขาใช้ช่องโหว่ Symlink race ที่มีอยู่ในซอฟต์แวร์ป้องกันไวรัสและสามารถลบไฟล์ที่สำคัญในซอฟต์แวร์ป้องกันไวรัสได้โดยที่ซอฟต์แวร์ป้องกันไวรัสไม่ได้แสดงผลการแจ้งเตือนและพวกเขายังทดสอบช่องโหว่โดยทำการลบไฟล์ที่สำคัญในระบบปฏิบัติการ ผลลัพธ์คือระบบปฏิบัติการเกิดความเสียหายอย่างมากถึงขึ้นต้องทำการติดตั้งระบบปฏิบัติการใหม่เพื่อซ่อมแซมระบบปฏิบัติการที่เกิดความเสียหาย

นักวิจัยด้านความปลอดภัยจาก RACK911 กล่าวว่าช่องโหว่นี้อยู่ในผลิตภัณฑ์ซอฟต์แวร์ป้องกันไวรัส 28 รายกาย บนระบบปฏิบัติการ Linux, Mac และ Windows และได้รายงานให้เจ้าของผลิตภัณฑ์ป้องกันไวรัสรับทราบและเจ้าของผลิตภัณฑ์ได้ทำการการแก้ไขแล้ว อย่างไรก็ตามผู้ใช้งานควรทำการอัพเดตซอฟต์แวร์ป้องกันไวรัสอยู่เสมอเพื่อความปลอดภัยของระบบและข้อมูลของผู้ใช้งาน

ที่มา : zdnet

ช่องโหว่ในคำสั่ง sudo ให้ผู้ใช้ Linux และ macOS ที่ไม่มีสิทธิพิเศษเรียกใช้คำสั่งด้วยสิทธิ์ Root ได้
Joe Vennix แห่ง Apple security พบช่องโหว่ที่สำคัญประการหนึ่งในคำสั่ง sudo หากตั้งค่าบางอย่างไว้ อาจอนุญาตให้ผู้ใช้ที่มีสิทธิ์ต่ำหรือโปรแกรมที่เป็นอันตรายในการรันคำสั่งโดยพลการด้วยสิทธิ์ระดับผู้ดูแล ('root') บนระบบ Linux หรือ macOS
sudo เป็นหนึ่งใน utilities ที่สำคัญที่มีประสิทธิภาพและใช้กันอย่างแพร่หลาย มาพร้อมกับ core command ที่ติดตั้งไว้ล่วงหน้าบน macOS และเกือบทุกระบบปฏิบัติการบน UNIX หรือ Linux ซึ่ง sudo ได้รับการออกแบบ เพื่อให้ผู้ใช้เรียกใช้แอพหรือคำสั่ง ด้วยสิทธิ์ของผู้ใช้ที่แตกต่างกัน โดยไม่ต้อง switching environments ต่างๆ
Vennix ระบุว่าข้อบกพร่องสามารถถูกโจมตีได้เมื่อเปิดใช้งานตัวเลือก "pwfeedback" เท่านั้นในไฟล์การกำหนดค่า sudoers ซึ่ง pwfeedback เป็นคุณสมบัติที่ช่วยให้เห็น Visual Feedback คือเห็น * เมื่อผู้ใช้ป้อนรหัสผ่านใน terminal
คุณลักษณะ pwfeedback ไม่ได้ถูกเปิดใช้งานโดยค่าเริ่มต้นในเวอร์ชั่นต้นเเบบของ sudo หรือแพ็คเกจอื่น ๆ อย่างไรก็ตาม ลีนุกซ์บางรุ่น เช่น Linux Mint และ Elementary OS มีการเปิดใช้งานคุณลักษณะ pwfeedback ในไฟล์ sudoers เป็นค่าเริ่มต้น
เมื่อ pwfeedback ถูกเปิดใช้งาน ผู้ใช้ใดๆ ก็สามารถใช้ประโยชน์จากช่องโหว่นี้ได้ เเม้ไม่มี sudo permissions ทำให้สามารถโจมตีเพื่อยกระดับสิทธิ์เป็น root ได้
คุณสามารถตรวจสอบได้ว่าคุณได้รับผลกระทบหรือไม่ โดยสามารถเรียกใช้ "sudo -l" command บน Terminal Linux หรือ macOS ของคุณ เพื่อค้นหาว่า "pwfeedback" ถูกเปิดใช้งานหรือไม่
หากเปิดใช้งาน, คุณสามารถปิดการใช้งานองค์ประกอบที่มีช่องโหว่ได้ โดยเปลี่ยน "Defaults pwfeedback" เป็น "Defaults !pwfeedback" ในไฟล์การกำหนดค่า sudoers เพื่อป้องกันการใช้ประโยชน์จากช่องโหว่
โดยคำสั่ง sudo รุ่นที่ได้รับผลกระทบคือรุ่น 1.7.1 ถึง 1.8.30 ซึ่ง Apple ได้ออกแพตช์ให้กับ macOS เพื่อแก้ไขช่องโหว่นี้แล้ว

ที่มา : thehackernews

กลุ่ม Lazarus มีมัลแวร์ตัวใหม่ Dacls โจมตีทั้ง Linux และ Windows
Qihoo 360 Netlab พบมัลแวร์ Remote Access Trojan (RAT) ตัวใหม่ชื่อ Dacls ทำงานทั้งบน Windows และ Linux ซึ่งมัลแวร์ตัวนี้มีความเชื่อมโยงกับกลุ่ม Lazarus ที่ถูกสนับสนุนโดยรัฐบาลเกาหลีเหนือ กลุ่มนี้เป็นรู้จักในการแฮก Sony Films ในปี 2014 และเป็นเบื้องหลังในการระบาด WannaCry ไปทั่วโลกในปี 2017 อีกด้วย
นี่เป็นครั้งแรกที่พบมัลแวร์ที่ทำงาน Linux จากกลุ่ม Lazarus โดย Qihoo 360 Netlab เชื่อมโยงความเกี่ยวข้องระหว่าง Dacls กับกลุ่ม Lazarus จากการใช้งาน thevagabondsatchel[.]com ซึ่งเคยมีประวัติว่าถูกใช้งานโดยกลุ่ม Lazarus ในอดีต
Dacls ใช้ TLS และ RC4 ในการเข้ารหัสสองชั้นเพื่อรักษาความปลอดภัยในการสื่อสารกับ command and control (C2) รวมถึงใช้ AES encryption ในการเข้ารหัสไฟล์ตั้งค่า
นักวิจัยพบ Dacls สำหรับ Windows และ Linux พร้อมทั้งโค้ดสำหรับโจมตีช่องโหว่ CVE-2019-3396 ใน Atlassian Confluence บนเซิร์ฟเวอร์ บ่งชี้ถึงความเป็นไปได้ว่ากลุ่ม Lazarus จะใช้ช่องโหว่ดังกล่าวติดตั้ง Dacls นักวิจัยจึงแนะนำให้ผู้ใช้ Confluence ทำการแพตช์ระบบให้เร็วที่สุดเท่าที่จะทำได้
สามารถอ่านรายงานวิเคราะห์ Dacls และดูข้อมูล IOC ได้จาก https://blog.

 

ข้อผิดพลาด (CVE-2019-17666) ถูกจัดอยู่ในความรุนแรงระดับ critical เกิดขึ้นในไดร์เวอร์ “rtlwifi” ซึ่งเป็นซอฟต์แวร์ที่อนุญาตให้ Realtek Wi-Fi module เชื่อมต่อกับระบบปฏิบัติการณ์ Linux โดยไดร์เวอร์นีมีช่องโหว่ buffer overflow ซึ่งทำให้เมื่อเขียนข้อมูลเกินหน่วยความจำที่กำหนดจะทำให้ข้อมูลส่วนเกินนี้เปลี่ยนแปลงพื้นที่ใกล้เคียงในหน่วยความจำและอาจแก้ไขข้อมูลอื่นๆ เป็นการเปิดช่องทางของการโจมตีได้ ซึ่งการโจมตีนี้อาจเป็นได้ตั้งแต่การทำให้เครื่องหยุดทำงานไปจนถึงยึดเครื่อง

ส่วนที่มีช่องโหว่ของไดร์เวอร์ rtlwifi คือฟีเจอร์ที่เรียกว่าโปรโตคอล Notice of Absence โปรโตคอลนี้ช่วยอุปกรณ์ปิดสัญญาณวิทยุโดยอัตโนมัติเพื่อประหยัดพลังงาน ข้อบกพร่องนี้อยู่ในวิธีที่ไดร์เวอร์จัดการกับแพ็คเก็ต Notice of Absence มันไม่ได้ตรวจสอบแพ็คเก็ตที่ได้รับว่ามีความยาวที่ทำหนดหรือไม่ ทำให้ผู้โจมตีอาจเพิ่มองค์ประกอบข้อมูลเฉพาะเพิ่มไปในแพ็คเก็ตเพื่อโจมตีช่องโหว่

ความร้ายแรงคือผู้โจมตีสามารถโจมตีได้เมื่ออยู่ในระยะสัญญาณ Wi-Fi และโจมตีได้โดยไม่ต้องยืนยันตัวตนใดๆ
Linux kernel ที่ได้รับผลกระทบคือตั้งแต่รุ่น 5.3.6 และนักวิจัยกล่าวว่าอยู่มากว่า 4 ปีก่อนจะถูกพบ ซึ่งทีม Linux kernel กำลังพัฒนาแพตช์เพื่อแก้ช่องโหว่นี้

ที่มา : threatpost

ประกาศสำหรับผู้ใช้ Linux พบช่องโหว่ใน Sudo ซึ่งเป็น Command หลักของระบบ Linux โดยช่องโหว่นี้ยอมให้รันคำสั่งในฐานะ root แม้ตั้งค่าใน sudoers configuration ไม่ให้รันได้ โชคดีที่ช่องโหว่นี้ทำงานได้ก็ต่อเมื่อมีการตั้งค่าแตกต่างจากการตั้งค่าปกติเท่านั้น ทำให้ผู้ใช้งาน Linux ทั่วไปจะไม่ได้รับผลกระทบ

การตั้งค่าไม่ปกติดังกล่าวคือ การตั้งค่าให้ผู้ใช้งานสามารถรันคำสั่งเป็นผู้ใช้งานอื่นได้ยกเว้น root เช่น ตั้งค่าใน sudoers configuration ว่า

bob myhost = (ALL, !root) /usr/bin/vi

แปลว่า bob สามารถรันคำสั่ง vi เป็นผู้ใช้งานใดก็ได้ยกเว้น root เช่น สามารถรันคำสั่ง sudo -u#[UID] vi ซึ่งจะทำให้ bob รันคำสั่งเป็นผู้ใช้งานเลข UID ใดๆ ก็ได้

แต่ช่องโหว่ดังกล่าวจะเกิดเมื่อ bob รันคำสั่ง sudo -u#-1 vi หรือ sudo -u#4294967295 vi ซึ่งเมื่อรันด้วยเลข UID -1 หรือ 4294967295 จะทำให้ bob ได้สิทธิ์ root ซึ่งขัดกับที่ตั้งคำสั่งห้ามไว้

ช่องโหว่นี้ได้รับ CVE-2019-14287 พบโดย Joe Vennix ของ Apple Information Security

ผู้ใช้งานควรตรวจสอบว่ามีการตั้งค่าที่เสี่ยงกับช่องโหว่ดังกล่าวหรือไม่และควรอัปเดต sudo ให้เป็น 1.8.28

ที่มา thehackernews redhat และ bleepingcomputer

ช่องโหว่ใหม่ เครื่อง Linux สามารถถูกแฮกได้เพียงแค่เปิดไฟล์ด้วย Vim หรือ Neovim

Armin Razmjou นักวิจัยด้านความปลอดภัยค้นพบช่องโหว่ที่สามารถรันคำสั่งในระดับระบบปฏิบัติการได้ (CVE-2019-12735) ในโปรแกรม Vim editor และ Neovim บนระบบปฏิบัติการ Linux
ช่องโหว่ดังกล่าวเกิดขึ้นที่ความสามารถ Modelines ในโปรแกรม Vim และ Neovim โดย Modelines ถูกตั้งค่าให้ใช้งานเป็นค่าเริ่มต้นเสมอ เพื่อค้นหาลักษณะการตั้งค่าที่ผู้สร้างไฟล์ใส่มาในไฟล์ ซึ่งตามปกติแล้ว Vim หรือ Neovim จะอนุญาตให้ตั้งค่าบางอย่างด้วย Modelines เท่านั้น และมีการใช้ sandbox เพื่อป้องกันกรณีมีการตั้งค่าที่ไม่ปลอดภัย

แต่ Razmjou พบว่าสามารถหลบหลีก sandbox ได้ด้วยการใช้คำสั่ง ":source!" ดังนั้นผู้โจมตีจึงสามารถสร้างไฟล์อันตรายที่หลบหลีก sanbox ขึ้นมาได้ ซึ่งสามารถแอบรันคำสั่งบนระบบปฏิบัติการ Linux ได้เมื่อมีผู้หลงเปิดไฟล์อันตรายด้วย Vim หรือ Neovim

ผู้ใช้งานควรอัพเดท Vim (patch 8.1.1365) และ Neovim (released in v0.3.6) ให้เป็นเวอร์ชั่นล่าสุดเพื่อป้องกันช่องโหว่ดังกล่าว
และ Razmjou ผู้ค้นพบช่องโหว่ดังกล่าวยังแนะนำเพิ่มเติมให้ผู้ใช้งาน

- ปิดการใช้งาน Modelines
- ปิดการใช้งาน modelineexpr และ
- ใช้ Securemodelines plugin แทน modelines

ที่มา : thehackernews