SITA บริษัทผู้ให้บริการไอทีสายการบินและสนามบินได้ออกเเถลงถึงการโจมตีทางไซเบอร์ โดยการโจมตีดังกล่าวส่งผลกระทบถึงระบบ SITA Passenger Service System (SITA PSS) ซึ่งเป็นระบบสำหรับการให้บริการผู้โดยสารสำหรับสายการบิน

ตามรายงานของ SITA ระบุว่าเหตุการณ์การบุกรุกที่เกิดขึ้นในวันที่ 24 กุมภาพันธ์ 2021 ที่ผ่านมา ซึ่งการสืบสวนเบื้องต้นคาดว่ามีข้อมูลของกลุ่ม Star Alliance ที่มีทั้งหมด 26 สายการบินที่อยู่บนเซิร์ฟเวอร์ถูกรั่วไหลออกไป โดยสายการบินหลายแห่งที่เป็นสมาชิกของ Star Alliance ได้รับการยืนยันว่าได้รับผลกระทบจากการละเมิดดังกล่าวรวมถึงสิงคโปร์แอร์ไลน์, มาเลเซียแอร์ไลน์, ฟินแอร์ของฟินแลนด์, เจจูแอร์ในเกาหลีใต้และแอร์นิวซีแลนด์

Singapore Airlines ได้ออกอีเมลแจ้งเตือนลูกค้าโดยมีรายละเอียดและอธิบายว่าข้อมูลของสมาชิกประมาณ 580,000 คนในโปรแกรมสะสมไมล์ KrisFlyer ถูกบุกรุก โดย Singapore Airlines ได้ระบุว่าทางสายการบินไม่ได้เป็นผู้ใช้ระบบ SITA PSS แต่การบุกรุกนั้นเกิดขึ้นกับสมาชิกของสายการบินแห่งหนึ่งในกลุ่มสมาชิก Star Alliance ที่มีทั้งหมด 26 สายการบินและเนื่องจากสายการบินต่าง ๆ ในกลุ่มต้องยืนยันสถานะสมาชิกระหว่างกันจึงมีการส่งข้อมูลสมาชิกบางส่วนไปมา ซึ่งทำให้ลูกค้าของ Singapore Airlines ได้รับผลกระทบไปด้วย

SITA ยังกล่าวอีกว่าการบุกรุกเซิร์ฟเวอร์ของ SITA PSS อยู่ในระหว่างการสืบสวนข้อมูล ซึ่งยังไม่มีข้อมูลยืนยันว่าสายการบินต้นทางที่ถูกแฮกเป็นสายการบินใดและข้อมูลของลูกค้าสายการบินนั้น ๆ จะรั่วไหลมากน้อยเพียงใด แต่สำหรับลูกค้าของกลุ่มสมาชิก Star Alliance ที่ได้รับแจ้งเตือนโดยสายการบินอาจมีข้อมูลที่ระบุว่าชื่อสมาชิก, หมายเลขสมาชิก, ระดับสมาชิก อาจถูกรั่วไหล อย่างไรก็ตามข้อมูลที่กล่าวมานั้นอาจถูกผู้ประสงค์ร้ายใช้ประโยชน์โดยการโจมตีแบบฟิชชิง

ทั้งนี้การสืบสวนข้อมูลในขณะนี้ยังไม่มีข้อบ่งชี้ว่ารหัสผ่าน, ข้อมูลการชำระเงิน, หมายเลขหนังสือเดินทาง, การจองหรือข้อมูลติดต่ออื่น ๆ ถูกบุกรุก

ที่มา: bleepingcomputer, securityweek

European Banking Authority (EBA) ได้ทำการปิดระบบอีเมลทั้งหมดหลังจากที่เซิร์ฟเวอร์ Microsoft Exchange ของ EBA ถูกแฮกด้วยช่องโหว่ Zero-day ที่ถูกพบในเซิร์ฟเวอร์ Microsoft Exchange ซึ่งการโจมตีด้วยช่องโหว่ดังกล่าวกำลังกระจายไปอย่างต่อเนื่องและถูกกำหนดเป้าหมายไปยังองค์กรต่าง ๆ ทั่วโลก

ในสัปดาห์ที่ผ่านมาไมโครซอฟท์ได้ออกเเพตช์ฉุกเฉินสำหรับแก้ไขช่องโหว่ Zero-day ซึ่งช่องโหว่จะส่งผลผลกระทบต่อเซิร์ฟเวอร์ Microsoft Exchange หลายเวอร์ชันและพบการใช้ประโยชน์จากช่องโหว่ในการโจมตีอย่างต่อเนื่องจากกลุ่มแฮกเกอร์

EBA เป็นหน่วยงานส่วนหนึ่งของระบบการกำกับดูแลทางการเงินของสหภาพยุโรปและดูแลการทำงานของภาคธนาคารในสหภาพยุโรป การสืบสวนกำลังถูกดำเนินการเพื่อระบุว่ามีการเข้าถึงข้อมูลใดบ้าง ทั้งนี้คำแนะนำเบื้องต้นที่เผยแพร่เมื่อวันอาทิตย์ที่ผ่านมาได้ระบุว่าผู้โจมตีอาจเข้าถึงข้อมูลส่วนบุคคลที่เก็บไว้ในเซิร์ฟเวอร์อีเมล แต่ผู้เชี่ยวชาญด้านนิติวิทยาศาสตร์ยังไม่พบสัญญาณของการบุกรุกข้อมูลและการสืบสวนยังคงมีอย่างต่อเนื่อง ซึ่ง EBA จะปรับใช้มาตรการรักษาความปลอดภัยเพิ่มเติมและดูแลอย่างใกล้ชิดในมุมมองของการฟื้นฟูการทำงานอย่างเต็มรูปแบบของเซิร์ฟเวอร์อีเมล

หน่วยงาน CISA (Cybersecurity and Infrastructure Security Agency) ได้ออกแจ้งเตือนถึงการใช้ช่องโหว่ Zero-day ของ Microsoft Exchange Server ทั้งในและต่างประเทศอย่างกว้างขวาง โดยเรียกร้องให้ผู้ดูแลระบบใช้เครื่องมือตรวจจับ Indicators of Compromise (IOC) ของ Microsoft เพื่อตรวจหาสัญญาณการบุกรุกภายในองค์กร

ทั้งนี้ Microsoft ได้ออกเครื่องมือ Microsoft Safety Scanner (MSERT) เพื่อใช้ตรวจจับเว็บเชลล์ที่ถูกใช้ในการโจมตีและสคริปต์ PowerShell เพื่อค้นหา IOC ใน log file บน Exchange และ OWA ผู้ดูแลระบบสามารถโหลด MSERT ได้ที่: microsoft

สำหรับสคริปต์ PowerShell สามารถโหลดได้ที่: github

ที่มา: bleepingcomputer

Cisco ออกแจ้งเตือนถึงผู้ใช้ผลิตภัณฑ์ของ Cisco จากการถูกโจมตีแบบปฏิเสธการให้บริการ (Denial-of-Service - DoS) เนื่องจากมีช่องโหว่ในเครื่องมือ Snort Detection Engine

ช่องโหว่ถูกติดตามด้วยรหัส CVE-2021-1285 มีระดับความรุนแรง CVSS อยู่ที่ 7.4/10 ช่องโหว่ถูกพบใน Ethernet Frame Decoder ของ Snort Detection Engine โดยช่องโหว่เกิดจากการจัดการเงื่อนไขของ Error condition ที่ไม่เหมาะสมเมื่อทำการประมวลผล Ethernet frame ผู้โจมตีสามารถใช้ประโยชน์จากช่องโหว่ได้โดยการส่งแพ็กเกต Ethernet frame ที่สร้างขึ้นเป็นพิเศษและเป็นอันตรายไปยังอุปกรณ์ที่ได้รับผลกระทบเพื่อทำให้อุปกรณ์เข้าสู่เงื่อนไข DoS

ช่องโหว่จะส่งผลกระทบต่อ Integrated Service Router (ISR) ซอฟต์แวร์และแพลตฟอร์ม Catalyst Edge และผลิตภัณฑ์ Cloud Services Router ซีรี่ส์ 1000v หากอุปกรณ์ที่กล่าวมาใช้ซอฟต์แวร์ Cisco UTD Snort IPS Engine สำหรับ IOS XE หรือ Cisco UTD Engine สำหรับ IOS XE SD-WAN และได้รับการกำหนดค่าให้ส่ง Ethernet frameไปยัง Snort Detection Engine

ทั้งนี้ผู้ดูแลระบบควรทำการอัปเดตแพช์ให้เป็นเวอร์ชันล่าสุด เพื่อแก้ไขช่องโหว่ที่เกิดขึ้นและเพื่อป้องกันผู้ประสงค์ร้ายใช้ประโยชน์จากช่องโหว่ทำการโจมตีระบบ

ที่มา: securityweek, cisco

Supermicro และ Pulse Secure ได้ออกคำแนะนำและเตือนภัยถึงเมนบอร์ดบางตัวที่มีความเสี่ยงต่อการถูกโจมตีของมัลแวร์ TrickBot หรือที่เรียกว่า TrickBoot ด้วยความสามารถใหม่ที่มีโมดูลการเเพร่กระจายมัลแวร์บนเฟิร์มแวร์ UEFI

เมื่อปีที่แล้วบริษัทรักษาความปลอดภัยทางไซเบอร์ Advanced Intelligence และ Eclypsium ได้เปิดเผยถึงรายงานการค้นพบเกี่ยวกับโมดูลใหม่ในมัลแวร์ TrickBoot ที่มุ่งเป้าการเเพร่กระจายมัลแวร์ไปที่ยังเฟิร์มแวร์ UEFI ของอุปกรณ์ ซึ่งภายในมัลแวร์จะมีฟังก์ชันในการอ่าน, เขียนและลบเฟิร์มแวร์ ซึ่งมัลแวร์ยังสามารถปิดการควบคุมความปลอดภัยของระบบปฏิบัติการหรือปิดการติดตั้งระบบปฏิบัติการใหม่จากผู้ใช้ได้

ในคำแนะนำของ Supermicro ซึ่งได้ระบุว่าเมนบอร์ดตะกูล X10 UP-series บางตัวมีความเสี่ยงต่อ การโจมตีมัลแวร์ TrickBoot โดยเมนบอร์ด X10 UP-series รุ่นที่มีความเสี่ยงมีดังนี้

X10SLH-F ( EOL วันที่ 3/11/2021)
X10SLL-F (EOL ไปแล้วตั้งแต่ 30 มิถุนายน 2015)
X10SLM-F (EOL ไปแล้วตั้งแต่ 30 มิถุนายน 2015)
X10SLL + -F (EOL ไปแล้วตั้งแต่ 30 มิถุนายน 2015)
X10SLM + -F (EOL ไปแล้วตั้งแต่ 30 มิถุนายน 2015)
X10SLM + -LN4F (EOL ไปแล้วตั้งแต่ 30 มิถุนายน 2015)
X10SLA-F (EOL ไปแล้วตั้งแต่ 30 มิถุนายน 2015)
X10SL7-F (EOL ไปแล้วตั้งแต่ 30 มิถุนายน 2015)
X10SLL-S / -SF (EOL ไปแล้วตั้งแต่ 30 มิถุนายน 2015)

ทั้งนี้ Supermicro ได้เปิดตัว BIOS เวอร์ชัน 3.4 เพื่อแก้ไขช่องโหว่แล้วแต่สามารถใช้ได้สำหรับเมนบอร์ด X10SLH-F เท่านั้น ซึ่งสำหรับเมนบอร์ดที่หมดอายุการซัพพอร์ตผู้ใช้ต้องติดต่อ Supermicro เพื่อขอการใช้งาน BIOS เวอร์ชันใหม่

สำหรับ Pulse Secure ได้ออกคำแนะนำสำหรับอุปกรณ์ Pulse Secure Appliance 5000 (PSA-5000) และ Pulse Secure Appliance 7000 (PSA-7000) ที่ทำงานบนฮาร์ดแวร์ Supermicro ที่มีช่องโหว่ โดย Pulse Secure ได้เปิดตัวแพตช์ BIOS สำหรับอุปกรณ์ Pulse Connect Secure หรือ Pulse Policy Secure ซึ่ง Pulse Secure ได้เตือนถึงแพตช์อัปเดต BIOS จะต้องรีบูตอุปกรณ์ด้วยเมื่อทำการอัปเดตเสร็จ ผู้ใช้ควรทำการอัปเดตแพตช์ BIOS ให้เป็นเวอร์ชันล่าสุดเพื่อป้องกันการถูกโจมตีจาก TrickBoot

ที่มา: bleepingcomputer

VMware ออกเเพตช์แก้ไขช่องโหว่การเรียกใช้โค้ดจากระยะไกล (Remote Code Execution - RCE) บนผลิตภัณฑ์ View Planner 4.6

ช่องโหว่ถูกติดตามด้วยรหัส CVE-2021-21978 มีระดับความรุนเเรง CVSS อยู่ที่ 8.6/10 ถูกรายงานโดย Mikhail Klyuchnikov นักวิจัยจาก Positive Technologies โดยช่องโหว่เกิดจากการตรวจสอบอินพุตที่ไม่เหมาะสม ผู้โจมตีสามารถนำช่องโหว่นี้ไปใช้ประโยชน์ได้โดยการอัปโหลดไฟล์ที่สร้างขึ้นมาเป็นพิเศษในเว็บแอปพลิเคชัน logupload เพื่อทำการเรียกใช้โค้ดโดยไม่ได้รับอนุญาต ซึ่งผู้โจมตีที่ต้องการใช้ประโยชน์จากช่องโหว่นี้จำเป็นต้องเข้าถึงเครือข่ายก่อนจึงจะเข้าถึงในส่วน View Planner Harness เพื่อทำการอัปโหลดและเรียกใช้ไฟล์ที่สร้างขึ้นมาเป็นพิเศษได้

ทั้งนี้ช่องโหว่จะส่งผลกระทบกับ VMware View Planner เวอร์ชัน 4.6 ผู้ใช้ควรทำการอัปเดตเเพตช์ให้เป็นเวอร์ชันล่าสุดเพื่อป้องกันการตกเป็นเป้าหมายของผู้ประสงค์ร้าย

ที่มา: securityweek, vmware

Google ประกาศแพตช์รอบที่สองสำหรับช่องโหว่ Zero-day รหัส CVE-2021-21166 ที่กำลังถูกใช้โจมตีใน Chrome รุ่น 89.0.4389.72 ที่ผ่านมา โดย CVE-2021-21166 เป็นช่องโหว่อยู่ในระดับสูงและเกี่ยวข้องกับคอมโพเนนต์เรื่องเสียงของ Chrome

แม้ว่า Google จะตรวจพบการใช้ CVE-2021-21166 ในการโจมตีจริงแล้ว Google ก็ยังไม่ได้มีการเปิดเผยรายละเอียดการใช้ช่องโหว่ดังกล่าวเพื่อโจมตีออกมา รวมไปถึงข้อมูลประกอบ อาทิ เป้าหมายของการโจมตี หรือกลุ่มที่อยู่เบื้องหลังการโจมตี โดย Google มีการให้เหตุผลว่าข้อมูลของการโจมตีนั้นจะถูกเก็บเอาไว้จนกว่าผู้ใช้งานส่วนใหญ่จะทำการอัปเดตรุ่นของเบราว์เซอร์ Chrome ให้เป็นรุ่นล่าสุด

นอกเหนือจากแพตช์สำหรับ CVE-2021-21166 ที่ถูกแพตช์ในรอบนี้ด้วยความเร่งด่วนแล้ว Chrome จะมีการปล่อยแพตช์ให้กับอีก 47 ช่องโหว่ซึ่งโดยส่วนใหญ่ถูกพบโดยนักวิจัยด้านความปลอดภัยภายนอกด้วย ขอให้ผู้ใช้ ทำการอัปเดต Chrome ให้เป็นเวอร์ชันล่าสุดโดยด่วนเพื่อลดความเสี่ยงที่จะถูกโจมตีด้วยช่องโหว่

ที่มา: bleepingcomputer

นักวิจัยด้านความปลอดภัย Julien Voisin ประกาศการค้นพบโค้ดสำหรับโจมตีช่องโหว่ (Exploit) สำหรับช่องโหว่ Spectre ในเว็บไซต์ VirusTotal โดยการโจมตีช่องโหว่ Spectre นั้นสามารถทำให้ผู้โจมตีเข้าถึงข้อมูลที่อยู่ในหน่วยความจำได้อย่างอิสระ

ทีม Intelligent Response ได้เคยมีการพูดช่องโหว่ Spectre และ Meltdown เมื่อปี 2018 สามารถอ่านบทความของเราได้ที่นี่ i-secure

จากการตรวจสอบ Exploit ที่อยู่ใน VirusTotal นั้น Voision พบ Exploit สำหรับระบบ Linux และ Windows ซึ่งเมื่อทำการใช้งานแล้วโดยบัญชีผู้ใช้ที่มีสิทธิ์ต่ำ ผู้ใช้ที่มีสิทธิ์ต่ำดังกล่าวจะสามารถดึงค่าแฮช LM/NT และ Kerberos ticket ใน Windows และข้อมูลใน /etc/shadow สำหรับระบบ Linux ได้ทันที

การวิเคราะห์ยังบ่งชี้ถึงที่มาของทั้งสอง Exploit โดยทั้งสอง Exploit มีที่มาจากโปรแกรม Canvas ของ Immunity ซึ่งเป็นโปรแกรมรวม Exploit คล้ายกับ Metasploit แต่มี Private exploit ที่ทาง Immunity มีการพัฒนาขึ้นเองอยู่ด้วย ที่มาของ Exploit ทั้งสองนั้นมาจากการรั่วไหลของ Canvas 7.26 ซึ่งเกิดขึ้นในช่วงเดือนธันวามคมที่ผ่านมา ซึ่งก็สอดคล้องกับงานวิจัยของ Immunity ที่เคยสาธิตการใช้งาน Canvas เพื่อโจมตีช่องโหว่ Spectre และขโมยข้อมูล Kerberos ticket มาตามวีดิโอ vimeo

 

ที่มา: bleepingcomputer

Malaysia Airlines ประกาศการตรวจพบการละเมิดข้อมูลซึ่งส่งผลกระทบต่อโครงการ Enrich ซึ่งเป็นโครงการสิทธิพิเศษของสายการบินเมื่อช่วงต้นเดือนที่ผ่านมา โดยการละเมิดข้อมูลในครั้งนี้นั้นกระทบกับข้อมูลของผู้โดยสารที่อยู่ในโครงการ Enrich ย้อนหลังกว่า 9 ปี

อ้างอิงจากสายการบิน จุดเริ่มต้นของการละเมิดข้อมูลนั้นเกิดจากการโจมตีระบบของบริษัท IT ที่ให้บริการแก่สายการบินซึ่งได้มีการแจ้งเตือนว่าข้อมูลของผู้โดยสารระหว่างเดือนมีนาคม 2019 จนถึงเดือนมิถุนายน 2019 นั้นได้รับผลกระทบ สถานการณ์ด้านความปลอดภัยที่เกิดขึ้นไม่กระทบต่อระบบของทางสายการบินแต่อย่างใด

ในส่วนของข้อมูลที่ได้รับผลกระทบนั้น ข้อมูลที่ได้รับผลกระทบนั้น ได้แก่ ชื่อผู้โดยสาร, ข้อมูลในการติดต่อ, วันเกิดและสถานะในโครงการสิทธิพิเศษดังกล่าว การละเมิดข้อมูลในครั้งนี้ไม่ปรากฎว่าข้อมูลเกี่ยวกับการเดินทางได้รับผลกระทบไปด้วย โดยในขณะนี้ทางสายการบินได้มีการประสานงานกับผู้ได้รับผลกระทบไปแล้วหลังจากที่ทางสายการบินบังคับเปลี่ยนรหัสผ่านแล้ว

ที่มา: bleepingcomputer

บริษัทด้านความปลอดภัย Qualys ออกมาประกาศว่าตนเป็นเหยื่อรายล่าสุด ได้รับผลกระทบจากการรั่วไหลของข้อมูลซึ่งเกิดจากการโจมตีช่องโหว่ในระบบ Accellion FTA โดยกลุ่มมัลแวร์เรียกค่าไถ่ Clop ซึ่งเชื่อว่าเป็นผู้อยู่เบื้องหลังการโจมตีในครั้งนี้ ได้มีการปล่อยตัวอย่างของไฟล์ทีได้มาจากการโจมตี ขึ้นบนเว็บไซต์ของกลุ่มแล้ว

ช่องโหว่ในระบบ Accellion FTA ถูกแจ้งเตือนตั้งแต่ช่วงกลางเดือนกุมภาพันธ์ โดยมี Singtel และอีกหลายบริษัทตกเป็นเหยื่อ ย้อนดูข่าวเก่าของเราได้ที่นี่ facebook

อ้างอิงการยืนยันโดยทีมงานของ Bleeping Computer นั้น Qualys เคยมีการใช้งานระบบ Accellion FTA อยู่จริงที่ fts-na.

หน่วยงานความปลอดภัยทางไซเบอร์แห่งชาติของฝรั่งเศส หรือ ANSSI (Agence Nationale de la Sécurité des Systèmes d'Information) ได้เปิดเผยถึงการค้นพบ Ryuk ransomware รูปแบบใหม่ที่มีความสามารถในการเเพร่กระจายตัวที่มีลักษณะแบบ Worm ซึ่งจะสามารถแพร่กระจายไปยังอุปกรณ์อื่น ๆ บน Local network ของผู้ที่ตกเป็นเหยื่อได้

ความสามารถใหม่ของ Ryuk ransomware ที่หน่วยงานความปลอดภัยทางไซเบอร์แห่งชาติของฝรั่งเศสพบจากการตรวจสอบการโจมตีเมื่อต้นปี 2021 คือ Ryuk ransomware ที่ทำการเเพร่กระจายตัวเองไปยัง Local network โดยการใช้ ARP cache และตัว Ryuk ยังมีแพ็คเกจที่สามารถส่ง Wake-on-LAN (WOL) ไปยังอุปกรณ์ที่ค้นพบและเมื่อแรนซัมแวร์ทำการเชื่อมต่อกับอุปกรณ์ที่พบในเครือข่ายตัวแรนซัมแวร์จะสามารถเข้ารหัสเนื้อหาทั้งหมดบนเครื่อง

นอกจากนี้ความสามารถในการเเพร่กระจายตัวไปยังเครือข่ายในลักษณะแบบ Worm แล้ว Ryuk ransomware ยังสามารถดำเนินการเองได้จากระยะไกลโดยใช้ Scheduled tasks ที่สร้างขึ้นในแต่ละโฮสต์ที่ถูกบุกรุกภายในเครือข่ายด้วยเครื่องมือ schtasks.